手動清除磁碟機病毒木馬維護系統教程

  電腦病毒看不見,卻無處不在,有時防護措施不夠或者不當操作都會導致病毒入侵。磁碟機病毒木馬執行後關閉並阻止360安全衛士和卡巴、瑞星、金山、江民等安全類軟體的執行,除此之外還會刪除系統中含有“360”字樣的檔案

  方法步驟

  磁碟機木馬最近成為安全領域的熱門話題,據悉,進入3月以來,“磁碟機”木馬作者已經更新了數次,感染率和破壞力正逐步提高。該病毒執行後關閉並阻止360安全衛士和卡巴、瑞星、金山、江民等安全類軟體的執行,除此之外還會刪除系統中含有“360”字樣的檔案。感染後,程序中會多出smss.exe和lsass.exe程序,使用工作管理員結束後會造成計算機重啟,並自動下載大量的木馬到本地機器。

  據分析,該木馬使用的關閉安全軟體的方法和以往不同,其通過發生一堆垃圾訊息,導致安全程式的崩潰,連icesword冰刃也未能倖免。其在執行後,會在 system32的Com 目錄下生成smss.exe,lsass.exe, netcfg.dll等檔案並在system32下生成dsnq.dll檔案,在關機瞬間會寫一個檔案到開始選單的啟動項中;

  需要注意的是,該病毒使用極其惡毒的感染方式,感染除SYSTEM32 目錄外其它目錄下的所有可執行檔案*.exe,導致檔案被感染後無法使用且部分檔案無法恢復。既然所有可執行檔案*.exe都無法執行,那麼我們就來手動查殺磁碟機木馬,具體步驟如下:

  1、用改名大法將system32和dllcache目錄下的cmd.exe臨時改名為cm.dll為安全起見,筆者使用了WinRAR的資源管理功能,再重啟系統看看。

  2、重啟系統後,檢查system32和dllcache目錄。發現改名後的cm.dll都還在,但system32目錄下出現了一個怪怪的cmd.exe見下圖。這個cmd.exe的logo不同於正常的cmd.exe,這個就是病毒現從I386目錄裡找出來的!

  3、不管這些,先看看病毒檔案能否手工刪除如果那個cmd.exe管用,那麼NetApi000.sys即可載入,病毒就會執行,結果所有病毒檔案都可以被一一刪除了。

  4、刪除system32目錄下那個異常的cmd.exe。將system32和dllcache目錄下的cm.dll改回cmd.exe。

  注:此測試電腦只有一個分割槽,處理到這裡,就完事了。但多分割槽系統一般使用者都會有多個分割槽,非系統分割槽還會有病毒的,記得刪除其他幾個分割槽裡的病毒,開啟其他分割槽時點滑鼠右鍵—>開啟進入,而不是直接雙擊。最重要的,還是要用最新病毒庫的防毒軟體全盤防毒,切記!

  相關閱讀:2018網路安全事件:

  一、英特爾處理器曝“Meltdown”和“Spectre漏洞”

  2018年1月,英特爾處理器中曝“Meltdown”熔斷和“Spectre” 幽靈兩大新型漏洞,包括AMD、ARM、英特爾系統和處理器在內,幾乎近20年發售的所有裝置都受到影響,受影響的裝置包括手機、電腦、伺服器以及雲端計算產品。這些漏洞允許惡意程式從其它程式的記憶體空間中竊取資訊,這意味著包括密碼、帳戶資訊、加密金鑰乃至其它一切在理論上可儲存於記憶體中的資訊均可能因此外洩。

  二、GitHub 遭遇大規模 Memcached DDoS 攻擊

  2018年2月,知名程式碼託管網站 GitHub 遭遇史上大規模 Memcached DDoS 攻擊,流量峰值高達1.35 Tbps。然而,事情才過去五天,DDoS攻擊再次重新整理紀錄,美國一家服務提供商遭遇DDoS 攻擊的峰值創新高,達到1.7 Tbps!攻擊者利用暴露在網上的 Memcached 伺服器進行攻擊。網路安全公司 Cloudflare 的研究人員發現,截止2018年2月底,中國有2.5萬 Memcached 伺服器暴露在網上 。

  三、蘋果 iOS iBoot原始碼洩露

  2018年2月,開原始碼分享網站 GitHub軟體專案託管平臺上有人共享了 iPhone 作業系統的核心元件原始碼,洩露的程式碼屬於 iOS 安全系統的重要組成部分——iBoot。iBoot 相當於是 Windows 電腦的 BIOS 系統。此次 iBoot 原始碼洩露可能讓數以億計的 iOS 裝置面臨安全威脅。iOS 與 MacOS 系統開發者 Jonathan Levin 表示,這是 iOS 歷史上最嚴重的一次洩漏事件。

  四、韓國平昌冬季奧運會遭遇黑客攻擊

  2018年2月,韓國平昌冬季奧運會開幕式當天遭遇黑客攻擊,此次攻擊造成網路中斷,廣播系統觀眾不能正常觀看直播和奧運會官網均無法正常運作,許多觀眾無法列印開幕式門票,最終未能正常入場。

  五、加密貨幣採礦軟體攻擊致歐洲廢水處理設施癱瘓

  2018年2月中旬,工業網路安全企業 Radiflow 公司表示,發現四臺接入歐洲廢水處理設施運營技術網路的伺服器遭遇加密貨幣採礦惡意軟體的入侵。該惡意軟體直接拖垮了廢水處理裝置中的 HMI 伺服器 CPU,致歐洲廢水處理伺服器癱瘓 。

  Radiflow 公司稱,此次事故是加密貨幣惡意軟體首次對關鍵基礎設施運營商的運營技術網路展開攻擊。由於受感染的伺服器為人機互動簡稱HMI裝置,之所以導致廢水處理系統癱瘓,是因為這種惡意軟體會嚴重降低 HMI 的執行速度。