worm.win32.diskgen.gfk是什么病毒啊 ?
我3.18号中的当时瑞星都杀不了,那病毒很变态,让所有的杀毒软件和部分的应用程序都产生应用程序错误,让GHOST在C盘的ini文件也丢失,幸好我在开机时还可以用GHOST...
我3.18号中的当时瑞星都杀不了,那病毒很变态,让所有的杀毒软件和部分的应用程序都产生应用程序错误,让GHOST在C盘的ini文件也丢失,幸好我在开机时还可以用GHOST还原,但是那病毒狡猾得很,它是隐藏在其他盘并定时运行的,不运行的时候一切正常,一旦运行起来所有杀毒软件全部失效,还在每个盘自动生成pagefile.inf的文件,然后又生成一个autorun后缀忘了和一个pagefile.exe的可执行文件,运行过后又自动删除那3个文件,在进程里面根本看不到可疑的进程,系统无故就变慢,我用QQKAV去杀,只能杀掉pagefile.inf等,杀了又要产生,我用QQKAV的阻止病毒再生的功能去杀,病毒立刻就将QQKAV给关了,然后注销一次,我再进去故技重施,这次就直接让我机子重启了 。现在的病毒那时太可怕了!!!
这病毒一旦感染,它要感染所有的*.exe可执行文件
谢谢了,我现在拿瑞星已经杀掉了 展开
这病毒一旦感染,它要感染所有的*.exe可执行文件
谢谢了,我现在拿瑞星已经杀掉了 展开
展开全部
Worm.Win32.DiskGen
磁碟机变种,lsass.exe,smss.exe病毒分析
Worm.Win32.Diskgen.gen(磁碟机变种)近日死灰复燃,给广大网友造成很多不便。此恶意程序会以驱动的形式加载恶意文件NetApi00.sys到系统内存,来保护恶意进程lsass.exe,smss.exe不被结束,相关恶意文件不被删除。
一、病毒相关分析:
病毒标签:
病毒名称:Worm.Win32.Diskgen.gen
病毒别名:磁碟机变种
病毒类型:蠕虫
感染平台:Windows
病毒行为:
1、释放驱动文件NetApi00.sys到系统各盘的根目录。
注册为服务NetApi00并加载到内存,然后删除该服务。
//系统每次启动时,都会通过这种方式加载NetApi00.sys。
//该驱动会劫持系统api, 确保恶意程序的进程不被结束,隐藏的系统文件不被显示。
2、释放的其他文件:
%System%\com\lsass.exe 94,208 字节
%System%\com\smss.exe 20,713 字节
%System%\com\netcfg.000 45,056 字节
%System%\com\netcfg.dll 45,056 字节
%System%\\dnsq.dll 32,256 字节
//并将该文件注入到进程explorer.exe
还会复制自身到“开始菜单”中的“启动”文件夹并随机命名
在系统盘根目录下生成037589.log的备份文件 //与主程序为同一文件
3、修改注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="%System%\\dnsq.dll"
4、程序运行后会执行文件lsass.exe和smss.exe
//由于与系统进程同名,所以在任务管理器中不允许结束
//而用其他程序结束的话,恶意程序加载的驱动会进行过滤
lsass.exe进程会监控窗体,如果出现以下字符串就关闭窗体,
……(略)
手工清除方法:
1、删除启动项中加载的相关恶意程序。
2、保证“开始菜单”中“启动”文件夹中没有恶意程序文件。
3、用命令“attrib dnsq.dll -s -h”去除文件dnsq.dll的附加属性。
4、重命名文件dnsq.dll后,立即关闭电源或强制启动系统。
//因为恶意程序加载了驱动并删除了启动驱动的服务,所以通过这种方法使下次启动不加载驱动
5、重新启动后,用超级巡警删除各盘的根目录的autorun.inf和pagefile.pif
//注意不要双击打开任何磁盘,防止重新运行恶意程序。
6、将注册表项AppInit_DLLs置空,用超级巡警修复安全模式。
7、删除恶意程序生成的相关文件
磁碟机变种,lsass.exe,smss.exe病毒分析
Worm.Win32.Diskgen.gen(磁碟机变种)近日死灰复燃,给广大网友造成很多不便。此恶意程序会以驱动的形式加载恶意文件NetApi00.sys到系统内存,来保护恶意进程lsass.exe,smss.exe不被结束,相关恶意文件不被删除。
一、病毒相关分析:
病毒标签:
病毒名称:Worm.Win32.Diskgen.gen
病毒别名:磁碟机变种
病毒类型:蠕虫
感染平台:Windows
