磁碟机病毒

　　1、在C盘根目录下释放驱动NetApi000.sys，卸掉杀毒软件的钩子，使其监控失效。

　　2、从以下网站下载新病毒：
　　http://www.***.**/*.htm
　　http://js.k***.**/**.asp
　　http://js.k0****.**/**.asp
　　http://js.***.**/***.asp
　　http://js.***.**/

　　这是一个MFC写的感染型病毒。

　　病毒运行后首先会在C盘根目录下释放病毒驱动NetApi000.sys，该驱动用来恢复SSDT，把杀毒软件挂的钩子全部卸掉。然后在System32路径下的com文件夹中释放病毒文件smss.exe、netcfg.dll、netcfg.000、lsass.exe。
然后该程序退出，运行刚刚释放的lsass.exe。

　　lsass.exe运行后，会在com文件夹下重新释放刚才所释放的文件，同时会在system32文件夹下释放一个新的动态库文件dnsq.dll，然后生成两个随机名的log文件该文件是lsass.exe和dnsq.dll的副本，然后进行以下操作：
...

电脑感染“磁碟机”变种病毒后，症状表现为运行任意程序时系统经常性死机或长时间卡住不动，病毒会以加密感染的方式感染除系统盘外的其它所有分区内的EXE文件、网页文件、RAR和ZIP压缩包中的文件等。被感染的文件图标变为16位图标，图标变得模糊，类似马赛克状。病毒一旦发现带有符合安全工具软件相关的窗口名存在，就会强行将其关闭（发送洪水似垃圾消息）。在所有盘符下生成“autorun.inf”和病毒程序文件体，并且会实时检测保护这些文件。病毒会下载20余种木马病毒，用以窃取中毒电脑中有价值的隐私信息。病毒通过十余种方式实现自我保护和避免被杀毒软件查杀，其隐藏和自我保护技术超过以往任何同类病毒。

磁碟机病毒档案：
中文名：“磁碟机”变种cb
（Win32/Kdcyy.cb）
英文名：Trojan/Agent.pgz
病毒类型：木马
危害等级：★★★
影响平台：Win9X/ME/NT/2000/XP/2003

感染了磁碟机病毒的状态：

1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象。
2、进程中出现两个lsass.exe和两个smss.exe，且病毒进程的用户名是当前登陆用户名。
3、杀毒软件被破坏，多种安全软件无法打开，安全站点无法访问。
4、系统时间被篡改，无法进入安全模式，隐藏文件无法显示。
5、病毒感染.exe文件导致其图标发生变化。
6、会对局域网发起ARP攻击，并篡改下载链接为病毒链接。
7、弹出钓鱼网站。

　　以前发过帖子，谈过菜鸟也能暂时解决磁碟机中招问题。但多数人按照那个流程做不下来。还有人说不能彻底解决感染文件的问题。
　　是的。这个办法只是去除系统分区的病毒文件。单分区系统，这样就能搞掂了（磁碟机不感染系统分区文件）。
　　多分区系统的非系统分区依然有被病毒感染的文件；用户运行这些被感染文件，依然会完全激活磁碟机病毒。
　　被感染文件数目的多寡，取决于每个用户非系统分区存放的文件类型及数量。总之，非系统分区的被感染文件要靠杀软或专杀工具解决，因为数量较大，且去除被感染文件中的病毒代码也不是手工操作能胜任的。
　　此外，搞掂系统分区的所有病毒文件后，只要暂时不进非系统分区，不会再次激活此毒。

“磁碟机”病毒已经成为近期各大反病毒论坛求助量最大的问题之一，中毒计算机可能出现以下一种或多种异常现象：
1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象；
2、进程中出现两个lsass.exe和两个smss.exe，且病毒进程的用户名是当前登陆用户名；
3、杀毒软件被破坏，无法正常开启，多种安全辅助工具无法正常开启；
4、系统时间被篡改；
5、病毒感染.exe文件导致其图标发生变化；
6、无法进入安全模式；
7、隐藏文件无法显示；
8、组策略被破坏。