在FZ那边承诺帮shanfeib分析一下病毒，今天中午用了不长时间搞定了。详细情况如下:

  病毒名:卡巴未收录该病毒(2006-12-17病毒库);Mcafee:Downloader.inf;NOD32:Win32/VB.NFY;

  症状：各个盘下面出现autorun.inf,pagefile.pif;正常模式下，进程列表里出现两个smss.exe,lsass.exe;

  解决办法:
  一，正常模式下，打开IceSword,用文件管理功能，按住 Ctrl键同时选中C:\windows\system32\com\目录下的lsass.exe,smss.exe,强制删除；然后刷新IceSword的进程列表，结束掉路径为"C:"的lsass.exe,smss.exe。
  二，继续用IceSword删除C:\windows\prefetch\目录下所有文件及文件夹。
  三，不要打开任何盘，用IceSword删除各个根目录下autorun.inf,pagefile.pif,尤其是u盘里的。
  四，导入附件里的注册表文件
  五，重起电脑

  请严格按照以上方法进行杀毒。我在虚拟机里已经验证其有效性。

  PS:貌似最近中此病毒的机子特别多

去　看看　俺被搞晕了都！！
严重感谢蝈蝈!!!
啥也不说 眼泪哗哗低...


[ 此贴被shanfeib在2006-12-17 15:09重新编辑 ]

蝈蝈我的机器GHOST 了
在见http://192.168.2.8/bbs/read.php?tid=408322
我的回复 其他的饿盘都没有敢再打开
所以的话 就不用进行 注册表的修改了把
只要用冰刃把 CDEFG 里面的AUTO 和PAGEFILE 删除了就行了吧!!啊
还有就是C盘里面的冰刃显示的这写东西都删除吗???

Quote:

引用第7楼百年孤独于2006-12-17 15:56发表的:
只删我提到的那些文件。其他文件动不得……

哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈 哈哈哈哈哈哈
我的机器没有毒了,,
但是...


[ 此贴被shanfeib在2006-12-17 16:12重新编辑 ]

我加一点哦:
要是你重装了这个病毒一样照样搞死你啊!!!!
所以还是得杀,但是就省去了注册表这一步..
但是还有个问题蝈蝈没有解决

运行魔兽后刚才的病毒又回来了.......

Quote:

引用第14楼百年孤独于2006-12-17 16:17发表的:
C盘根目录下重新生成了pagefile.pif，autorun.inf文件？

现在是什么东西都没有了
哪个盘里面也没有ATUO了 PAGELIFE了
但是只要一打开魔兽 就弹错误框 打不开然后
所有的盘的ATUO了 PAGELIFE回来了,注册表 也又一次坏掉了
  不知道打开其他程序(除了魔兽外)的怎么样了 别的没有试了..
IE 什么的没有问题
也就是被感染了很多的文件
不知道Desktop.ini啊Thumbs.db什么的是干什么的
有的多了这些

其实还是没有解决彻底
不知道怎么查找被感染的文件
NOD32查不出来 不知道 是不是由于没有更新的问题