首页 > NOOK资料收集 > > 正文

手动清除磁碟机病毒木马

日期:2016-10-07 16:43:18编辑作者:新葡京线上娱乐
磁碟机木马最近成为安全领域的热门话题,据悉,进入3月以来,“磁碟机”木马作者已经更新了数次,感染率和破坏力正逐步提高。该病毒运行后关闭并阻止360安全卫士和卡巴、瑞星、金山、江民等安全类软件的运行,除此之外还会删除系统中含有“360”字样的文件。感染后,进程中会多出smss.exe和lsass.exe进程,使用任务管理器结束后会造成计算机重启,并自动下载大量的木马到本地机器。
 
据分析,该木马使用的关闭安全软件的方法和以往不同,其通过发生一堆垃圾消息,导致安全程序的崩溃,连icesword(冰刃)也未能幸免。其在运行后,会在 system32的Com 目录下生成smss.exe,lsass.exe, netcfg.dll等文件并在system32下生成dsnq.dll文件,在关机瞬间会写一个文件到开始菜单的启动项中;
 
需要注意的是,该病毒使用极其恶毒的感染方式,感染除SYSTEM32 目录外其它目录下的所有可执行文件(*.exe),导致文件被感染后无法使用且部分文件无法恢复。详细症状请点击查看 (第二页)。
 
既然所有可执行文件(*.exe)都无法运行,那么我们就来手动查杀磁碟机木马,具体步骤如下:
 
1、用改名大法将system32和dllcache目录下的cmd.exe临时改名为cm.dll(为安全起见,笔者使用了WinRAR的资源管理功能),再重启系统看看。
 
 
用WinRAR的资源管理功能改名
 
2、重启系统后,检查system32和dllcache目录。发现改名后的cm.dll都还在,但system32目录下出现了一个怪怪的cmd.exe(见下图)。这个cmd.exe的logo不同于正常的cmd.exe,这个就是病毒现从I386目录里找出来的!
 
 
3、不管这些,先看看病毒文件能否手工删除(如果那个cmd.exe管用,那么NetApi000.sys即可加载,病毒就会运行),结果所有病毒文件都可以被一一删除了。
 
4、删除system32目录下那个异常的cmd.exe。将system32和dllcache目录下的cm.dll改回cmd.exe。
 
注:此测试电脑只有一个分区,处理到这里,就完事了。但多分区系统(一般用户都会有多个分区),非系统分区还会有病毒的,记得删除其他几个分区里的病毒,打开其他分区时点鼠标右键—>打开进入,而不是直接双击。最重要的,还是要用最新病毒库的杀毒软件全盘杀毒,切记!
 

相关文章

新葡京娱乐网址:磁碟机病毒十大罪行

磁碟机病毒侵入我们的计算机后到底都做了些什么?在C盘根目录下释放驱动NetApi000 sys,卸掉杀毒软件的钩子,使其监控失效。从以下网站下载 ..

发布日期:2016-10-07 详细>>

导致浏览器资源占用高的网页黑手

随着计算机及网络应用的扩展,电脑信息安全所面临的危险和已造成的损失也在成倍地增长,特别是各种黑客的增多,一些个人用户也时常遭到不同 ..

发布日期:2016-10-07 详细>>

http://www.it-adv.net/nook/201664.html

关于ARP的原理

1 什么是ARP?ARP(AddressResolutionProtocol)地址解析协议用于将计算机的网络IP地址转化为物理MAC地址。ARP协议的基本功能就是通过目 ..

发布日期:2016-10-07 详细>>

每步网动态域名解析疑难解答

最近很多网友注册使用了动态域名解析,但他们的网站无法被外界访问,给我们提出了很多疑问,现综合解答如下:1、注册完域名以后,服务是否 ..

发布日期:2016-11-03 详细>>

http://www.it-adv.net/nook/2016119.html

关于Illustrator初级入门

在论坛里经常看到新学Illustrator的朋友们问许多问题,问得最多的莫过于某个效果怎么实现。。。具体步骤怎样。。。其实,当我们了解工具栏 ..

发布日期:2016-11-05 详细>>

网站统计: