怎样手动清除磁碟机病毒木马 【百科全说】-凯发k8官方旗舰厅

腾讯视频/爱奇艺/优酷/外卖 充值4折起

  磁碟机木马最近成为安全领域的热门话题,据悉,进入3月以来,“磁碟机”木马作者已经更新了数次,感染率和破坏力正逐步提高。该病毒运行后关闭并阻止360安全卫士和卡巴、瑞星、金山、江民等安全类软件的运行,除此之外还会删除系统中含有“360”字样的文件。感染后,进程中会多出smss.exe和lsass.exe进程,使用任务管理器结束后会造成计算机重启,并自动下载大量的木马到本地机器。

  据分析,该木马使用的关闭安全软件的方法和以往不同,其通过发生一堆垃圾消息,导致安全程序的崩溃,连icesword(冰刃)也未能幸免。其在运行后,会在 system32的com 目录下生成smss.exe,lsass.exe, netcfg.dll等文件并在system32下生成dsnq.dll文件,在关机瞬间会写一个文件到开始菜单的启动项中;

  需要注意的是,该病毒使用极其恶毒的感染方式,感染除system32 目录外其它目录下的所有可执行文件(*.exe),导致文件被感染后无法使用且部分文件无法恢复。详细症状请点击查看 (第二页)。

  既然所有可执行文件(*.exe)都无法运行,那么我们就来手动查杀磁碟机木马,具体步骤如下:

  1、用改名大法将system32和dllcache目录下的cmd.exe临时改名为cm.dll(为安全起见,笔者使用了winrar的资源管理功能),再重启系统看看。



  用winrar的资源管理功能改名

  2、重启系统后,检查system32和dllcache目录。发现改名后的cm.dll都还在,但system32目录下出现了一个怪怪的cmd.exe(见下图)。这个cmd.exe的logo不同于正常的cmd.exe,这个就是病毒现从i386目录里找出来的!



  3、不管这些,先看看病毒文件能否手工删除(如果那个cmd.exe管用,那么netapi000.sys即可加载,病毒就会运行),结果所有病毒文件都可以被一一删除了。

  4、删除system32目录下那个异常的cmd.exe。将system32和dllcache目录下的cm.dll改回cmd.exe。

  注:此测试电脑只有一个分区,处理到这里,就完事了。但多分区系统(一般用户都会有多个分区),非系统分区还会有病毒的,记得删除其他几个分区里的病毒,打开其他分区时点鼠标右键—>打开进入,而不是直接双击。最重要的,还是要用最新病毒库的杀毒软件全盘杀毒,切记!

