【要闻】电脑中了磁碟机病毒木马症状和查杀做法

本篇文章1082字，读完约3分钟

兜风木马最近在安全行业引起了话题，进入3月后，“兜风”木马的作者被更新了几次，感染率和破坏力都在提高。

驾驶木马介绍:

“驱动器”特洛伊木马也称为dummycom，运行后停止并阻止360个安全卫士和河马、瑞星、金山、江民等安全软件的运行，此外删除系统中包含“360”字符的文件 感染后，进程中会有很多smss.exe和lsass.exe进程，使用任务管理器退出后，计算机将重新启动，大量木马将自动下载到本地计算机。

根据解体，关闭该特洛伊木马采用的安全软件的方法与以往不同，由于产生垃圾邮件堆，安全程序崩溃，连icesword (冰刃)都无法幸免。 执行后，在system32的com目录中生成smss.exe、lsass.exe、netcfg.dll等文件，在system32下生成dsnq.dll文件。 关机时，文件会写入开始菜单的启动项目。

请注意，该病毒采用了极其恶意的感染方法，感染了system32目录以外的所有可执行文件( *.exe )，即使感染了文件也无法采用，有些文件无法恢复。

感染兜风木马后的症状:

1、系统运行缓慢，频繁出现恐慌、蓝屏、错误等现象。

2、过程中出现两个lsass.exe和两个smss.exe，病毒过程的客户名是当前登录的客户名

3、杀毒软件被破坏，不能正常打开，多种安全辅助工具不能正常打开。

4、系统时间被篡改了。

5、根据病毒感染. exe文件图标发生了变化。

6、不能进入安全模式

7、隐藏文件不显示。

8、组策略被破坏了。

检查兜风的木马

1、尝试用改名法将system32和dllcache目录下的cmd.exe暂时改名为cm.dll，重新启动系统。

2、重新启动系统后，检查system32和dllcache目录。 所有改名的cm.dll都在system32目录下出现了奇怪的cmd.exe。 这个cmd.exe的logo和普通的cmd.exe不同，现在不是从i386目录中发现了病毒吗？ 出汗！ 我觉得这个dd不工作。

3、不管这些，让我们看看病毒文件是否可以手动删除(如果那个cmd.exe有用，netapi000.sys将被加载，病毒将完全运行。 无法删除病毒文件)。

结果:所有病毒文件都被删除了。

4、删除system32目录中那个异常的cmd.exe。 将system32和dllcache目录中的cm.dll返回到cmd.exe。 注:计算机上只有一个分区。 到此结束。 多分区系统，非系统分区，病毒。 这样解决后，不能彻底处理问题。 还有，大家都需要杀死病毒。 记住！

点击下载专用工具。