|
磁碟機(jī)木馬最近成為安全領(lǐng)域的熱門話題��,據(jù)悉��,進(jìn)入3月以來����,“磁碟機(jī)”木馬作者已經(jīng)更新了數(shù)次����,感染率和破壞力正逐步提高。該病毒運(yùn)行后關(guān)閉并阻止360安全衛(wèi)士和卡巴�����、瑞星�、金山、江民等安全類軟件的運(yùn)行��,除此之外還會(huì)刪除系統(tǒng)中含有“360”字樣的文件。感染后�����,進(jìn)程中會(huì)多出smss.exe和lsass.exe進(jìn)程��,使用任務(wù)管理器結(jié)束后會(huì)造成計(jì)算機(jī)重啟�����,并自動(dòng)下載大量的木馬到本地機(jī)器���。
據(jù)分析,該木馬使用的關(guān)閉安全軟件的方法和以往不同���,其通過發(fā)生一堆垃圾消息�,導(dǎo)致安全程序的崩潰�,連icesword(冰刃)也未能幸免。其在運(yùn)行后����,會(huì)在 system32的Com 目錄下生成smss.exe,lsass.exe�����, netcfg.dll等文件并在system32下生成dsnq.dll文件,在關(guān)機(jī)瞬間會(huì)寫一個(gè)文件到開始菜單的啟動(dòng)項(xiàng)中���;
需要注意的是�����,該病毒使用極其惡毒的感染方式�����,感染除SYSTEM32 目錄外其它目錄下的所有可執(zhí)行文件(*.exe)�,導(dǎo)致文件被感染后無法使用且部分文件無法恢復(fù)�����。詳細(xì)癥狀請(qǐng)點(diǎn)擊查看 (第二頁)��。
既然所有可執(zhí)行文件(*.exe)都無法運(yùn)行�����,那么我們就來手動(dòng)查殺磁碟機(jī)木馬��,具體步驟如下:
1、用改名大法將system32和dllcache目錄下的cmd.exe臨時(shí)改名為cm.dll(為安全起見�����,筆者使用了WinRAR的資源管理功能)��,再重啟系統(tǒng)看看�。
用WinRAR的資源管理功能改名
2、重啟系統(tǒng)后�����,檢查system32和dllcache目錄����。發(fā)現(xiàn)改名后的cm.dll都還在,但system32目錄下出現(xiàn)了一個(gè)怪怪的cmd.exe(見下圖)���。這個(gè)cmd.exe的logo不同于正常的cmd.exe,這個(gè)就是病毒現(xiàn)從I386目錄里找出來的�����!
3����、不管這些����,先看看病毒文件能否手工刪除(如果那個(gè)cmd.exe管用���,那么NetApi000.sys即可加載��,病毒就會(huì)運(yùn)行)�����,結(jié)果所有病毒文件都可以被一一刪除了���。
4、刪除system32目錄下那個(gè)異常的cmd.exe���。將system32和dllcache目錄下的cm.dll改回cmd.exe�。
注:此測(cè)試電腦只有一個(gè)分區(qū)��,處理到這里���,就完事了��。但多分區(qū)系統(tǒng)(一般用戶都會(huì)有多個(gè)分區(qū))�,非系統(tǒng)分區(qū)還會(huì)有病毒的,記得刪除其他幾個(gè)分區(qū)里的病毒���,打開其他分區(qū)時(shí)點(diǎn)鼠標(biāo)右鍵—>打開進(jìn)入�����,而不是直接雙擊�����。最重要的��,還是要用最新病毒庫的殺毒軟件全盤殺毒�����,切記�����!
出處:
責(zé)任編輯:bluehearts
上一頁 下一頁 磁碟機(jī)病毒(worm.vcting)爆發(fā)癥狀
◎進(jìn)入論壇計(jì)算機(jī)技術(shù)版塊參加討論
|
第 1 頁 手動(dòng)清除磁碟機(jī)病毒木馬
第 2 頁 
