解决磁盘机木马过程[完整]首发解决高级版
这里需要使用到的工具有:
1.SnipeSword(狙剑) V2008.02[可用冰刃或者木马辅助查找工具2008代替]
2.SREng v2
因为这个木马对于冰刀来说已经设置了防御,所以冰刀是无法执行的,而且这木马的自我修复能力超强,我自己经过多次查杀都是无法K掉它,
其实,我们都被它给欺骗了,它的主要进程是:smss.exe和lsass.exe这两个进程,存在于SYSTEM32\COM\中,对于大家来说,肯定就是相办法K掉这个 程序就可以了,在建立一个相同名字的文件夹,可是你想到的,病毒也想到了,也不怪这个木马的老大的深思.下面我给大家分析下这个木马的过程 :
1 木马通过APPDLL注册表加在自身的驱动,有了这个牛皮的驱动保护,它才表现的如此出色.驱动的文件在SYSTEM32中,叫dnsq.dll,它的主要作 用是保护自身与监控系统.保护自身差不多为唯一的内核程序.
2 LSASS.EXE SMSS.EXE为病毒的主进程,感染EXE程序,干扰其他内核程序的执行,并且出色的自我保护自身
3 AUTORUN.INF pagefile.pif 都知道,另用户双击盘执行木马,保证程序的可执行性,而且每一个程序都可以生成dnsq.dll,都可以修复 LSASS.EXE SMSS.EXE 程序而且自动删除文件夹功能,我们所做的文件夹保护它都可以自动删除
4 临时启动文件,在所有用户的启动菜单中,为了是多用户同时启动,存在引导运行木马的功能,还有两个文件在COM文件夹在,做为加载和修复用的.因为程序的病毒链子很强大,所以手动清除病毒链存在一定困难.但是,病毒的加载不是在系统启动前就启动,而是在系统启动进入后才启动,那么 对于我们无法使用的程序,我们可以尝试在启动前执行.但是,病毒存在感染性质,也就是说,我们解压出的任何文件都可能被病毒感染.
清除过程:
终止APPDLL的注人,最好在DOS下删除DNSP.DLL这个文件,同时删除SMSS LSASS AUTORUN.INF PAGEFILE.PIF 文件,找到系统的公用用户.
清除其他的EXE启动项目,"C:\Documents and Settings\All Users\「开始」菜单\程序\启动\""C:\Documents and Settings\ADMINSITRATOR\「开始」 菜单\程序\启动\"
建立SnipeSword(狙剑) 的启动项目,
注意,要把SnipeSword(狙剑) 的EXE文件名改掉,复制到"C:\Documents and Settings\All Users\「开始」菜单\程序\启动\"下就可以了
开机进入系统.找到注册表中他们的SnipeSword(狙剑)的监控下删除D E F G H F.....下面的所有EXE文件,可以用搜索的办法,卸载掉所有的软件,用SnipeSword(狙剑)看进程中是否继续存在SMSS.EXE的COM文件夹目录的木马 进程,如果没有,清除成功,清除C盘的深下的木马,修复系统,清除垃圾OK
使用SREng v2.zip它进行注册表启动清除,系统修复.
注意:在按照上面的方法清理完成之后记得找到"磁盘机"的相应驱动删除.以防万一........
JX-电脑安全反黑客----群号:21355198
如果你知道使用WINDOWSXP PE 那么 你可以不使用DOS而使用PE进行可视操作
有你们的支持和鼓励我将做到更好!!
提交给瑞星那么久了 现才理解病毒的厉害性 倒 瑞星 我希望你们更新快些啊 不然你们的杀毒软件就永远是被动了
群内部提供防御软件
原帖地址:http://forum.ikaka.com/topic.asp?board=109&artid=8438276
www.newjian.com
您的位置: