东莞市汽车网

标题: 利用文件访问权限灭掉假explorer.exe木马群 [打印本页]

作者: 暗恋你的蝎人 时间: 2012-6-1 03:10
标题: 利用文件访问权限灭掉假explorer.exe木马群
近期流行的这类木婴儿奶粉排行榜马群都比较变态。有驱婴儿配方奶粉排名动保护、病毒文件多，婴儿配方羊奶粉插入进程的病毒模块多国产婴儿配方奶粉以及移动存贮介质根目[url=http://www.amazon.cn/%E9%A3%9E%E9%B9%A4%E9%A3%9E%E6%82%A61%E6%AE%B5%E5%A9%B4%E5%84%BF%E9%85%8D%E6%96%B9%E5%A5%B6%E7%B2%89-400g%E7%9B%92%E8%A3%85-%E9%97%AA%E6%BA%B6%E6%8A%80%E6%9C%AF-%E6%B9%BF%E6%B3%95%E5%B7%A5%E8%89%BA/dp/B007KX4HVI]婴儿奶粉质量排行榜[/url及移动存贮介质根目录下创建autorun.inf及配套的病毒.exe。中招后难杀净。按传统的方法手工杀毒，需要一一处理被cha进程
　　近期流行的这类木马群都比较变态。有驱动保护、病毒文件多，插入进程的病毒模块多，在各硬盘分区根目录以及移动存贮介质根目录下创建autorun.inf及配套的病毒.exe。
中招后难杀净。按传统的方法手工杀毒，需要一一处理被cha进程，一一删除病毒文件，工作很量大。
以下介绍一种以中毒日期为切入点、利用文件访问权限禁锢病毒程序的手工杀毒方法。手工杀毒操作得工作量要小得多。

1、根据中毒日期，分门别类搜索病毒文件（.dll、.fon、.ttf、.sys、.dat、......）。
全部选中搜索到的病毒文件（这里以.dll病毒文件为例），参考图1－图7操作，将病毒.dll全部禁锢起来。

2、再分别搜病毒文件.fon、.ttf、.sys、.dat等，依样画葫芦，仿前面图1－图7处理。

近期流行的这类木马群都比较变态。有驱动保护、病毒文件多，插入进程的病毒模块多，在各硬盘分区根目录以及移动存贮介质根目录下创建autorun.inf及配套的病毒.exe。中招后难杀净。按传统的方法手工杀毒，需要一一处理被cha进程
　　
3、注销当前用户。重新登陆。将dllcache目录下或同类系统的其它电脑中的comres.dll拷贝到中招电脑的system32目录下。
然后，重复第一步的分类搜索。这时，搜索到的病毒文件已可删除（删除效果类似于IceSword的文件删除，文件被直接删除而不进入回收站）。
4、剩下的工作就是处理那些小喽罗了。不难。

5、去掉hosts文件中病毒添加的内容，保存hosts。

欢迎光临东莞市汽车网 (http://bbs.qc0769.com/)