Marsha09
博客自定义分类
|
手动清除磁碟机病毒木马 磁碟机木马最近成为安全领域的热门话题,据悉,进入3月以来,“磁碟机”木马作者已经更新了数次,感染率和破坏力正逐步提高。该病毒运行后关闭并阻止360安全卫士和卡巴、瑞星、金山、江民等安全类软件的运行,除此之外还会删除系统中含有“360”字样的文件。感染后,进程中会多出smss.exe和lsass.exe进程,使用任务管理器结束后会造成计算机重启,并自动下载大量的木马到本地机器。 据分析,该木马使用的关闭安全软件的方法和以往不同,其通过发生一堆垃圾消息,导致安全程序的崩溃,连icesword(冰刃)也未能幸免。其在运行后,会在 system32的Com 目录下生成smss.exe,lsass.exe, netcfg.dll等文件并在system32下生成dsnq.dll文件,在关机瞬间会写一个文件到开始菜单的启动项中; 需要注意的是,该病毒使用极其恶毒的感染方式,感染除SYSTEM32 目录外其它目录下的所有可执行文件(*.exe),导致文件被感染后无法使用且部分文件无法恢复。详细症状请点击查看 (第二页)。 既然所有可执行文件(*.exe)都无法运行,那么我们就来手动查杀磁碟机木马,具体步骤如下: 1、用改名大法将system32和dllcache目录下的cmd.exe临时改名为cm.dll(为安全起见,笔者使用了WinRAR的资源管理功能),再重启系统看看。 用WinRAR的资源管理功能改名 2、重启系统后,检查system32和dllcache目录。发现改名后的cm.dll都还在,但system32目录下出现了一个怪怪的cmd.exe(见下图)。这个cmd.exe的logo不同于正常的cmd.exe,这个就是病毒现从I386目录里找出来的! 3、不管这些,先看看病毒文件能否手工删除(如果那个cmd.exe管用,那么NetApi000.sys即可加载,病毒就会运行),结果所有病毒文件都可以被一一删除了。 4、删除system32目录下那个异常的cmd.exe。将system32和dllcache目录下的cm.dll改回cmd.exe。 注:此测试电脑只有一个分区,处理到这里,就完事了。但多分区系统(一般用户都会有多个分区),非系统分区还会有病毒的,记得删除其他几个分区里的病毒,打开其他分区时点鼠标右键—>打开进入,而不是直接双击。最重要的,还是要用最新病毒库的杀毒软件全盘杀毒,切记! 杭州学院路口电脑维修 杭州花园西村电脑维修 杭州金地大厦电脑维修 杭州西湖大厦电脑维修 杭州团校电脑维修 杭州浙江工商大学电脑维修 杭州省团校电脑维修 杭州省测绘局电脑维修 杭州下宁桥电脑维修 杭州省新华书店电脑维修 杭州枫华府第电脑维修 杭州省建设厅干部学校电脑维修 杭州年代专修学校电脑维修 杭州求是科学院电脑维修 杭州省自然博物馆电脑维修 杭州九莲新村西电脑维修 杭州花园新村电脑维修 杭州黄姑山路电脑维修 杭州省工会干部学校电脑维修 杭州学军中学电脑维修 杭州保俶北路电脑维修 杭州下宁巷电脑维修 杭州求智路电脑维修 杭州西溪公园电脑维修 杭州海洋二所电脑维修 杭州浙江教育学院电脑维修 杭州西溪数码港电脑维修 杭州文二路口电脑维修 杭州学军小学电脑维修 杭州日晖新村电脑维修 杭州东方通信大厦电脑维修 杭州绿洲宾馆电脑维修 杭州省人民检察院电脑维修 杭州市国土局电脑维修 杭州百脑汇电脑维修 杭州五鑫大酒店电脑维修 杭州教工路口电脑维修 杭州立元大厦电脑维修 杭州上宁桥电脑维修 杭州浙江大学西溪校区电脑维修 杭州文三新村电脑维修 杭州庆丰新村电脑维修 杭州玉古路口电脑维修 杭州玉古山庄电脑维修 杭州西湖体育馆电脑维修 杭州绿园电脑维修 杭州跑马场电脑维修 杭州海关电脑维修 杭州黄龙体育中心电脑维修 杭州五环娱乐城电脑维修 杭州黄龙路电脑维修 杭州黄龙洞电脑维修 杭州黄龙公交中心站电脑维修 杭州省国土资源厅电脑维修 杭州世贸中心电脑维修 杭州杭大路电脑维修 杭州杭大路口电脑维修 杭州黄龙饭店电脑维修 杭州沿山河新村电脑维修 杭州浙江图书馆电脑维修 杭州省老年大学电脑维修 杭州宝石二路电脑维修 阅读全文>> |
|
清除autorun.inf 一、 AutoRun简介: Windows95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改,并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后,随着各种可移动存储设备的普及,国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这种传播方式。它们有时是根目录下的神秘幽灵,有时是出现在不应该出现的地方的回收站,总之,它们是系统安全的严重威胁。见图0、图1。 图0 图1 二、运行方式: A. OPEN=filename.exe 自动运行。但是对于很多XPSP2用户和Vista用户,Autorun已经变成了AutoPlay,不会自动运行它,会弹出窗口说要你干什么。 B. shellAutocommand=filename.exe shell=Auto 修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键,马上发现破绽。精明点的病毒会改默认项的名字,但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文,你会认为是什么呢? 见图 |
|
开机启动小键盘的方法 Windows 方法1.先开机,等到提示要输入密码的时候,按NUM LOCK,这时灯亮了.此时,别输入密码,只要重新启动就行了. 方法2.首先在BIOS中把NumLock项设为Enable,然后在BIOS中将PnPWithOS项亦设为Enable即可。不过注销用户时NumLock小键盘锁是关闭的,要手工打开。 方法3.进HKEY_CURRENT_USER\Control Panel\Keyboard,将"KeyboardDelay"的值改为2。或者把下面的保存成*.reg,运行。 Windows Registry Editor Version 5.00 [HKEY_USERS\.DEFAULT\Control Panel\Keyboard] "InitialKeyboardIndicators"="2" 方法4.仅需要对config.sys文件动点小手术即可达到此目的。设置方法如下: 单击“开始”菜单中的“运行”命令,然后在“打开”框中键入“sysedit”,按下回车键,打开“系统配置编辑程序”窗口。 单击“Config.sys”标题栏,将它切换为当前编辑窗口,然后在编辑区中键入“NumLock=ON”这一行命令。 保存修改并关闭“系统配置编辑程序”窗口。 方法5.把下面的保存成VBS脚本,执行。 set WshShell=CreateObject("WScript.shell") WshShell.SendKeys"{NUMLOCK}" Linux 1. |