08/11 19:06
磁碟机病毒疫情的发生 磁碟机病毒最早出现在去年2月份,是在windows系统目录下生成lsass.exe及smss.exe文件,并且修改系统时间为1980年,当时这个病毒不是以下载器为目的的,自身也有较多bug,入侵后,容易引起系统蓝屏死机.以后的变种逐步吸收了av终结者和机器狗的特性,对抗安全软件的能力逐步增强. 磁碟机病毒分析 磁碟机病毒至今已有多个变种,该病毒感染系统之后,会象蚂蚁搬家一样将更多木马下载到本地运行,以盗号木马为主.同时,磁碟机病毒还会下载其它木马下载器,比如av终结者,中毒
07/17 21:11
“鬼影”系列病毒的共同特点是感染电脑硬盘的主引导记录(mbr),无论重装系统或是格式化硬盘都无法清除病毒。在查杀前两代“鬼影”时,不同厂商推出的专杀工具都会首先修复mbr,然后再全面扫描清除病毒残骸,然而这个方法在查杀“鬼影3”时却遇到了难题。据分析,“鬼影3”病毒之所以非常顽固,原因在于它释放了一个恶意驱动作为“保镖”,用来禁止任何修复mbr的操作。对杀毒软件来说,不清除“保镖”驱动就无法修复mbr,不修复mbr又无法清除“保镖”驱动,从而陷入“鬼影3”怎么都杀不干净的死循环中。 年初的时候我
08/12 01:30
首先,显示隐藏文件,在u盘目录下检查是否存在"auto run.info.msvcr71.dl.ravmone.exe"以及隐藏目录"recycler". 如果存在,则可以肯定u盘感染了病毒.--(注意:有时狡猾的病毒会使显示隐藏文件的设置失效,从而躲过查杀.可以在u盘根目录下,按"ctrl a"组合键,如果此时提示"该文件含有隐藏文件,那么则可以肯定是病毒破坏了"文件夹选项"的相关设置,使该文件无法显示.)依次打开
06/10 23:41
1、首先,显示隐藏文件,在u盘目录下检查是否存在“auto run.info、msvcr71.dl、ravmone.exe”以及隐藏目录“recycler”。 2、如果存在,则可以肯定u盘感染了病毒。——(注意:有时狡猾的病毒会使显示隐藏文件的设置失效,从而躲过查杀。可以在u盘根目录下,按“ctrl a”组合键,如果此时提示“该文件含有隐藏文件,那么则可以肯定是病毒破坏了“文件夹选项”的相关设置,使该文件无法显示。) 3、依次打开我的电脑——控制面板——文件夹———查看——隐藏文件夹和文件——显
11/02 03:07
电脑开机时出现lass.exe进程是病毒吗? 进程文件:lass 或者 lass.exe 进程名称: troj.bdoor.akm 进程名称: lass.exe是troj.bdoor.akm木马的一部分.该木马允许攻击者访问你的计算机,窃取密码和个人数据.这个进程的安全等级是建议立即进行删除. 出品者: 未知n/a 属于: troj.bdoor.akm 系统进程: 否 后台程序: 是 使用网络: 是 硬件相关: 否 常见错误: 未知n/a 内存使用: 未知n/a 间谍软件: 否 广告软件: 否
09/15 19:57
特洛伊木马的名字取自古希腊神话的特洛伊木马记,是一种基于远程控制的黑客工具,对普通用户来说,它的隐藏性和危害性是相当的大.为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己,加载运行的目的.这里,我们简要的介绍一下木马通用的激活方式,它们的藏身地,并通过一些实例来让您体会一下手动清除木马的方法. 木马藏身地及通用排查技术 ●在win.ini中启动木马: 在win.ini的[windows]小节中有启动命令"load="和"run=",在一般的情况下&q
11/17 19:13
u盘中出现一个421kb统一大小的.exe后缀伪装文件夹,该病毒双击可以打开,也可以删除,但删除后再刷新可移动磁盘时病毒文件又再出现。因为它与原有的文件夹名称相同,因此又称伪装文件夹病毒。 瑞星安全专家唐威表示,从病毒文件夹删除后又立即被创建的现象不难看出,系统中正加载着病毒文件,该病毒文件不断地向u盘写入文件并命名为“文件夹名.exe”的病毒。当你通过“文件夹选项”显示隐藏文件时,原有的硬盘文件可以看到(如图1),但却无法右键修改文件夹的属性。 图1 唐威指出,借助杀毒辅助工具
08/13 06:27
"磁碟机"病毒侵入我们的计算机后到底都做了些什么? 在c盘根目录下释放驱动netapi000.sys,卸掉杀毒软件的钩子,使其监控失效. 从以下网站下载新病毒: http://www.***.**/*.htm http://js.k***.**/**.asp http://js.k0****.**/**.asp http://js.***.**/***.asp http://js.***.**/****.gif删除注册表启动项键值,使病毒外的所有软件无法自启动.例如qq.msn等可以自
08/27 22:12
根据pid进程号查杀病毒木马 对遇到的"顽固"病毒进程,可以通过系统的内置命令--ntsd,强行杀死一切病毒进程.(除system进程.smss.exe进程.csrss.exe进程不能"对付"外,基本可以对付其它一切进程.但是在使用该命令杀死病毒进程之前,需要先查找到对应病毒进程的具体进程号.) 考虑到系统进程列表界面在默认状态下,是不显示具体进程号的,因此,可用以下方法: (1)打开系统任务管理器窗口,再单击"查看"菜单项下面的"选择
网站地图