四、清除病毒
1、结束进程
在结束进程的发现这两个svchost.exe进程之间互相保护,当结束了其中的一个,另一个马上会重新新建一个。因此手工结束速度太慢,通过批处理命令来清除:
把如下代码保存为kill.bat,双击即可。
| @echo off taskkill /f /pid 1916 taskkill /f /pid 424 exit |
提示:其中的pid是随机的,一定要找到可疑的svchost.exe进程的pid,如果结束了系统启动的svchost.exe的话,系统就会关机或者重启。确定的方法,可以参考图8。
2、删除服务
运行services.msc打开“服务”工具,通过分析发现了一个可疑的服务项。
服务名称为:Workstain
显示名称:qmijiu
描述:Wicrosoft .NET Framework TPM
可执行文件路径:c:\WINDOWS\system32\svchost.exe -k Workstain
启动类型:自动
服务状态:已启动
评析:该服务项和Workstation非常相似,并且描述极具欺骗性,攻击者非常狡猾。(图10)
提示:在禁用服务的过程中发现,如果不先结束两个svchost.exe进程,发现根本无法禁用,当你选择禁用该服务,点击确定,它马上改为“自动”运行,可见这也是进程保护在作怪。因此必须把两个进程结束掉再禁止服务。最彻底的是用命令把该服务删除,命令为:
| sc delete qmijiu |
3、文件删除
(1)C:\WINDOWS目录下的(图11)
艳门照.rar
ymz.exe
(1)C:\WINDOWS\system32目录下的(图12)
Workstain.drv
Sharing.dll
总结:该木马病毒利用大众的猎奇心理,把木马和图片打包在一起,然后通过WinRAR的自解压功能使得木马得以运行。其原理比较简单,但象朋友这样的人却屡屡中招。这例“艳照门”木马病毒给我们的启示是:
1、做好自律,不去猎奇浏览不雅的东西;
2、在系统中要设置显示文件的后缀,这样可以通过文件后缀就可以判断文件的类型。
3、对自解压文件要非常小心,千万不要直接打开,应该选择用winRAR软件打开,看看有没有可疑的脚本和程序。总之,在思想上和技术上都做好准备,不要成为“艳照门”木马病毒的下一个受害者。
IT专家网原创文章,未经许可,严禁转载!
