手动清除磁碟机病毒木马维护系统安全的具体步骤

磁碟机木马最近成为安全领域的热门话题,据悉,进入3月以来,“磁碟机”木马作者已经更新了数次,感染率和破坏力正逐步提高。该病毒运行后关闭并阻止360安全卫士和卡巴、瑞星、金山、江民等安全类软件的运行,除此之外还会删除系统中含有“360”字样的文件。感染后,进程中会多出smss.exe和lsass.exe进程,使用任务管理器结束后会造成计算机重启,并自动下载大量的木马到本地机器。

据分析,该木马使用的关闭安全软件的方法和以往不同,其通过发生一堆垃圾消息,导致安全程序的崩溃,连icesword(冰刃)也未能幸免。其在运行后,会在 system32的Com 目录下生成smss.exe,lsass.exe, netcfg.dll等文件并在system32下生成dsnq.dll文件,在关机瞬间会写一个文件到开始菜单的启动项中;

需要注意的是,该病毒使用极其恶毒的感染方式,感染除SYSTEM32 目录外其它目录下的所有可执行文件(*.exe),导致文件被感染后无法使用且部分文件无法恢复。详细症状请点击查看 (第二页)。

既然所有可执行文件(*.exe)都无法运行,那么我们就来手动查杀磁碟机木马,具体步骤如下:

1、用改名大法将system32和dllcache目录下的cmd.exe临时改名为cm.dll(为安全起见,笔者使用了WinRAR的资源管理功能),再重启系统看看。


用WinRAR的资源管理功能改名

2、重启系统后,检查system32和dllcache目录。发现改名后的cm.dll都还在,但system32目录下出现了一个怪怪的cmd.exe(见下图)。这个cmd.exe的logo不同于正常的cmd.exe,这个就是病毒现从I386目录里找出来的!

3、不管这些,先看看病毒文件能否手工删除(如果那个cmd.exe管用,那么NetApi000.sys即可加载,病毒就会运行),结果所有病毒文件都可以被一一删除了。

4、删除system32目录下那个异常的cmd.exe。将system32和dllcache目录下的cm.dll改回cmd.exe。

注:此测试电脑只有一个分区,处理到这里,就完事了。但多分区系统(一般用户都会有多个分区),非系统分区还会有病毒的,记得删除其他几个分区里的病毒,打开其他分区时点鼠标右键—>打开进入,而不是直接双击。最重要的,还是要用最新病毒库的杀毒软件全盘杀毒,切记!

(0)

相关推荐

  • 手动清除磁碟机病毒木马维护系统安全的具体步骤

    手动清除磁碟机病毒木马维护系统安全的具体步骤

    磁碟机木马最近成为安全领域的热门话题,据悉,进入3月以来,"磁碟机"木马作者已经更新了数次,感染率和破坏力正逐步提高.该病毒运行后关闭并阻止360安全卫士和卡巴.瑞星.金山.江民等安全类软件的运行,除此之外还会删除系统中含有"360"字样的文件.感染后,进程中会多出smss.exe和lsass.exe进程,使用任务管理器结束后会造成计算机重启,并自动下载大量的木马到本地机器. 据分析,该木马使用的关闭安全软件的方法和以往不同,其通过发生一堆垃圾消息,导致安全程序的崩

  • 手动清除rundll2kxp.exe病毒的方法,无需专杀

    表现:机器启动变慢,在进程中添加一个rundll2kxp.exe  解决办法: 打开windows任务管理器,按Ctrl+Alt+Delete键,点击进程,然找到rundll2kxp.exe进程,结束该进程.  1.重起机器,按F8进入安全模式,关闭系统还原.彻底删除C:\Documents and Settings\(用户名)\Local Settings\Temp及WINDOWS\TEMP下的所有能删除的文件.清除IE的临时文件,关闭所有应用程序.(电脑软硬件应用网PS:建议使用360安全卫

  • 查找与清除线程插入式木马

    目前网络上最猖獗的病毒估计非木马程序莫数了,特别是在过去的2004年木马程序的攻击性也有了很大的加强,在进程隐藏方面,做了较大的改动,不再采用独立的EXE可执行文件形式,而是改为内核嵌入方式.远程线程插入技术.挂接PSAPI等,这些木马也是目前最难对付的.本期就教你查找和清除线程插入式木马. 操作步骤: 1.通过自动运行机制查木马  一说到查找木马,许多人马上就会想到通过木马的启动项来寻找"蛛丝马迹",具体的地方一般有以下几处: 1)注册表启动项:  在"开始/运行"

