安全实战:光驱也疯狂 病毒冒充文件夹

安全
网管实战之使用RSA实现企业安全访问

近日有网友反映电脑宕机,除了鼠标以外什么都动不了。而且键盘的快捷键几乎都无法使用(仅“任务管理器”可用),最奇怪的是光驱疯狂弹出。

以前曾经有过一个名为“疯狂光驱”的病毒,但是“疯狂光驱”是定时发作,每隔1分钟弹出一次光驱,和这个现象不符。

重启电脑,输入用户名、密码登录系统,刚出现系统界面,又出现了这样的情况,而在出现这种情况前,屏幕闪了一下,这个过程应该是在加载病毒。

到这里,基本了解了病毒的发作特征,初步判断:

1.利用Windows服务,在启动时加载服务项,使登录本机的所有用户都遭受病毒感染。

2.运行病毒程序,并向注册表里输入相应的键值,只影响单一用户,这种可能性比较大。

更换另一个账户登录系统,等了数分钟,没有病毒发作的趋势。这样看来,果然是有病毒程序在影响电脑。

再到那个中毒的用户名下看看,使用惟一的快捷键,打开“任务管理器”,逐一查看可疑进程,经过仔细排查,基本锁定了进程“systrsy.exe”。

选中它,结束进程,电脑果然恢复了往日的平静,***阶段排毒成功。

接下来就要看病毒藏在什么位置了,打开“msconfig”,启动系统配置使用程序,选择“启动”项。看看吧,一个熟悉的进程名systrsy.exe又出现了,说明了什么?尽管在任务管理器把这个进程杀掉了,但是再次开机时,病毒还是会自动启动的,所以一定要在这里把病毒彻底禁用,也就是说,把systrsy前面的对钩去掉,这一步是关键。执行完这一步,病毒基本上没什么威力了。但为了安全起见,再到“C:\Program Files\Internet Explorer”目录下找到Systrsy.exe将其删除。

病毒本体解决,但它不可能莫名其妙地自己生成,肯定有一个传染源,还要继续查找。设定日期,搜索当天的所有文件,分析后,在“C:\Program Files”锁定了这样一个文件Autorun.inf:

(Autorun)
Open=新建文件夹.exe

又是Autorun类病毒,搜索“新建文件夹.EXE”,终于,在D盘找到了它的踪影,居然还伪装成了一个文件夹。 毫不客气,删除之。至此,病毒被彻底查杀,光驱也恢复了正常使用。

 【编辑推荐】

  1. 网站安全实战,远离黑客 征服老板
  2. 安全实战:黑客就在我们身边
  3. 安全攻防实战:使用winlogonhack获取系统密码
  4. 网管实战之使用RSA实现企业安全访问
责任编辑:佚名 来源: 赛迪网
相关推荐

2011-08-04 15:36:32

文件夹病毒

2009-05-15 18:14:44

2010-10-19 14:28:55

msdrvload.j病毒

2009-12-16 10:23:14

卡巴斯基文件夹

2011-03-30 09:03:33

2009-12-15 21:58:43

文件夹脚本木马

2010-09-06 16:56:08

desktop病毒

2012-12-11 09:37:03

开源硬件开源软件

2010-12-31 13:35:25

文件夹重定向

2010-05-26 09:27:07

2011-07-21 11:27:56

“四不像”病毒

2009-03-17 01:22:49

2011-03-04 16:37:13

FileZilla

2020-09-23 08:53:48

父文件夹模块Python

2009-12-03 10:18:32

Linux文件夹执行权限

2023-03-28 15:19:37

文件列表scandir函数

2011-04-11 16:07:13

系统备份

2011-05-23 17:00:29

2013-05-28 10:17:02

Windows.old故障恢复

2010-03-05 16:54:47

点赞
收藏

51CTO技术栈公众号