面對病毒,在防毒軟體都束手無策的情況下,除了絕望我們還能怎樣?不如抄起記事本跟它拼了。不過別誤會,這個記事本不是你桌案上那個皮質封面的,而是Windows裡再熟悉不過的記事本程式了。而且,用它防毒的效果居然奇佳呢,試試吧!
現在,越來越多的木馬採用雙程序守護技術保護自己,就是兩個擁有同樣功能的程式碼程式,不斷地檢測對方是否已經被別人終止,如果發現對方已經被終止了,那麼又開始建立對方,這給我們的查殺帶來很大的困難。不過,此類木馬也有“軟肋”,它只通過程序列表程序名稱來判斷被守護程序是否存在。這樣,我們只要用記事本程式來替代木馬程序,就可以達到“欺騙”守護程序的目的。
下面以查殺Falling Star變種木馬為例。中招該木馬後,木馬的internet.exe和systemtray.exe兩個程序會互相監視。當然,我們中招的時候大多不知道木馬具體的監護程序。不過,通過程序名稱可以知道,systemtray.exe是異常的程序,因為系統正常程序中沒有該程序。下面使用替換方法來查殺該木馬。
方法/步驟
單擊“開始→執行”,輸入Msinfo32開啟系統資訊視窗,展開“系統摘要→軟體環境→正在執行任務”,這裡可以看到systemtray.exe路徑在C:\Windows\System32下。
開啟C:\Windows\System32,複製記事本程式notepad.exe到D:\ ,同時重新命名為systemtray.exe。
開啟記事本程式,輸入下列程式碼,儲存為shadu.bat,放置在桌面(括號為註釋,無須輸入): Taskkill /im systemtray.exe /f (使用taskkill命令強行終止systemtray.exe程序) Delete C:\Windows\System32\systemtray.exe (刪除病毒檔案) Copy d:\systemtray.exe C:\Windows\System32\(替換病毒檔案)
現在只要在桌面執行s h a d u.b a t,系統會將systemtray.exe程序終止並刪除,同時把改名的記事本程式複製到系統目錄。這樣,守護程序會“誤以為”被守護程序還存在,它會立刻啟動一個記事本程式。
接下來我們只要找出監視程序並刪除即可,在命令提示符輸入taskkill /im systemtray.exe /t,將守護程序再生的systemtray.exe終止,可以看到systemtray.exe程序是由PID1228的程序建立的,開啟工作管理員可以看到PID 1228的程序為internet.exe,這就是再生程序的“元凶”。
按照第一步方式,開啟系統資訊視窗可以看到internet.exe也位於系統目錄,終止internet.exe程序並進入系統目錄把上述兩個檔案刪除即可。