如何肃清autorun病毒
你的闪存、硬盘能否双击打不开,单击右键能否有Autorun选项?假设是,那么很遗憾你中招了。Autorun病毒近来十分猖狂,各种变种层出不穷,中了它一切都变得不爽,别急,看完这篇文章,Autorun将不再可怕。www.sq120.com介绍文章Autorun病毒是经过Autorun.inf这个非法的系统文件智能运转特定的病毒,以硬盘为例,在你双击关上含有Autorun病毒的硬盘时,你就等于对自己的爱机收回了运转这个病毒的指令。好在普通Autorun指定运转的病毒都不是很可怕,只需把杀毒软件更新到最新都可以轻松杀掉,然而普通都会留下后遗症,由于Autorun.inf是一个非法系统文件,杀毒软件并不会将它肃清。当你再双击关上这个硬盘时系统还会被要求运转特定的病毒,然而病毒曾经被肃清不可运转,所以就会产生“请选用关上模式”而不可反常关上,给咱们的经常使用带来很大的费事。怎样才干把固执的Autorun病毒彻底肃清呢?方法一:在开局菜单上,单击右键选用“资源治理器”,进入感化病毒的硬盘,依次点击“工具→文件夹选项→检查”,去掉“暗藏受包全的操作系统文件”前面的对钩,在“暗藏文件和文件夹”选项当选用“显示一切文件和文件夹”。如今看看中毒的硬盘能否显示出一个名为Autorun.inf的文件,假设产生了,将它双击打散会产生如下内容:[AutoRun]open=tel.xls.exeshellexecute=tel.xls.exeshell\Auto\command=tel.xls.exeshell=Auto其中tel.xls.exe就是病毒,找到这个病毒而后彻底删除(用“Shift+Delete”组合键)。用雷同的方法将其余盘中的Autorun.inf及可疑的可口头文件都彻底删除,而后重启,功败垂成。假设并没有显示暗藏文件怎样办呢?方法二:在试过上述方法以后不可找到病毒,杀毒软件也没有查杀到病毒怎样办呢?别急,有些高手青睐用另外一个非法的系统文件暗藏病毒,它就是回收站。在你关上“显示到一切暗藏文件”后,你会发现盘里有两个RECYCLER文件夹,或许回收站图标,其中一个就是病毒所在地,将两个所有选定彻底删除,并将Autorun.inf彻底删除,这样重启机器后,Autorun再也不可危害到你的爱机了。
如何狙击迷你木马下载者
以前黑客以为木马下载者程序只是起到一个过渡的作用,所以并没有对它启动很好的伪装,然而随着安保软件配置的始终优化,黑客也意识到下载者程序伪装的关键性。最近有一款名为Amalgam Lite下载者程序,岂但程序体积十分“迷你”,而且其穿梭防火墙的才干也十分了得。IE进程常被调用五一节后,是病毒少量滋生的期间。当天在病毒诊所值班的徐阳医生一大早就应酬了一位病人,这位病人称自己的电脑运转速度很慢,而且不时还弹出一个IE阅读器的进程要求访问网络。在更新了杀毒软件的病毒库,对系统启动了全方位的扫描检测后还是满载而归。听了病人的叙说后,首先徐阳医生疑心或许是流氓软件,然而他很快否认了自己的想法,由于很多流氓软件在调用IE阅读器有效后,会接着调用其余的系统进程。最后启动一系列的比对后,徐阳医生以为患者遭到最近网络上大肆作案的木马下载者——Amalgam Lite攻打。Amalgam Lite档案Amalgam Lite下载者程序是一款体积只要2KB大小,同时领有反向衔接穿梭防火墙等配置的远程控制程序。程序代码驳回最精简化设置,经常使用CAsyncSelectEx框架,以及齐全应用Windows32 SDK启动编写。程序还可以屏蔽用户的衔接,定时检测被控端能否非反常断开衔接。IE进程没被拔出徐阳医生首先运转IceSword,点击工具栏中的“进程”按钮后,很快发现一个IE阅读器进程的进程(图1),徐阳医生明确这个IE进程必定是被该恶意程序应用了。为了更好地剖析是什么恶意程序应用了IE进程,他在这个IE进程上单击鼠标右键,再选用菜单中的“模块消息”命令。经过在弹出的“进程模块消息”窗口仔细查找,徐阳医生并没有发现任何恶意程序模块消息。看来这个恶意程序并不是应用盛行的线程拔出方法来启动伪装,而是应用IE进程来启动运转服务端程序自身,这种方法和灰鸽子木马的启动方法是一样的。木马应用插件启动虽然知道了恶意程序的应用进程,然而并没有查问就任何该恶意程序的关系消息,于是徐阳医生感觉还是应该经过启动项来启动检测。结果徐阳医生经过对注册表启动项,以及系统服务等经常出现的启动模式启动检测以后,均没有发现任何可疑的启动名目消息。接着他又运转AutoRuns来检查系统启动项。点击程序操作界面中的“所有”标签,经过一系列仔细审核,终于发现一个可疑的启动项。该启动项所指向的程序门路为Windows的系统目录,可是它所对应的运行程序winlogo.exe却没有任何“说明”和“发行商”消息(图2)。
这个运行程序的称号和系统进程Winlogon十分相似,经过这个黑客习用的手段也可以判定这个程序就是恶意程序的主文件。那么这个恶意程序究竟是经过什么模式随机启动的呢?徐阳医生点击开局菜单中的“运转”命令,而后在弹出的窗口口头regedit命令关上注册表编辑器。点击“编辑”菜单中的“查找”命令,在弹出的窗口搜查“winlogo.exe”这个关键词,果真经过搜查觅到一处(图3)。从图中咱们可以看到,其中的{4A202188-F04D-11cf-64CD-31FFAFEECF20}即为该恶意程序的启动键值,由此咱们也知道了该恶意程序是应用ActiveX插件启动随机启动的,怪不得咱们应用经常出现的方法检测不到它的启动项。轻松肃清木马下载者运转安保工具IceSword,在“进程”列表当选用IE阅读器的进程,点击右键菜单中的“中断进程”命令。点击IceSword工具栏中的“文件”按钮,经过资源列表进入木马服务端程序装置的System32目录,找到winlogo.exe这个主程序,经过右键菜单中的“删除”命令将它删除(图4)。接上去运转安保工具AutoRuns,在窗口中找到该木马的启动项,雷同点击鼠标右键中的“删除”命令即可删除该启动项。从新启动系统后发现系统运转反常,由此可以证实木马程序曾经被彻底肃清洁净。
From:
本站内容来源于网络,如不慎侵犯了您的权益,请联系我们将迅速删除。
