返回目录:win7问题
内容导航:
一、顽固木马清理专题之感染型病毒《奇怪的触控板程序》
感染型病毒是一类通过修改其他计算机程序(宿主程序),向宿主程序中插入恶意代码的计算机病毒。如果插入成功,则宿主程序在运行时便会执行被插入的恶意代码。与蠕虫病毒不同,蠕虫病毒不需要宿主程序,因为它是一个独立的程序。
感染型病毒本身除了感染其他程序的功能之外,一般也会携带一个其他类型的恶意模块,如后门或者窃密模块,而感染只是为了更好的传播自身。
随着木马技术的发展,感染型病毒也有很多不的感染方式,本文中分析的Synaptics病毒是一个感染能力极强,但是总体逻辑比较简单的病毒。后续文章中我们也会分析更多典型的感染型病毒如Ramnit和Virut等。
奇怪的触控板程序
Synaptics感染型病毒将自身的文件描述等都伪装成笔记本电脑触控板的驱动程序Synaptics Pointing Device Driver。在病毒运行后,会遍历磁盘上所有的可执行文件,并将目标文件更新到病毒资源中,将病毒文件的图标资源替换为目标文件图标,然后用病毒文件覆盖目标文件,完成感染。
在用户使用电脑的过程中,并不会有太明显的感知,因为被感染的程序在运行后,会先执行病毒代码,随机释放正常的文件进行执行。下图是被感染的7z安装程序,通过对比可以发现两者的一些不同点:
感染目标文件的代码逻辑如下:
通过ResourceHacker工具查看被感染的文件,在RCData资源中会新增一个“EXERESX”的资源,即对应正常程序:
除了感染可执行程序,还会以几乎同样的方式感染xlsx文件,感染之后的文件会包含下图中的宏代码, 主要是下载Synaptics病毒(下载链接已失效)并植入到目标机器上,感染xlsx的目的是文档类文件更容易传播到其他的计算机上。
每个感染型病毒也都会携带一些其他的恶意功能,而Synaptics则携带一个后门,与CC服务器建立连接后,通过接受后门指令执行不同的恶意功能,包括截屏,文件下载,键盘记录等等。
如何彻底清除感染型病毒?
由于感染型病毒特殊的感染机制,感染型病毒清除存在一定的挑战,处理过程中稍有不慎就可能导致程序被再次感染。建议使用360安全卫士并在检测到感染型病毒时启用防感染模式进行全盘查杀:
360安全卫士能查杀并修复被感染的程序,清除被感染程序体内的恶意代码,就像用手术刀切除患者体内的肿瘤一样。
二、手机中了病毒有顽固木马该怎么处理?
⒈手机中了顽固木马病毒的处理方法:一般手机系统感染病毒后是还能开机进入程序的,这时可以下载【顽固木马专杀】软件检测并查杀病毒。⒉但是病毒感染后当时查杀干净后,还会返复再生的还要再下载【360手机急救箱】软件进一步查杀,一般病毒可以清除掉。
⒊对无限病毒代码感染无效的,只能线刷系统清除了。以上方法小编数次亲测实用。
三、顽固木马怎么去除
请不要盗用我的答案!!一号方案【新P】
注意【原创】:
1.安全模式下,效果更好!
2. 以下所要使用的软件,都要安装或升级到最新版本,以保证使用的效果。
3. 不杀毒,直接使用以下方法也可以 。若效果不好,就在安全模式下用优质杀毒软件(如:卡巴斯基)杀一下,360安全卫士最好也用一下。
(用360安全卫士的“杀木马”----“全盘扫描”。杀完重启。)
以下方法,不一定都要用,可以一个一个去试。有时,仅第一个就管用了。
一. 关闭浏览器,打开新版本360安全卫士的“系统修复”, 可根据情况,将“主页修复”“系统修复”“IE修复”选择打钩(也可全选。至少要选“系统修复”),再点“一键修复”。(懒得安装它,就直接用360急救箱) 。
再用360急救箱。【按步骤操作:先“开始急救”;扫描完后,出现木马,就点“隔离”;再点“修复” (可以全选)――“立即修复”。 接着,点“恢复丢失的DLL文件”,添加系统检测时所得知丢失的DLL文件,再点“立即修复’。“修复网络”视情况而决定是否修复。完后,应重启。】
二.用360安全卫士的“清理插件”进行扫描,扫除恶意插件后,进行清理。完后应重启。
三.用windows清理助手(从网上下载)。扫描后(若扫出东西,都勾并清理),再用故障修复(全选),然后在桌面点鼠标右键刷新。安全模式下效果好。
也可考虑用金山急救箱【点扫描后,如果出现可以修复的项目,全选后,点修复即可。】
强调------1.修复中,杀软或360有提示时,请点允许。操作中如提示重启就重启下电脑。2.效果不好时,看“注意”中的三点。 3. 完后,效果不好的话,也可考虑系统还原一下(选好还原点)。
祝你成功 !
四、有个顽固的木马,删除后重启又有,怎么办?
朋友,这是你的电脑“丢失”或“误删”了“系统文件”,或“系统文件”被病毒和“顽固”木马“破坏”,我给你8套方案!
(答案原创,严禁盗用,如有雷同,纯属山寨!)
(提示:360急救箱不能联网,就先用:(5)网络修复,重启电脑,或者使
用:离线模式)
1.下载个:“360系统急救箱”!(安全模式下,联网使用,效果更好!)
(注意:已经安装了“360安全卫士”的朋友,直接打开“木马云查杀”,
点击:快速扫描,扫描结束后,中间有:没有问题,请用360急救箱,点击它!)
先点:“开始急救”查杀病毒,删除后,“立即重启”!
重启开机后,再点开“文件恢复区”,全选,点:“彻底删除文件”和“可
疑启动项”!
再点开“系统修复”,“全选”,再“立即修复”文件!
再点开:“dll文件恢复”,扫描一下,如果没有就行了,如果有丢失,添
加恢复,手动添加,立即恢复!
点开:“网络修复”,点:“开始修复”,重启电脑!
2。用“360安全卫士”里“系统修复”,点击“使用360安全网址导航”,“一
键修复”!
3。用“360安全卫士”的“扫描插件”,然后再“清理插件”,把它删除!
4。再用“360杀毒双引擎版”,勾选“自动处理扫描出的病毒威胁”,用“全盘
扫描”和“自定义扫描”,扫出病毒木马,再点删除!
重启电脑后,来到“隔离区”,点“彻底删除”!
5。使用360安全卫士的“木马查杀”,全盘扫描,完毕再“自定义扫描”!
扫出木马或恶意病毒程序,就点删除!
重启电脑后,来到“文件恢复区”,点“彻底删除”!
6。如果还是不行,试试:“金山急救箱”的“扩展扫描”,立即处理,重启!
或者:可牛免费杀毒,浏览器医生,浏览器修复,立即扫描,立即修复!
7。再不行,重启电脑,开机后,按F8,回车,回车,进到“安全模式”里,
“高级启动选项”里,“最后一次正确配置”,按下去试试,看看效果!
8。实在不行,做“一键还原”系统!(方法:我的百度空间的博客里有)