首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 运维 > 正文

依靠linux手动专杀小小经验--手动清除dnsq.dll病毒

作者:手机用户2602938525 | 来源:互联网 | 2017-10-27 21:28
依靠linux手动专杀小小经验--手动清除dnsq.dll病毒--Linux通用技术-Linux技术与应用信息,下面是详情阅读。
  近日,实验室的机器不小心中了个病毒,这种病毒的表现主要是:经常在xp使用时弹出cmd命令行;有时会自动打开IE连接网页;360安全卫士和卡巴斯基被关闭;专杀工具一出动就重启计算机;任务管理器中显示有两个被用户(注意:不是SYSTEM)所拥有的进程lsass.exe和smss.exe且无法结束;在网上搜索"dnsq.dll"或"病毒"字样立刻强制关闭浏览器......麻烦得很,不禁骂该病毒作者xxx.经过2个多小时的研究,找到了清除方法.该作者的能力还是有限,能够被我手动杀掉的病毒,能高明到哪去?

  首先说明,该病毒有许多变种,会生成许多病毒程序,所以,我接下来要介绍的方法,也许只能是个参考.另外,看我的文章题目就知道,我是利用了linux系统来杀毒的,如果你的电脑只装了xp(这也是绝大多数情况),那这篇文章可能无法帮助你,还请见谅.但是,看完这篇文章后,你也许会发现,就算你平常不用linux,linux却可以为你所用,没事儿杀杀病毒,岂不乐哉?另外,如果你对linux的命令不太熟,可以查查有关资料,并不难的.

  病毒特征文件
  首先,被感染的各个windows分区的根目录下都会生成autorun.ini和pagefile.pif文件;在c:\下还会有一个032759.log(这个文件名一般是以数字+log后缀,不一定是032759);在c:\windows\system32\下有一个dnsq.dll;在c:\windows\system32\com\下会生成4个文件:netcfg.000,netcfg.dll,lsass.exe,smss.exe;在c:\windows\system32\下的cmd.exe,lsass.exe,smss.exe也被感染;在c:\Documents and Settings\All Users\启动\生成很恶心的~.exe程序(这么恶心的名字作者也想得出来,估计是有童年阴影).这些就是病毒运行时所依赖或感染的程序.

  利用Linux清除Windows分区病毒的好处
  Windows下的病毒无法感染Linux.这就是我们使用linux杀毒的关键.在windows下,病毒把自己伪装和保护得很好,不那么容易发现,即便发现了你也杀不了(比如不让你使用杀毒软件,把自己变成无法删除的系统程序等等),所以,你在windows下杀毒,很有可能是徒劳的.就这个病毒来讲,xp一启动的时候它就自己加载运行了,并且会监视lsass.exe和smss.exe这两个程序是否被删除,如果是的话就再自动生成.因此,在windows下手动杀它,只能是野火烧不尽,春风吹又生.但是,在linux下杀就不一样了;因为你是用的linux来读取windows分区,事实上windows并没有被引导,病毒就无所谓发作,对你来说,你就只需要删除windows分区上的几个文件而已,而哪些病毒程序根本就运行不起来(谁让大多数的病毒制造者只会写几个windows病毒呢?).因此,在linux下手动杀毒,病毒只能乖乖就擒,只要你杀得干净,它就没办法了.

  手动清除
  其实,手动清楚的办法很简单,就是进入linux系统,把你所有的windows分区mount进来,然后一一对应上面的文件直接删除掉就可以了.当然,这还牵涉到你的windows分区是否是ntfs格式.我当时装xp的时候,就是为了能让linux读到xp的分区共享文件,所以都把xp的分区格式化为fat32了(如果是ntfs的话,你的linux可能无法mount进来,还需要借助一些工具软件,这你得上网找找).另外,我是在一中病毒的时候就到linux下杀毒的,因此我还用了linux把过去1内发生改变的.exe,.dll,.log,.pgf等文件都找了出来,看到名字很可疑的就删掉.