病毒行为:
1、释放驱动文件NetApi00.sys到系统各盘的根目录。
注册为服务NetApi00并加载到内存,然后删除该服务。
//系统每次启动时,都会通过这种方式加载NetApi00.sys。
//该驱动会劫持系统api, 确保恶意程序的进程不被结束,隐藏的系统文件不被显示。
2、释放的其他文件:
%System%\com\lsass.exe 94,208 字节
%System%\com\smss.exe 20,713 字节
%System%\com\netcfg.000 45,056 字节
%System%\com\netcfg.dll 45,056 字节
%System%\\dnsq.dll 32,256 字节
//并将该文件注入到进程explorer.exe
还会复制自身到“开始菜单”中的“启动”文件夹并随机命名
在系统盘根目录下生成037589.log的备份文件 //与主程序为同一文件
3、修改注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="%System%\\dnsq.dll"
4、程序运行后会执行文件lsass.exe和smss.exe
//由于与系统进程同名,所以在任务管理器中不允许结束
//而用其他程序结束的话,恶意程序加载的驱动会进行过滤
lsass.exe进程会监控窗体,如果出现以下字符串就关闭窗体,
……(略)
手工清除方法:
1、删除启动项中加载的相关恶意程序。
2、保证“开始菜单”中“启动”文件夹中没有恶意程序文件。
3、用命令“attrib dnsq.dll -s -h”去除文件dnsq.dll的附加属性。
4、重命名文件dnsq.dll后,立即关闭电源或强制启动系统。
//因为恶意程序加载了驱动并删除了启动驱动的服务,所以通过这种方法使下次启动不加载驱动
5、重新启动后,用超级巡警删除各盘的根目录的autorun.inf和pagefile.pif
//注意不要双击打开任何磁盘,防止重新运行恶意程序。
6、将注册表项AppInit_DLLs置空,用超级巡警修复安全模式。
7、删除恶意程序生成的相关文件
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
回复:=========“磁碟机病毒”是会感染EXE后缀名的文件的、而且许多被感染文件无法修复的、
你即已杀掉.那就太好了、恭喜你、!!!
diskgen 是最近疯狂爆发的 “磁碟机病毒”、
1、 360磁碟机病毒(Dummycom)专杀工具、 版本:V1.7版 大小:348KB 最后更新:2008-03-18 日、
下载路径1:http://360safe.qihoo.com/killer/k-dummycom.html
2、 江民千足虫(磁碟机)江民专杀工具 0.0.0.4 http://down1.tech.sina.com.cn/download/down_contents/1208016000/38866.shtml 新浪网下、
江民"千足虫"(磁碟机)专杀工具官方下载地址2008-3-14发布:http://download.jiangmin.info/jmsoft/killvirus.rar
江民科技郑重声明,经众多用户实践证明,“磁碟机”无法关闭江民杀毒软件KV2008最新版本,2008年3月17日 、
江民主页:http://www.jiangmin.com/
你即已杀掉.那就太好了、恭喜你、!!!
diskgen 是最近疯狂爆发的 “磁碟机病毒”、
1、 360磁碟机病毒(Dummycom)专杀工具、 版本:V1.7版 大小:348KB 最后更新:2008-03-18 日、
下载路径1:http://360safe.qihoo.com/killer/k-dummycom.html
2、 江民千足虫(磁碟机)江民专杀工具 0.0.0.4 http://down1.tech.sina.com.cn/download/down_contents/1208016000/38866.shtml 新浪网下、
江民"千足虫"(磁碟机)专杀工具官方下载地址2008-3-14发布:http://download.jiangmin.info/jmsoft/killvirus.rar
江民科技郑重声明,经众多用户实践证明,“磁碟机”无法关闭江民杀毒软件KV2008最新版本,2008年3月17日 、
江民主页:http://www.jiangmin.com/
本回答被提问者采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
