我是一家網吧的網管,為了維護網吧的電腦以及保護操作系統的安全,我給每台電腦都安裝了還原系統。最近發現很多電腦的操作系統都得了“重感冒”,老是被木馬、病毒侵襲,即使安裝了還原系統也無法阻擋。
後來我用安全工具檢查,發現電腦中了一個名為Win32.Troj.DownloaderT.pl.43008的病毒。請教醫生,我的還原系統是被它破解的嗎?我要怎麼才能徹底消滅該病毒呢?
病毒自述:我的名字就叫“關門放狗”
看過周星馳《七品芝麻官》的朋友們都知道一句經典台詞“關門放狗”,如今這句台詞就成為了我的大名!我不但會運用天賦將電腦的還原系統徹底破解掉,讓自己深深扎根於電腦操作系統中,還會持續散播一些木馬病毒,讓你們的電腦徹底曝光在黑客的眼皮之下。下面就來看看我是如何一步步實現目的的。
當我進入用戶的電腦系統後,首先會在系統盤中釋放出五個病毒文件,其中的四個文件分別為1.exe、2.exe、3.exe、4.exe,這四個文件是在系統盤根目錄下(圖1),還有一個是在系統盤WINDOWS\Temp\目錄下隨機命名的TMP文件,這個文件其實就是前輩“機器狗”病毒的驅動程序。
接著,我就想辦法讓自己扎根於電腦操作系統中,迅速修改系統注冊表,把自己的相關信息加入其中,實現隨系統啟動而自動運行之目的。Tw.WiNGwIt.cOm我會創建一個名為“sys_flt”的服務,然後該服務程序指向在Temp目錄中生成的TMP文件。當這個TMP文件被順利加載後,就能將我自身復制到系統盤的“DocumentsandSettings\AllUsers\「開始」菜單\程序\啟動\”目錄下,並設置屬性為只讀。
當我在電腦系統裡站穩腳跟後,就通過一系列快速地攻擊,解除還原系統對電腦的保護,讓我自己深深扎根於用戶的電腦中!我會悄悄地連接http://www.2**01*8.cn/api/other這個由木馬種植者指定的地址,下載許多木馬程序到用戶電腦上運行,給用戶的系統安全帶來無法估量的威脅。
本期醫生:使用“打狗棒法”清除惡狗
如果是網吧的話,最簡便快捷的清除方法是利用GHOST在短時間內恢復系統,畢竟大批量的電腦一台台來進行手工查殺不太現實。而使用了還原系統的普通用戶,用我的“打狗棒法”即可鏟除這條惡狗。
Step1:由於“關門放狗”病毒從網上下載了大量的木馬,這些木馬的危害結果各不相同,有些會破壞電腦的安全模式,並隱藏受保護文件,還有些會劫持殺毒軟件,所以我們首先打開“我的電腦”,選擇“工具”菜單→“文件夾選項”,選擇“查看”,取消“隱藏受保護的操作系統文件”前的對鉤,並在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”,然後單擊“確定”。
小提示:如果安全模式也無法進入,則打開安全工具SREng,點擊界面中的“修復安全模式”即可(圖2)。
Step2:刪除系統盤根目錄下的1.exe、2.exe、3.exe、4.exe四個病毒文件,以及系統統盤WINDOWS\Temp\目錄下隨機命名的TMP文件,某些文件在手工刪除時會提示“此文件正在使用無法刪除,使用Unlocker就可以避免這種問題。
Step3:然後升級當前計算機中所用的殺毒軟件到最新病毒庫進行全面查殺,再用《360安全衛士》配合AVG Anti-Virus清除系統中剩余的病毒即可。
From:http://tw.wingwit.com/Article/Network/201309/360.html