UC知道acpidisk木马
来源:百度知道 编辑:UC知道 时间:2024/05/27 14:00:16
我用的vista系统,用windows清理助手查出这玩意儿,怎么杀也没用,安全模式也不行(因为是vista,所以用不了冰刃,网上说能用也不一定行)。
后来我找了个看起来可行的方法,但试了后却让我觉得奇怪不已,请大家看看问题在哪里?
原文:
=======================================================================
原理:acpidisk.sys释放出winlib.dll,待winlib.dll插入到WINLOGON系统进程里去后
就删除掉WINLIB.DLL,所以说搜索不到这个文件,知道了原理之后清除这个病毒就很容易了。
然后我们要开始工作了:
1. 打开Process Explorer ,暂停掉WINLOGON.EXE这个进程
打开Process Explorer (我用的是汉化版),在WINLOGO进程上右击,
“属性”-“线程”,点击“暂停”,这样就可以暂时停止WINLOGO进程的功能,不能直接结束掉这个进程,不然系统会重新启动。
从WINLOGON进程里卸载掉winlib.dll这个线程
2.在设备管理器里面先停止acpidisk.sys驱动,之后卸载它,并且删除掉%systemroot%system32drivers路径里的acpidisk.sys文件。
具体操作:打开“设备管理器”-“查看”-“显示隐藏的设备”,你会看到下面多了一个“非即插即用驱动程序”,你可以看到有一名字是acpidisk的驱动,在这个驱动程序上右击‘停止’-‘卸载’,之后进入%systemroot%system32drivers目录下,删除掉acpidisk这个驱动程序。
3.用工具删除掉acpidisk这个服务
打开的syscheck2,在“服务管理”里找到一个名为“acpidisk”的服务,右键单击“删除服务及文件”;在“进程管理”里,单击WINLOGO进程,在下面的模块信息里你可以看到winlib.dll,右键单击它,选择“卸载模块并删除文件”即可
后来我找了个看起来可行的方法,但试了后却让我觉得奇怪不已,请大家看看问题在哪里?
原文:
=======================================================================
原理:acpidisk.sys释放出winlib.dll,待winlib.dll插入到WINLOGON系统进程里去后
就删除掉WINLIB.DLL,所以说搜索不到这个文件,知道了原理之后清除这个病毒就很容易了。
然后我们要开始工作了:
1. 打开Process Explorer ,暂停掉WINLOGON.EXE这个进程
打开Process Explorer (我用的是汉化版),在WINLOGO进程上右击,
“属性”-“线程”,点击“暂停”,这样就可以暂时停止WINLOGO进程的功能,不能直接结束掉这个进程,不然系统会重新启动。
从WINLOGON进程里卸载掉winlib.dll这个线程
2.在设备管理器里面先停止acpidisk.sys驱动,之后卸载它,并且删除掉%systemroot%system32drivers路径里的acpidisk.sys文件。
具体操作:打开“设备管理器”-“查看”-“显示隐藏的设备”,你会看到下面多了一个“非即插即用驱动程序”,你可以看到有一名字是acpidisk的驱动,在这个驱动程序上右击‘停止’-‘卸载’,之后进入%systemroot%system32drivers目录下,删除掉acpidisk这个驱动程序。
3.用工具删除掉acpidisk这个服务
打开的syscheck2,在“服务管理”里找到一个名为“acpidisk”的服务,右键单击“删除服务及文件”;在“进程管理”里,单击WINLOGO进程,在下面的模块信息里你可以看到winlib.dll,右键单击它,选择“卸载模块并删除文件”即可
这个病毒加壳了 有自我保护功能和再生功能 不过归根结底无非是在注册表的根值做了手脚
你有没有在正常情况下 备份了注册表
如果有备份直接还原
如果没有就只有一点点的弄了 我的注册表水平不行 恐怕帮不了你
你找个强人 再告诉他病毒的所在位置 估计就是改个根值的事情 可能就是1改成0就可以删除了