【要闻】电脑中了磁碟机病毒木马症状和查杀做法
本篇文章1082字,读完约3分钟
兜风木马最近在安全行业引起了话题,进入3月后,“兜风”木马的作者被更新了几次,感染率和破坏力都在提高。
驾驶木马介绍:
“驱动器”特洛伊木马也称为dummycom,运行后停止并阻止360个安全卫士和河马、瑞星、金山、江民等安全软件的运行,此外删除系统中包含“360”字符的文件 感染后,进程中会有很多smss.exe和lsass.exe进程,使用任务管理器退出后,计算机将重新启动,大量木马将自动下载到本地计算机。
根据解体,关闭该特洛伊木马采用的安全软件的方法与以往不同,由于产生垃圾邮件堆,安全程序崩溃,连icesword (冰刃)都无法幸免。 执行后,在system32的com目录中生成smss.exe、lsass.exe、netcfg.dll等文件,在system32下生成dsnq.dll文件。 关机时,文件会写入开始菜单的启动项目。
请注意,该病毒采用了极其恶意的感染方法,感染了system32目录以外的所有可执行文件( *.exe ),即使感染了文件也无法采用,有些文件无法恢复。
感染兜风木马后的症状:
1、系统运行缓慢,频繁出现恐慌、蓝屏、错误等现象。
2、过程中出现两个lsass.exe和两个smss.exe,病毒过程的客户名是当前登录的客户名
3、杀毒软件被破坏,不能正常打开,多种安全辅助工具不能正常打开。
4、系统时间被篡改了。
5、根据病毒感染. exe文件图标发生了变化。
6、不能进入安全模式
7、隐藏文件不显示。
8、组策略被破坏了。
检查兜风的木马
1、尝试用改名法将system32和dllcache目录下的cmd.exe暂时改名为cm.dll,重新启动系统。
2、重新启动系统后,检查system32和dllcache目录。 所有改名的cm.dll都在system32目录下出现了奇怪的cmd.exe。 这个cmd.exe的logo和普通的cmd.exe不同,现在不是从i386目录中发现了病毒吗? 出汗! 我觉得这个dd不工作。
3、不管这些,让我们看看病毒文件是否可以手动删除(如果那个cmd.exe有用,netapi000.sys将被加载,病毒将完全运行。 无法删除病毒文件)。
结果:所有病毒文件都被删除了。
4、删除system32目录中那个异常的cmd.exe。 将system32和dllcache目录中的cm.dll返回到cmd.exe。 注:计算机上只有一个分区。 到此结束。 多分区系统,非系统分区,病毒。 这样解决后,不能彻底处理问题。 还有,大家都需要杀死病毒。 记住!
点击下载专用工具。
标题:【要闻】电脑中了磁碟机病毒木马症状和查杀做法
地址:http://www.huarenwang.vip/new/20181024/11.html
免责声明:兰州日报网致力于为网友提供兰州最新的资讯,部分内容来自于网络,不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,兰州日报网将予以删除。