利用文件訪問(wèn)權(quán)限滅掉假explorer.exe木馬群

swolook 2010-05-06

展開(kāi)全文

近期流行的這類(lèi)木馬群都比較變態(tài)。有驅(qū)動(dòng)保護(hù)、病毒文件多，插入進(jìn)程的病毒模塊多，在各硬盤(pán)分區(qū)根目錄以及移動(dòng)存貯介質(zhì)根目錄下創(chuàng)建autorun.inf及配套的病毒.exe。

中招后難殺凈。按傳統(tǒng)的方法手工殺毒，需要一一處理被插進(jìn)程，一一刪除病毒文件，工作很量大。

以下介紹一種以中毒日期為切入點(diǎn)、利用文件訪問(wèn)權(quán)限禁錮病毒程序的手工殺毒方法。手工殺毒操作得工作量要小得多。

1、根據(jù)中毒日期，分門(mén)別類(lèi)搜索病毒文件（.dll、.fon、.ttf、.sys、.dat、......）。
全部選中搜索到的病毒文件（這里以.dll病毒文件為例），參考圖1－圖7操作，將病毒.dll全部禁錮起來(lái)。

圖1

圖2

圖3

圖4

圖5

圖6

圖7

2、再分別搜病毒文件.fon、.ttf、.sys、.dat等，依樣畫(huà)葫蘆，仿前面圖1－圖7處理。

圖8

圖9

圖11

3、注銷(xiāo)當(dāng)前用戶。重新登陸。將dllcache目錄下或同類(lèi)系統(tǒng)的其它電腦中的comres.dll拷貝到中招電腦的system32目錄下。
然后，重復(fù)第一步的分類(lèi)搜索。這時(shí)，搜索到的病毒文件已可刪除（刪除效果類(lèi)似于IceSword的文件刪除，文件被直接刪除而不進(jìn)入回收站）。

圖12

圖13

4、剩下的工作就是處理那些小嘍羅了。不難。

圖14

圖15

5、去掉hosts文件中病毒添加的內(nèi)容，保存hosts。

圖10

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買(mǎi)等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來(lái)自： swolook > 《電腦安全》

舉報(bào)/認(rèn)領(lǐng)