  但是要记住一点,c:\windows\system32\下的cmd.exe,lsass.exe和smss.exe如果删掉的话,你的windwos就可能无法正常引导了.所以,我的解决办法是,把这三个程序删掉后,再从同学的机器上copy了这3干净的程序放回到c:\windows\system32\下.这样,这个病毒的查杀工作就基本完成了.

  最后
  如果你对这个办法不放心,那么,你可以把要删除的文件移动到linux分区下(相当于剪切+粘贴),然后启动windows,如果发现有删错的情况,还可以再回linux把相应的文件放回它们原来的位置.

  还要讲的是,由于是手动专杀,再加上该病毒有许多变种,所以上述讲到的病毒文件不一定你都有,或者你有的我这里没提到.总之,手动查杀病毒需要一定的耐心和细心,要善于发现可疑程序,并且要多尝试.我在杀这个病毒的时候,来来回回在linux和windows之间重启切换了10几20遍.但是,成功查杀之后的快感,是很爽的,值得一试啊。
推荐阅读
  • 运维

    如何在服务器主机上实现文件共享的方法和工具

    如何在服务器主机上实现文件共享的方法和工具
    本文介绍了在服务器主机上实现文件共享的方法和工具,包括Linux主机和Windows主机的文件传输方式,Web运维和FTP/SFTP客户端运维两种方式,以及使用WinSCP工具将文件上传至Linux云服务器的操作方法。此外,还介绍了在迁移过程中需要安装迁移Agent并输入目的端服务器所在华为云的AK/SK,以及主机迁移服务会收集的源端服务器信息。 ... [详细]
  • unix

    Python高级之网络编程及TCP/IP协议簇的OSI七层模型介绍

    本文介绍了Python高级网络编程及TCP/IP协议簇的OSI七层模型。首先简单介绍了七层模型的各层及其封装解封装过程。然后讨论了程序开发中涉及到的网络通信内容,主要包括TCP协议、UDP协议和IPV4协议。最后还介绍了socket编程、聊天socket实现、远程执行命令、上传文件、socketserver及其源码分析等相关内容。 ... [详细]
  • sudo

    Centos7.6安装Gitlab教程及注意事项

    Centos7.6安装Gitlab教程及注意事项
    本文介绍了在Centos7.6系统下安装Gitlab的详细教程,并提供了一些注意事项。教程包括查看系统版本、安装必要的软件包、配置防火墙等步骤。同时,还强调了使用阿里云服务器时的特殊配置需求,以及建议至少4GB的可用RAM来运行GitLab。 ... [详细]
  • tomcat

    Hibernate配置lazy=false时无法加载数据的问题解决方法

    本文介绍了在Hibernate配置lazy=false时无法加载数据的问题,通过采用OpenSessionInView模式和修改数据库服务器版本解决了该问题。详细描述了问题的出现和解决过程,包括运行环境和数据库的配置信息。 ... [详细]
  • tomcat

    Metasploit攻击渗透实践

    Metasploit攻击渗透实践
    本文介绍了Metasploit攻击渗透实践的内容和要求,包括主动攻击、针对浏览器和客户端的攻击,以及成功应用辅助模块的实践过程。其中涉及使用Hydra在不知道密码的情况下攻击metsploit2靶机获取密码,以及攻击浏览器中的tomcat服务的具体步骤。同时还讲解了爆破密码的方法和设置攻击目标主机的相关参数。 ... [详细]
  • unix

    Linux进程控制块PCBtask_struct结构体结构及作用详解

    本文详细介绍了Linux中进程控制块PCBtask_struct结构体的结构和作用,包括进程状态、进程号、待处理信号、进程地址空间、调度标志、锁深度、基本时间片、调度策略以及内存管理信息等方面的内容。阅读本文可以更加深入地了解Linux进程管理的原理和机制。 ... [详细]
  • server

