这个“磁碟机”已经更新过N个版本了。目前所见的新版磁碟机貌似都比较NB。中招后,菜鸟们大多四处找专杀解决问题。磁碟机专杀良莠不齐,某些专杀还行,另一些则根本就不管用。
自从“磁碟机”更新到具备驱动程序NetApi00.sys(最新版变为NetApi000.sys)后,它便NB起来。IceSword、SRENG等手工杀毒工具貌似统统被这个驱动废掉了。其实也没完全废掉。昨天在剑盟发了一个戏弄磁碟机的帖子(http://bbs.janmeng.com/thread-711635-1-1.html),即可说明问题。但那帖子中叙述的操作涉及注册表改动,菜鸟级的朋友难以完成。
我一直在观察这个驱动的加载过程。发现了一个规律:目前为止见到的所有磁碟机变种,均通过调用系统程序cmd.exe加载此驱动。
行了。菜鸟级的杀毒办法有了:
0、关闭所有安全软件。将病毒放入系统(样本来自:http://bbs.janmeng.com/thread-708406-1-2.html,瑞星目前还不报毒。)
1、用改名大法将system32和dllcache目录下的cmd.exe临时改名为cm.dll(图)。重启系统看看。
2、重启系统后,检查system32和dllcache目录。发现改名后的cm.dll都在,但是,system32目录下出现了一个怪怪的cmd.exe(见下图)。这个cmd.exe的logo不同于正常的cmd.exe,该不会是病毒现从I386目录里找来的吧?汗!估计这DD不能运行。
 |
 |
 |
结果:所有病毒文件被一一删除了。
4、删除system32目录下那个异常的cmd.exe。将system32和dllcache目录下的cm.dll改回cmd.exe。
