磁碟机病毒木马的查杀方法

　　磁碟机木马最近成为安全领域的热门话题，据悉，进入3月以来，“磁碟机”木马作者已经更新了数次，感染率和破坏力正逐步提高。 H|B4.z  
AkV8}>G?#A  
　　磁碟机木马介绍： ^:m7Qd?Z[  
2-u9%  
　　“磁碟机”木马也叫dummycom，该程序运行后关闭并阻止360安全卫士和卡巴、瑞星、金山、江民等安全类软件的运行，除此之外还会删除系统中含有“360”字样的文件。感染后，进程中会多出smss.exe和lsass.exe进程，使用任务管理器结束后会造成计算机重启，并自动下载大量的木马到本地机器。 3C;nC?]K  
0$q)uip  
　　据分析，该木马使用的关闭安全软件的方法和以往不同，其通过发生一堆垃圾消息，导致安全程序的崩溃，连icesword（冰刃）也未能幸免。其在运行后，会在 system32的Com 目录下生成smss.exe,lsass.exe, netcfg.dll等文件并在system32下生成dsnq.dll文件，在关机瞬间会写一个文件到开始菜单的启动项中； ;jT@eBJ  
dmE.yVI"O  
　　需要注意的是，该病毒使用极其恶毒的感染方式，感染除SYSTEM32 目录外其它目录下的所有可执行文件(*.exe)，导致文件被感染后无法使用且部分文件无法恢复。 8Jf4";  
~YrO>H` B  
　　感染磁碟机木马后的症状： l0{R`G,  
@EB2I+[  
　　1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象； Q>>II|~;J  
　　2、进程中出现两个lsass.exe和两个smss.exe，且病毒进程的用户名是当前登陆用户名； R;2 Z~P  
　　3、杀毒软件被破坏，无法正常开启，多种安全辅助工具无法正常开启； #vvQ1ub  
　　4、系统时间被篡改； +,ojlTVlt  
　　5、病毒感染.exe文件导致其图标发生变化； U_C1GT-|  
　　6、无法进入安全模式； RE75TqYW  
　　7、隐藏文件无法显示； 7 a_99?J  
　　8、组策略被破坏。 =G%L:m*  
5Qgh\4  
查杀磁碟机木马 yj C@  
kG$U  
　　1、用改名大法将system32和dllcache目录下的cmd.exe临时改名为cm.dll（图1），重启系统看看。 iwT PJGK|  
　　2、重启系统后，检查system32和dllcache目录。发现改名后的cm.dll都在，但是，system32目录下出现了一个怪怪的cmd.exe（见下图）。这个cmd.exe的logo不同于正常的cmd.exe，该不会是病毒现从I386目录里找来的吧？汗！估计这DD不能运行。 InR/g@n+D1  
　　3、不管这些，先看看病毒文件能否手工删除（如果那个cmd.exe管用，NetApi000.sys即可加载，病毒已经完整运行了。病毒文件是删不掉的）。 Mi&jl_&  
~5b^Gvb?  
　　结果：所有病毒文件被一一删除了。 Q!G^CG  
YhNO{4D  
　　4、删除system32目录下那个异常的cmd.exe。将system32和dllcache目录下的cm.dll改回cmd.exe。 @a}jnl(2  
注：我的电脑只有一个分区。处理到这里，就完事了。多分区系统，非系统分区还有病毒。这样处理完后并不能彻底解决问题，还需用杀软全盘杀毒。切记！