手动清除磁碟机病毒木马

磁碟机木马最近成为安全领域的热门话题,据悉,进入3月以来,“磁碟机”木马作者已经更新了数次,感染率和破坏力正逐步提高。该病毒运行后关闭并阻止360安全卫士和卡巴、瑞星、金山、江民等安全类软件的运行,除此之外还会删除系统中含有“360”字样的文件。感染后,进程中会多出smss.exe和lsass.exe进程,使用任务管理器结束后会造成计算机重启,并自动下载大量的木马到本地机器。
据分析,该木马使用的关闭安全软件的方法和以往不同,其通过发生一堆垃圾消息,导致安全程序的崩溃,连icesword(冰刃)也未能幸免。其在运行后,会在 system32的Com 目录下生成smss.exe,lsass.exe, netcfg.dll等文件并在system32下生成dsnq.dll文件,在关机瞬间会写一个文件到开始菜单的启动项中;
需要注意的是,该病毒使用极其恶毒的感染方式,感染除SYSTEM32 目录外其它目录下的所有可执行文件(*.exe),导致文件被感染后无法使用且部分文件无法恢复。详细症状请点击查看 (第二页)。
既然所有可执行文件(*.exe)都无法运行,那么我们就来手动查杀磁碟机木马,具体步骤如下:
1、用改名大法将system32和dllcache目录下的cmd.exe临时改名为cm.dll(为安全起见,笔者使用了WinRAR的资源管理功能),再重启系统看看。

用WinRAR的资源管理功能改名
2、重启系统后,检查system32和dllcache目录。发现改名后的cm.dll都还在,但system32目录下出现了一个怪怪的cmd.exe(见下图)。这个cmd.exe的logo不同于正常的cmd.exe,这个就是病毒现从I386目录里找出来的!

3、不管这些,先看看病毒文件能否手工删除(如果那个cmd.exe管用,那么NetApi000.sys即可加载,病毒就会运行),结果所有病毒文件都可以被一一删除了。
4、删除system32目录下那个异常的cmd.exe。将system32和dllcache目录下的cm.dll改回cmd.exe。
注:此测试电脑只有一个分区,处理到这里,就完事了。但多分区系统(一般用户都会有多个分区),非系统分区还会有病毒的,记得删除其他几个分区里的病毒,打开其他分区时点鼠标右键—>打开进入,而不是直接双击。最重要的,还是要用最新病毒库的杀毒软件全盘杀毒,切记!

杭州学院路口电脑维修 杭州花园西村电脑维修 杭州金地大厦电脑维修 杭州西湖大厦电脑维修 杭州团校电脑维修 杭州浙江工商大学电脑维修 杭州省团校电脑维修 杭州省测绘局电脑维修 杭州下宁桥电脑维修 杭州省新华书店电脑维修 杭州枫华府第电脑维修 杭州省建设厅干部学校电脑维修 杭州年代专修学校电脑维修 杭州求是科学院电脑维修 杭州省自然博物馆电脑维修 杭州九莲新村西电脑维修 杭州花园新村电脑维修 杭州黄姑山路电脑维修 杭州省工会干部学校电脑维修 杭州学军中学电脑维修 杭州保俶北路电脑维修 杭州下宁巷电脑维修 杭州求智路电脑维修 杭州西溪公园电脑维修 杭州海洋二所电脑维修 杭州浙江教育学院电脑维修 杭州西溪数码港电脑维修 杭州文二路口电脑维修 杭州学军小学电脑维修 杭州日晖新村电脑维修 杭州东方通信大厦电脑维修 杭州绿洲宾馆电脑维修 杭州省人民检察院电脑维修 杭州市国土局电脑维修 杭州百脑汇电脑维修 杭州五鑫大酒店电脑维修 杭州教工路口电脑维修 杭州立元大厦电脑维修 杭州上宁桥电脑维修 杭州浙江大学西溪校区电脑维修 杭州文三新村电脑维修 杭州庆丰新村电脑维修 杭州玉古路口电脑维修 杭州玉古山庄电脑维修 杭州西湖体育馆电脑维修 杭州绿园电脑维修 杭州跑马场电脑维修 杭州海关电脑维修 杭州黄龙体育中心电脑维修 杭州五环娱乐城电脑维修 杭州黄龙路电脑维修 杭州黄龙洞电脑维修 杭州黄龙公交中心站电脑维修 杭州省国土资源厅电脑维修 杭州世贸中心电脑维修 杭州杭大路电脑维修 杭州杭大路口电脑维修 杭州黄龙饭店电脑维修 杭州沿山河新村电脑维修 杭州浙江图书馆电脑维修 杭州省老年大学电脑维修 杭州宝石二路电脑维修
 阅读全文>>