用SSM清除難纏的.dll後門
今天,拿到網友傳來的一個後門——Trojan.Win32.PcClient.bk。
這個後門感染系統后,在%system%文件夾中創建兩個文件:AUTOEXEC.BAT和00001370.dll。
在註冊表的HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES分支添加啓動加載項messenger。
00001370.dll插入winlogon.exe和iexplore.exe進程。
手工查殺這類後門有一定難度——如果用IceSword強行卸載插入winlogon.exe的00001370.dll,系統立即崩潰/重啓;如果不卸載0001370.dll,重啓后,病毒依然運行,00001370.dll無法刪除。
對付這類典型的.dll後門,SSM是個有用的工具(網上可以找到)。下面是用SSM殺死Trojan.Win32.PcClient.bk的操作步驟:
1/在SSM的“應用程序規則”(application rules)中添加兩條規則,禁止AUTOEXEC.BAT和0001370.dll運行(見圖1)。
2/重啓系統(重啓前檢查SSM的設置,確保其啓動加載)。
3/刪除%system%文件夾中的AUTOEXEC.BAT和0001370.dll(圖2)。
4/去掉後門添加的註冊表項(圖3)。
至此,這個棘手的後門就被徹底幹掉了!
大家可以舉一反三,使用SMM這個免費工具,對付那些難纏的後門/木馬。
圖1
