§ 运作机理及危害

该病毒运行后会在系统目录中COM目录（默认为c:\\windows\\system32\\com）下生成名为lsass.exe及smss.exe文件。该病毒会感染除windows及program files目录下所有的EXE格式可执行文件，会造成用户计算机运算速度缓慢，甚至造成系统蓝屏、死机。由于该病毒编写存在一些问题，可能会造成用户安装的软件被损坏，无法使用。

反病毒专家建议电脑用户采取以下措施预防该病毒：反病毒专家建议电脑用户采取以下措施预防该病毒：1、建立良好的安全习惯，不打开可疑邮件和可疑网站；2、很多病毒利用漏洞传播，一定要及时给系统打补丁；3、安装专业的防毒软件升级到最新版本，并打开实时监控程序；4、安装带有“木马墙”功能的个人防火墙软件，防止密码丢失。5、登陆http://tool.ikaka.com下载并安装免费的瑞星卡卡3.2，并开启“IE防漏墙”功能，防止病毒通过IE漏洞侵入计算机。

§ 手动清除磁碟机

磁碟机木马最近成为安全领域的热门话题，据悉，进入3月以来，“磁碟机”木马作者已经更新了数次，感染率和破坏力正逐步提高。该病毒运行后关闭并阻止360安全卫士和卡巴、瑞星、金山、江民等安全类软件的运行，除此之外还会删除系统中含有“360”字样的文件。感染后，进程中会多出smss.exe和lsass.exe进程，使用任务管理器结束后会造成计算机重启，并自动下载大量的木马到本地机器。

据分析，该木马使用的关闭安全软件的方法和以往不同，其通过发生一堆垃圾消息，导致安全程序的崩溃，连icesword(冰刃)也未能幸免。其在运行后，会在system32的Com目录下生成smss.exe,lsass.exe, netcfg.dll等文件并在system32下生成dsnq.dll文件，在关机瞬间会写一个文件到开始菜单的启动项中；

需要注意的是，该病毒使用极其恶毒的感染方式，感染除SYSTEM32目录外其它目录下的所有可执行文件(*.exe)，导致文件被感染后无法使用且部分文件无法恢复。详细症状请点击查看：http://publish.it168.com/2008/0321/20080321015301.shtml

既然所有可执行文件(*.exe)都无法运行，那么我们就来手动查杀磁碟机木马，具体步骤如下：

1、用改名大法将system32和dllcache目录下的cmd.exe临时改名为cm.dll(为安全起见，笔者使用了WinRAR的资源管理功能)，再重启系统看看。

磁碟机

用WinRAR的资源管理功能改名

2、重启系统后，检查system32和dllcache目录。发现改名后的cm.dll都还在，但system32目录下出现了一个怪怪的cmd.exe(见下图)。这个cmd.exe的logo不同于正常的cmd.exe，这个就是病毒现从I386目录里找出来的！磁碟机

3、不管这些，先看看病毒文件能否手工删除(如果那个cmd.exe管用，那么NetApi000.sys即可加载，病毒就会运行)，结果所有病毒文件都可以被一一删除了。

4、删除system32目录下那个异常的cmd.exe。将system32和dllcache目录下的cm.dll改回cmd.exe。

注：此测试电脑只有一个分区，处理到这里，就完事了。但多分区系统(一般用户都会有多个分区)，非系统分区还会有病毒的，记得删除其他几个分区里的病毒，打开其他分区时点鼠标右键—>打开进入，而不是直接双击。最重要的，还是要用最新病毒库的杀毒软件全盘杀毒，切记！

• 米杰成
• 米林南伊旅游景区
• 米查尔·莫尔斯
• 米根霉
• 米格-1
• 米格-15
• 米格-15战斗机
• 米格-1歼击机
• 米格-23“鞭挞者”战机
• 米格-25战斗机
• 米格-29
• 米格-29K
• 米格-29M2
• 米格-31
• 米格-31战斗机
• 米格-3战斗机
• 米格-AT
• 米格1.42战斗机
• 米格21战斗机
• 米格尔
• 米格尔-米兰达
• 米格尔·佩雷斯·阿拉西利
• 米格尔·加罗·古米拉
• 米格尔·卢汤达
• 米格尔·安吉尔·埃斯皮诺拉