对抗步骤:
1.执行winhex,点击"Tools"->"Open Disk.." 打开操作系统所在的驱动器盘符,该数据服务器为C盘。winhex会很快对全盘进行遍历,并根据不同的文件系统类型生成包含所有文件的多级浏览,包括NTFS特有的MFT文件和FAT32特有的FAT文件等等均可以看见。根据在注册表中的木马信息提示,双击进入windows和windows\font\syn-XX-XX-XX-XX-XX-XX\system目录,可发现所有被隐藏的木马程序,如图3和图4所示:
图3
图4
2. 接下来是整个处理步骤的关键。单击其中某一个木马程序名,在winhex的右下角数据区域会发可执行程序特有的“MZ...PE”等标志,如图5所示。鼠标点中该区域上的数据,此后在键盘上随意按键,修改之后的20--30个字节内容,破坏程序完整性即可,如图6所示。此时,木马已经被破坏,无法再次执行。为保险起见,彻底根除木马,右键单击木马文件名,选取其中的“position”->"Go To FILE Record"选项,这样winhex右下角将出现木马程序在NTFS或FAT文件系统中的文件记录信息,包括文件名等,也对其进行小幅度修改,使操作系统在重启后找都找不到该木马文件,如图7所示。但此处危险性较高,一旦改得太多,将破坏文件系统记录的完整性,直接导致其他重要文件的“失踪”。因此,这后面一步,请慎重使用。
更多内容请看PCdog.com--病毒/木马/蠕虫 系统解决方案 系统木马专题
