我是一家网吧的网管,为了保养网吧的电脑以及包全操作系统的安保,我给每台电脑都装置了恢复系统。最近发现很多电脑的操作系统都得了“重感冒”,老是被木马、病毒侵袭,即使装置了恢复系统也不可阻挠。起初我用安保工具审核,发现电脑中了一个名为Win32.Troj.DownloaderT.pl.43008的病毒。求教医生,我的恢复系统是被它破解的吗?我要怎样能力彻底覆灭该病毒呢?病毒自述:我的名字就叫“关门放狗”看过周星驰《七品芝麻官》的好友们都知道一句经典台词“关门放狗”,如今这句台词就成为了我的小名!我岂但会运用天分将电脑的恢复系统彻底破解掉,让自己深深扎根于电脑操作系统中,还会继续散播一些木马病毒,让你们的电脑彻底曝光在黑客的眼皮之下。上方就来看看我是如何一步步成功目标的。当我进入用户的电脑系统后,首先会在系统盘中监禁出五个病毒文件,其中的四个文件区分为1.exe、2.exe、3.exe、4.exe,这四个文件是在系统盘根目录下(图1),还有一个是在系统盘WINDOWS\Temp\目录下随机命名的TMP文件,这个文件其实就是晚辈“机器狗”病毒的驱动程序。接着,我就想方法让自己扎根于电脑操作系统中,迅速修正系统注册表,把自己的关系消息参与其中,成功随系统启动而智能运转之目标。WWw.ITcOMPUTEr.com.cn我会创立一个名为“sys_flt”的服务,而后该服务程序指向在Temp目录中生成的TMP文件。当这个TMP文件被顺利加载后,就能将我自身复制到系统盘的“DocumentsandSettings\AllUsers\「开局」菜单\程序\启动\”目录下,并设置属性为只读。当我在电脑系统里站稳脚跟后,就经过一系列极速地攻打,解除恢复系统对电脑的包全,让我自己深深扎根于用户的电脑中!我会轻轻地衔接这个由木马种植者指定的地址,下载许多木马程序到用户电脑上运转,给用户的系统安保带来不可估计的要挟。本期医生:经常使用“打狗棒法”肃清恶狗假设是网吧的话,最简便快捷的肃清方法是应用GHOST在短期间内恢复系统,毕竟少量量的电脑一台台来启入手工查杀不太事实。而经常使用了恢复系统的个别用户,用我的“打狗棒法”即可根除这条恶狗。Step1:因为“关门放狗”病毒从网高低载了少量的木马,这些木马的危害结果各不相反,有些会破坏电脑的安保形式,并暗藏受包全文件,还有些会劫持杀毒软件,所以咱们首先关上“我的电脑”,选用“工具”菜单→“文件夹选项”,选用“检查”,敞开“暗藏受包全的操作系统文件”前的对钩,并在“暗藏文件和文件夹”项当选用“显示一切文件和文件夹”,而后单击“确定”。小揭示:假设安保形式也不可进入,则关上安保工具SREng,点击界面中的“修复安保形式”即可(图2)。Step2:删除系统盘根目录下的1.exe、2.exe、3.exe、4.exe四个病毒文件,以及系统统盘WINDOWS\Temp\目录下随机命名的TMP文件,某些文件在手工删除时会揭示“此文件正在经常使用不可删除,经常使用Unlocker就可以防止这种疑问。Step3:而后更新以后计算机中所用的杀毒软件到最新病毒库启动片面查杀,再用《360安捍卫士》配合AVG Anti-Virus肃清系统中残余的病毒即可。
