由于熊猫烧香病毒源代码的暴露,该病毒的变种依然横行于世。玉兔病毒就是变种之一。它能够破坏系统的安保形式,让用户不可进入安保形式查毒。面对这种状况,咱们又该怎样办呢?安保诊所来了一位求诊者小王,他的电脑曾经中了病毒,恳求电脑安保医生诊治。医生发现小王电脑中可执行程序的图标都变成了玉兔的图标(图1),双击盘符都不可进入磁盘,很多程序都不可反常运转。小王从新装置系统后,马上又被雷同的病毒感化而系统解体。安保医生凭着对病毒敏锐的直觉,判定小王的电脑感化了最近十分生动的玉兔病毒。玉兔病毒档案玉兔病毒会破坏安保形式,经常使用户不可进入该形式杀毒。玉兔病毒在每个盘符生成病毒文件和Autorun.inf文件后,只需双击盘符就可以感化。玉兔病毒会完结安保软件及其余一些罕用的安保辅佐工具运转。玉兔病毒还修正注册表造成用户不可反常检查暗藏的系统文件,从而到达不被查杀的目的。巧避矛头肃清病毒首先,要肃清盘符里的病毒文件和Autorun.inf文件,以防止病毒继续分散。由于病毒的要素,咱们不能够反常进入注册表和经常使用冰刃审核系统。然而咱们可以经常使用超级巡警绿色版本,由于病毒并不能封锁超级巡警。进入“进程治理”选项,很快发现bryato.exe、severe.exe、loveRabbit.exe等3个可疑的病毒进程。WWW.iTCOmputER.com.cN其中bryato.exe是盗取QQ明码的木马,而另外两个是玉兔病毒的进程。这三个进程都拔出了bryato.dll运转。由于病毒进程具无封锁后马上重启动的特点,首先选中三个进程,然后右键单击三个进程选用“制止进程创立”命令,接着右键单击三个进程选用“强迫卸载标志模块”命令(图2),这样便临时中断了这几个进程。进入“启动治理→注册表”选项,很快发现了bryato.exe和severe.exe的合法启动名目(图3)。右键单击这两个启动名目,选用“删除启动项”命令予以肃清。揪出系统深处的病毒此时,病毒还潜伏在系统深处,还须要咱们进一步清算。进入“进程治理”,细心剖析一些系统进程,依据文件创立和其余消息马上发现了Winlogon.exe系统进程被拔出了msexch400.dll这个病毒文件,记下文件位置,接着选中该文件后右键单击选用“强迫卸载标志模块”命令(图4)中断病毒进程。在conime.exe进程发现被拔出了bryato.dll,选中该文件后右键单击选用“强迫卸载标志模块”命令中断病毒进程。接着从新启动计算机,删除记下的病毒文件。再次从新启动计算机,此时曾经可以进入注册表编辑器,进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL子项,发现右侧的ChekedValue键值为1,当然不可显示暗藏的病毒文件了,修正为0。之后便可以显示暗藏的病毒文件了,最后删除造成不可双击打收盘符的Autorun.inf文件以及关系的OSO.exe即可。
如何给注册表加锁为了安保起见,你可依自己的实践状况,对事情操作、执执行作来启动勾选设置,当然你也可以不做修正,可依照自动设置包全注册表的安保。导出、导入分组假设此时你想将以上性能好的规定,导出与其他人独特分享,可以选中左侧外面的某个分组后,单击右侧窗口里的“导出分组”按钮,就可将以后分组消息导出,并且以Ghst文件的格局保留到硬盘上。另外雷同单击“导入分组”按钮,则可以将硬盘里的分组消息导入到GSS规定内。监督改变有提示 病毒修正请绕道以上规定都曾经设置终了后,GSS防火墙就开局智能监督注册表的举动。假设系统里的某个程序要改写注册表,此时GSS就会智能弹出正告的对话框,给予用户具体键值消息的修正提示(图2)。
大家可依据其消息来判别它能否为恶意修正,还是反常程序的加载,从而可以选用单击“准许”按钮对注册启动修正操作,反之单击“阻拦”按钮,拒相对注册表的读写操作,来保障注册表的安保。
如何包全肉鸡 大家罕用的杀毒软件、防火墙,无非就是目前较为盛行的几款进攻软件,而且每款进攻软件的运转进程,也都是固定的称号。因此黑客在执行电脑入侵的同时,为了防止控制木马被进攻软件查杀到,他们会将封锁杀毒软件的程序及其控制木马,一并上行到被控机器内,从而能够封锁杀毒软件的查杀,让肉鸡控制更耐久。介绍文章这里笔者曾经事前获取了远程肉鸡的控制权限。为了让木马在肉鸡里“寓居”更短暂,首先在本地关上“火狐净路先锋”客户端程序(下载地址:),将拔出到肉鸡里的木马进程,输入到性能文件栏的“提示”文本处,然后勾选“追随计算机启动”的复选框,让性能的包全程序,随着计算机启动而启动。假设你担忧肉鸡里的木马进程和包全程序的客户端进程,同时被用户强迫封锁后,不可在第一时期智能开启。此时你可以选用上方“重启”单选框,而重启时时期隔,最好选用“每隔一秒启动一次性”,这样能力保障被封锁后的进程,呈实时开启的形态。当然杀毒软件可不怕费事,绝不会容你的木马实时开启,所以这里咱们要先“干掉”肉鸡上的进攻软件。假设你对杀毒软件的进程,并不了解可以单击上方“经常出现的进程”按钮,此时就会弹出含有“泛滥杀毒进程”的文本内容,然后依据外面的注释,筛选出较为经常出现的杀毒进程,逐个填写到“要杀掉的进程”的文本处。这里,咱们要留意,假设指标用户被杀毒软件的封锁惹起警觉,咱们也可以驳回始终更新木马服务端的方法,让木马服务端逃脱杀毒软件的查杀。操作终了后,单击“生成服务端”按钮,即可在火狐净路先锋软件根目录下,生成咱们所性能好的server.exe服务端程序。然后传送到你的肉鸡中并运转,这样,你的肉鸡就不会“跑掉”了。树树提示:假设大家发现自己的电脑产生CPU无端经常使用率到达100%,杀毒软件被封锁或许硬盘狂读的状况,就要疑心自己的电脑被中了木马。这时就要及时断网,进入安保形式片面扫描,将木马及时查杀。