在FZ那边承诺帮shanfeib分析一下病毒，今天中午用了不长时间搞定了。详细情况如下:

  病毒名:卡巴未收录该病毒(2006-12-17病毒库);Mcafee:Downloader.inf;NOD32:Win32/VB.NFY;

  症状：各个盘下面出现autorun.inf,pagefile.pif;正常模式下，进程列表里出现两个smss.exe,lsass.exe;

  解决办法:
  一，正常模式下，打开IceSword,用文件管理功能，按住 Ctrl键同时选中C:\windows\system32\com\目录下的lsass.exe,smss.exe,强制删除；然后刷新IceSword的进程列表，结束掉路径为"C:"的lsass.exe,smss.exe。
  二，继续用IceSword删除C:\windows\prefetch\目录下所有文件及文件夹。
  三，不要打开任何盘，用IceSword删除各个根目录下autorun.inf,pagefile.pif,尤其是u盘里的。
  四，导入附件里的注册表文件
  五，重起电脑

  请严格按照以上方法进行杀毒。我在虚拟机里已经验证其有效性。

  PS:貌似最近中此病毒的机子特别多

你怎么研究的?自己尝毒?

Quote:

引用第1楼X于2006-12-17 14:28发表的:
你怎么研究的?自己尝毒?

瓜~ 在虚拟机里搞的。

我的电脑有严重的洁癖，绝不允许病毒感染

去　看看　俺被搞晕了都！！
严重感谢蝈蝈!!!
啥也不说 眼泪哗哗低...


[ 此贴被shanfeib在2006-12-17 15:09重新编辑 ]

Quote:

引用第2楼百年孤独于2006-12-17 14:35发表的:


瓜~ 在虚拟机里搞的。

我的电脑有严重的洁癖，绝不允许病毒感染

虚拟机是啥子?怎么使用?

蝈蝈我的机器GHOST 了
在见http://192.168.2.8/bbs/read.php?tid=408322
我的回复 其他的饿盘都没有敢再打开
所以的话 就不用进行 注册表的修改了把
只要用冰刃把 CDEFG 里面的AUTO 和PAGEFILE 删除了就行了吧!!啊
还有就是C盘里面的冰刃显示的这写东西都删除吗???

Quote:

引用第4楼X于2006-12-17 15:21发表的:

虚拟机是啥子?怎么使用?

我啥子都不晓得……

Quote:

引用第5楼shanfeib于2006-12-17 15:54发表的:
蝈蝈我的机器GHOST 了
在见http://192.168.2.8/bbs/read.php?tid=408322
我的回复 其他的饿盘都没有敢再打开
所以的话 就不用进行 注册表的修改了把
只要用冰刃把 CDEFG 里面的AUTO 和PAGEFILE 删除了就行了吧!!啊
.......

只删我提到的那些文件。其他文件动不得……

图中，你的C盘根目录下已经没有病毒文件了，不要删了。

那个pagefile.sys是正常的文件。病毒文件是pagefile.pif

Quote:

引用第7楼百年孤独于2006-12-17 15:56发表的:
只删我提到的那些文件。其他文件动不得……

哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈
我的机器没有毒了,,
但是...


[ 此贴被shanfeib在2006-12-17 16:12重新编辑 ]

我加一点哦:
要是你重装了这个病毒一样照样搞死你啊!!!!
所以还是得杀,但是就省去了注册表这一步..
但是还有个问题蝈蝈没有解决

运行魔兽后刚才的病毒又回来了.......

什么问题？说出来看看

貌似很久以前我就在一个帖子里面回复了解决方法了

其实只用ipmaror就ok了,把他提示的几个可疑文件删除就ok了~

C盘根目录下重新生成了pagefile.pif，autorun.inf文件？