磁盤(pán)驅(qū)動(dòng)器Trojan最近成為安全領(lǐng)域的熱門(mén)話題. 據(jù)悉，自三月份以來(lái)，“磁盤(pán)驅(qū)動(dòng)器”木馬的作者已經(jīng)多次更新簡(jiǎn)述磁碟機(jī)病毒，感染率和破壞力正在逐步提高.

木馬簡(jiǎn)介:

“磁盤(pán)驅(qū)動(dòng)器”木馬也稱為dummycom. 該程序運(yùn)行后，將關(guān)閉并阻止360安全衛(wèi)士以及Kaba，Rising，金山簡(jiǎn)述磁碟機(jī)病毒，江民和其他安全軟件的運(yùn)行. 另外，系統(tǒng)包含“ 360”. 感染后，該過(guò)程中將有更多的smss.exe和lsass.exe進(jìn)程. 使用任務(wù)管理器后，它將導(dǎo)致計(jì)算機(jī)重新啟動(dòng)并自動(dòng)將大量木馬下載到本地計(jì)算機(jī)上.

根據(jù)分析，木馬關(guān)閉安全軟件所使用的方法與過(guò)去不同. 它通過(guò)一堆垃圾郵件導(dǎo)致安全程序崩潰，甚至連冰劍（冰刀）也無(wú)法幸免. 運(yùn)行后，它將在system32的Com目錄和system32下的dsnq.dll文件中生成smss.exe，lsass.exe，netcfg.dll和其他文件，并將此文件寫(xiě)入開(kāi)始菜單的啟動(dòng)項(xiàng)中. 停機(jī)次數(shù)；

應(yīng)注意，該病毒使用一種非常惡意的感染方法，感染除SYSTEM32目錄之外其他目錄中的所有可執(zhí)行文件（* .exe），導(dǎo)致文件在感染后無(wú)法使用，并且某些文件無(wú)法恢復(fù).

木馬病毒感染后的癥狀:

1. 系統(tǒng)運(yùn)行緩慢，頻繁崩潰，出現(xiàn)藍(lán)屏，錯(cuò)誤等；

2. 進(jìn)程中出現(xiàn)兩個(gè)lsass.exe和兩個(gè)smss.exe，病毒進(jìn)程的用戶名是當(dāng)前登錄用戶名；

3. 防病毒軟件已損壞，無(wú)法正常打開(kāi)，并且各種安全輔助工具也無(wú)法正常打開(kāi)；

4. 系統(tǒng)時(shí)間已被篡改；

5. 病毒感染. exe文件導(dǎo)致其圖標(biāo)更改；

6. 無(wú)法進(jìn)入安全模式；

7. 隱藏的文件無(wú)法顯示；

8. 組策略被破壞.

死亡驅(qū)動(dòng)器木馬

1. 使用重命名方法將system32和dllcache目錄中的cmd.exe臨時(shí)重命名為cm.dll，重新啟動(dòng)系統(tǒng)，然后查看.

2. 重新啟動(dòng)系統(tǒng)后，檢查system32和dllcache目錄. 發(fā)現(xiàn)存在重命名的cm.dll，但是system32目錄中出現(xiàn)一個(gè)奇怪的cmd.exe. 此cmd.exe的徽標(biāo)不同于普通的cmd.exe. 現(xiàn)在可以在I386目錄中找到該病毒嗎？汗！估計(jì)該DD無(wú)法運(yùn)行.

3. 無(wú)論如何，請(qǐng)首先查看是否可以手動(dòng)刪除病毒文件（如果cmd.exe可以工作，則可以加載NetApi000.sys，并且病毒已完全運(yùn)行. 不能刪除病毒文件）.

結(jié)果: 所有病毒文件都被一一刪除.

4. 刪除system32目錄中的異常cmd.exe. 將system32和dllcache目錄中的cm.dll更改回cmd.exe. 注意: 我的計(jì)算機(jī)只有一個(gè)分區(qū). 處理到此結(jié)束了. 多分區(qū)系統(tǒng)，非系統(tǒng)分區(qū)和病毒. 經(jīng)過(guò)這種處理后，該問(wèn)題無(wú)法完全解決，因此必須使用防病毒軟件來(lái)殺死該病毒. 記住！

點(diǎn)擊下載查殺工具

本文來(lái)自本站，轉(zhuǎn)載請(qǐng)注明本文網(wǎng)址：
http://www.pc-fly.com/a/jisuanjixue/article-249799-1.html