    图解redis的持久化存储机制RDB和AOF的原理和优缺点

    图解redis的持久化存储机制RDB和AOF的原理和优缺点
    本文通过图解的方式介绍了redis的持久化存储机制RDB和AOF的原理和优缺点。RDB是将redis内存中的数据保存为快照文件,恢复速度较快但不支持拉链式快照。AOF是将操作日志保存到磁盘,实时存储数据但恢复速度较慢。文章详细分析了两种机制的优缺点,帮助读者更好地理解redis的持久化存储策略。 ... [详细]
  • unix

    Webmin远程命令执行漏洞复现及防护方法

    Webmin远程命令执行漏洞复现及防护方法
    本文介绍了Webmin远程命令执行漏洞CVE-2019-15107的漏洞详情和复现方法,同时提供了防护方法。漏洞存在于Webmin的找回密码页面中,攻击者无需权限即可注入命令并执行任意系统命令。文章还提供了相关参考链接和搭建靶场的步骤。此外,还指出了参考链接中的数据包不准确的问题,并解释了漏洞触发的条件。最后,给出了防护方法以避免受到该漏洞的攻击。 ... [详细]
  • linux

    问题2:重新命名或者移动数据文件、日志文件到新的位置

    本文讨论了在数据库打开和关闭状态下,重新命名或移动数据文件和日志文件的情况。针对性能和维护原因,需要将数据库文件移动到不同的磁盘上或重新分配到新的磁盘上的情况,以及在操作系统级别移动或重命名数据文件但未在数据库层进行重命名导致报错的情况。通过三个方面进行讨论。 ... [详细]
  • linux

    windows便签快捷键_用了windows十几年,没想到竟然这么好用!隐藏的功能你知道吗?

    windows便签快捷键_用了windows十几年,没想到竟然这么好用!隐藏的功能你知道吗?
    本文介绍了使用windows操作系统时的一些隐藏功能,包括便签快捷键、截图功能等。同时探讨了windows和macOS操作系统之间的优劣比较,以及人们对于这两个系统的不同看法。 ... [详细]
  • linux

    Java实现大数乘法(分治算法)

    本文介绍了使用Java实现大数乘法的分治算法,包括输入数据的处理、普通大数乘法的结果和Karatsuba大数乘法的结果。通过改变long类型可以适应不同范围的大数乘法计算。 ... [详细]
  • 运维

    90后程序员的职业发展之路:从年薪3w到30w的经验分享

    本文是一位90后程序员分享的职业发展经验,从年薪3w到30w的薪资增长过程。文章回顾了自己的青春时光,包括与朋友一起玩DOTA的回忆,并附上了一段纪念DOTA青春的视频链接。作者还提到了一些与程序员相关的名词和团队,如Pis、蛛丝马迹、B神、LGD、EHOME等。通过分享自己的经验,作者希望能够给其他程序员提供一些职业发展的思路和启示。 ... [详细]
  • 运维

    HDU 2372 El Dorado(DP)的最长上升子序列长度求解方法

    HDU 2372 El Dorado(DP)的最长上升子序列长度求解方法
    本文介绍了解决HDU 2372 El Dorado问题的一种动态规划方法,通过循环k的方式求解最长上升子序列的长度。具体实现过程包括初始化dp数组、读取数列、计算最长上升子序列长度等步骤。 ... [详细]
  • debian

    Ubuntu 9.04中安装谷歌Chromium浏览器及使用体验[图文]

    Ubuntu 9.04中安装谷歌Chromium浏览器及使用体验[图文]
    nsitionalENhttp:www.w3.orgTRxhtml1DTDxhtml1-transitional.dtd ... [详细]
  • sudo

    imx6ull开发板驱动MT7601U无线网卡的方法和步骤详解

    imx6ull开发板驱动MT7601U无线网卡的方法和步骤详解
    本文详细介绍了在imx6ull开发板上驱动MT7601U无线网卡的方法和步骤。首先介绍了开发环境和硬件平台,然后说明了MT7601U驱动已经集成在linux内核的linux-4.x.x/drivers/net/wireless/mediatek/mt7601u文件中。接着介绍了移植mt7601u驱动的过程,包括编译内核和配置设备驱动。最后,列举了关键词和相关信息供读者参考。 ... [详细]
author-avatar
手机用户2602938525
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有