  • 手动清除AV终结者的方法与相关软件

    手动清除AV终结者的方法与相关软件

    最近AV终结者病毒很流行,许多人都中了,杀毒软件打不开,只格C盘重装也会马上又中毒.因为AV终结者也在不断的更新,所以杀毒软件和专杀总是落后一步,不能查杀. 在这里算是打个小广告吧,我新建了一个QQ群给大家提供一个交流的地方,群号4550740.欢迎各高手和需要帮助的朋友加入.写这些的时候,群里只有我一个光杆司令.... 现在我给大家一个手动杀毒的思路,并且以"永久下载者"为例教大家怎样手动清除病毒. 事实上AV终结者并不是指某一个特定的病毒,其本身也没有远程控制和盗号的功能.AV终结

  • Windows下病毒木马基本防御和解决方案

    一.基本防御思想:备份胜于补救.  1.备份,装好机器之后,首先备份c盘(系统盘)windows里面,和C:\WINDOWS\system32下的文件目录.  运行,cmd命令如下:   dir/a C:\WINDOWS\system32 >c:\1.txt  dir/a c:\windows >c:\2.txt  这样就备份了windows和system32下面的文件列表,如果有一天觉得电脑有问题,同样命令列出文件,然后cmd下面,fc命令比较一下,格式为,假如你出问题那一天system32

  • Spring Boot构建系统安全层的步骤

    Spring Boot构建系统安全层的步骤

    01 | Spring Security 架构及核心类 Spring Security 中的过滤器链 Spring Security 中采用的是管道-过滤器(Pipe-Filter)架构模式,这些过滤器链,构成了 Spring Security 的核心.如下图所示: 项目一旦启动,过滤器链将会实现自动配置,如下图所示: UsernamePasswordAuthenticationFilter 用来检查输入的用户名和密码,代码如下: public class UsernamePasswordAut

  • VUE实现分布式医疗挂号系统预约挂号首页步骤详情

    VUE实现分布式医疗挂号系统预约挂号首页步骤详情

    目录 (1)定义布局 1.修改默认布局 2.提取头文件 3.提取尾文件 (2)首页引入 (3)首页数据API接口 1.获取医院等级/地区接口 2.医院列表接口 3.模糊查询医院列表 (4)首页前端实现 1.封装Api请求 2.预约挂号前端页面 (1)定义布局 将准备好的静态资源下面的css.images文件夹添加到assets目录: 1.修改默认布局 参考静态资源文件首页,我们可以把页头和页尾提取出来,形成布局页.在layouts目录下修改默认布局文件default.vue,将主内容区域的内容替

  • smss.exe 病毒完全手动清除技巧

    (其实2000,xp都有smss.exe必须的进程,但是它的路径是c:\winnt\system32,看路径的工具可以用Process Explorer这个工具来看) 在D盘写一个autocommand.ini文件,可以删除,但是删除后又回自动生成. 一.恢复系统盘镜像后,进入系统.发现依然中毒 二查看注册表启动项目run有个加载项目tprogram=c:\windows\smss.exe,可以删除,启动后注册表又有这个! 二下载木马客星最新版本,安装完毕.木马克星不能启动.提示无法加载病毒库.

  • IRC后门病毒及手动清除方法

    2004年年初,IRC后门病毒开始在全球网络大规模出现.一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失. 同时,由于病毒的源代码是公开的,任何人拿到源码后稍加修改就可编译生成一个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现.还有一些病毒每次运行后都会进行变形,给病毒查杀带来很大困难.本文先从技术角度介绍IRC后门病毒,然后介绍其手工清除方法. 一.技术报告 IRC病毒集黑客.蠕虫.后门功能于一体,通过局域网共享目录和系统漏洞进行传

  • visin.exe病毒的手动清除方法,专杀都不要了

    病毒描述: 名称:visin 路径:C:\windows\system32\visin.exe 出品公司:Microsoft Corporation 行为描述:新增系统启动项 位置:HKEY lOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run 注册表:HKEY lOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ex

随机推荐