Win32.Troj.Unknown.366080病毒病毒称号:Win32.Troj.Unknown.366080中文称号:暗组远控病毒类型:木马程序要挟等级:中等本期医生:痛并快乐着定时封锁端口的Svchost.exe进程最近我在论坛中看到网友介绍一款十分难看的播放器,就下载装置了,在装置时产生程序失误揭示,过后认为不可装置就间接删除了。没过几天,我就在那个论坛上发现了我的一些公家照片。我知道电脑中毒了,急忙通知我哥哥,他检测了我的系统后发现有一个Svchost.exe进程,岂但在偷偷地启动数据传输,并且还定时封锁传输数据的端口。哥哥完结这个进程,没有想到产生60秒倒计时关机。请问医生,这个病毒应该怎样肃清?多重伪装巧暗藏自己绰号“暗组远程控制2008”, 因为“十八般武艺”样样知晓,成为黑客启动远程控制的利器,在“腥风血雨”的网络中占有一席之地,你的公家照片被盗,就是我的杰作。我经常经过文件捆绑、邮件伪装等形式诈骗用户并植入系统。因为如今的杀毒软件都有被动进攻配置,因此当我成功进入到用户系统以后,修正系统服务形容符表(被动进攻就靠它起作用)让被动进攻对我在系统中的操作“熟视无睹”。接着,我监禁一个DLL文件到系统中的System32目录外面,而后将木马自身销毁,将监禁的DLL拔出到Svchost.exe进程中,所以一完结Svchost.exe进程就会产生60秒倒计时关机。为了可以随着系统智能启动,我还设置了一个对应的启动消息。我驳回的方法和其余木马不同,它们往往经过新建的服务来启动启动,而我是对系统的BITS服务消息(BITS服务是Windows系统自带的服务之一,可以应用闲暇网络带宽在后盾传送文件)启动交流,这样除了可以繁难暗藏也能轻松穿透防火墙的阻拦。除了暗藏配置不错外,我的控制配置也是相当的强,包含屏幕控制、视频控制、文件治理、键盘记载等经常出现的控制配置。应用视频控制可以关上远程的摄像头,从而捕捉到远程的视频消息;应用键盘记载配置可以记载远程系统的键盘操作,比如账号和明码的输入等。所以要盗你的公家照片并不艰巨!手工肃清“暗组远控”病毒这个病毒很狡诈、很擅长暗藏,要捉它要下一番功夫,仅靠杀毒软件是很难完整恢复系统的。手工查杀方法如下所示:第一步:首先运转安保工具WSysCheck,点击“进程治理”标签后在进程列表中找到显示为粉白色的Svchost.exe进程。选中这个进程后会在窗口下方,看到一个名为12345.dll的DLL文件,选中它点击右键中的“卸载模块”命令(见图)。
第二步:接着点击程序的“服务治理”标签,从服务列表中找到白色的BITS服务。点击右键菜单中的“定位注册表项”命令,程序智能跳转到注册表治理标签。选用注册表中的ServiceDLL这项,点击右键中的“编辑值”命令,而后在弹出的窗口中将值恢复为系统自动的%SystemRoot%\System32\qmgr.dll。第三步:而后点击程序的“文件治理”标签,在磁盘目录中依次点击Windows系统中的System32目录。找到暗组远控服务端文件12345.dll后,点击右键中的“间接删除文件”命令,就能够成功地将木马从系统中彻底肃清。
Trojan.Win32.AntiAV.aa病毒反病毒终结者变种AA(Trojan.Win32.AntiAV.aa)病毒值得咱们特意留意。病毒运转后会在系统目录下保留病毒文件,并篡改注册表消息以成功随系统自启动。它会破坏计算机的恢复配置和罕用的恢复类软件,经常使用户(特意是网吧用户)不可恢复系统。该病毒还试图封锁多种干流杀毒软件及安保工具,给用户计算机安保带来要挟。此外,它还会从黑客指定的网站下载病毒,这些病毒会窃取用户的网游账号、明码等消息,给玩家带来损失。
肃清方法:经常使用最新病毒库的杀毒软件查杀,例如瑞星的病毒库要更新到20.33版。此外,咱们还要开启杀毒软件的实时监控配置,防止病毒感化计算机,并要设置系统恢复点和备份关键文件。