磁碟機病毒木馬猖獗 教你應對方法

　　磁碟機木馬最近成為安全領域的熱門話題，據悉，進入3月以來，“磁碟機”木馬作者已經更新了數次，感染率和破壞力正逐步提高。

　　磁碟機木馬介紹：

　　“磁碟機”木馬也叫dummycom，該程序運行後關閉並阻止360安全衛士和卡巴、瑞星、金山、江民等安全類軟件的運行，除此之外還會刪除系統中含有“360”字樣的文件。感染後，進程中會多出smss.exe和lsass.exe進程，使用任務管理器結束後會造成計算機重啟，並自動下載大量的木馬到本地機器。

　　據分析，該木馬使用的關閉安全軟件的方法和以往不同，其通過發生一堆垃圾消息，導致安全程序的崩潰，連icesword（冰刃）也未能幸免。其在運行後，會在 system32的Com 目錄下生成smss.exe,lsass.exe, netcfg.dll等文件並在system32下生成dsnq.dll文件，在關機瞬間會寫一個文件到開始菜單的啟動項中；

　　需要注意的是，該病毒使用極其惡毒的感染方式，感染除SYSTEM32 目錄外其它目錄下的所有可執行文件(*.exe)，導致文件被感染後無法使用且部分文件無法恢復。

　　感染磁碟機木馬後的症狀：

　　1、系統運行緩慢、頻繁出現死機、藍屏、報錯等現象；
　　2、進程中出現兩個lsass.exe和兩個smss.exe，且病毒進程的用戶名是當前登陸用戶名；
　　3、殺毒軟件被破壞，無法正常開啟，多種安全輔助工具無法正常開啟；
　　4、系統時間被篡改；
　　5、病毒感染.exe文件導致其圖標發生變化；
　　6、無法進入安全模式；
　　7、隱藏文件無法顯示；
　　8、組策略被破壞。

　　查殺磁碟機木馬

　　1、用改名大法將system32和dllcache目錄下的cmd.exe臨時改名為cm.dll（圖1），重啟系統看看。

　　2、重啟系統後，檢查system32和dllcache目錄。發現改名後的cm.dll都在，但是，system32目錄下出現了一個怪怪的cmd.exe（見下圖）。這個cmd.exe的logo不同於正常的cmd.exe，該不會是病毒現從I386目錄裡找來的吧？汗！估計這DD不能運行。

　　3、不管這些，先看看病毒文件能否手工刪除（如果那個cmd.exe管用，NetApi000.sys即可加載，病毒已經完整運行了。病毒文件是刪不掉的）。

　　結果：所有病毒文件被一一刪除了。

　　4、刪除system32目錄下那個異常的cmd.exe。將system32和dllcache目錄下的cm.dll改回cmd.exe。

注：我的電腦只有一個分區。處理到這裡，就完事了。多分區系統，非系統分區還有病毒。這樣處理完後並不能徹底解決問題，還需用殺軟全盤殺毒。切記！