手动删除Trojan系列木马
Trojan系列木马变种异常多而变态,昨天一师姐说她中木马了卡巴无法彻底删除,于是俺就去看,发现连PowerRMV也对它无可奈何。后来摸索着弄清了这木马如此BT的原因——虚拟设备技术。
以师姐中的木马程序 Trojan-Downloader.Win32.Hmir.fo为例,手动删除这种BT木马。
所需软件:SREng,Unlocker,IceSword
解决步骤:
1.SREng扫描系统,发现可疑文件c:\windows\System32\DRIVERS\gu3u1hy.sys和C:\WINDOWS\system32\w0xrj.dll(若不用扫描,直接看卡巴的报告也可以。)
2.找到C:\WINDOWS\system32\w0xrj.dll这个文件,右键点击它,选中“Unlocker”,在弹出的对话框的左下角选中“删除”然后按“全部解锁”。
3.清空回收站
4.桌面“我的电脑”-右键属性-硬件-设备管理器-查看-显示隐藏的设备,找到那个gu3u1hy的设备,卸载了它。
5.打开IceSword,点左下角“文件”,一路点选c:\windows\System32\DRIV
