有效清除遠程控制木馬PaiN的方法和技巧

　　最近郵箱里面收到一些與遠控木馬PaiN有關(guān)的求救信，研究了該病毒，發(fā)現它竟然能拒絕在虛擬機中運行，這樣很難發(fā)現它的蹤跡，真的很狡猾。中了該病毒，電腦會(huì )有以下癥狀：1. 各種賬號和密碼被盜。2.殺毒軟件莫名其妙地被關(guān)閉。3. 系統中的軟件被刪除、顯示器分辨率被修改。4.上網(wǎng)速度很慢。

　　該病毒的清除方法如下。

　　第一步：首先運行安全輔助工具IceSword(下載地址：http://www.mydown.com/soft/utilitie/system/76/428076.shtml)并點(diǎn)擊列表中的“進(jìn)程”按鈕，接著(zhù)在進(jìn)程列表中選擇進(jìn)程iexplore.exe后，點(diǎn)擊右鍵選擇菜單中的“結束進(jìn)程”命令即可結束該進(jìn)程。這樣木馬程序就失去了與黑客的聯(lián)系。

　　第二步：運行《金山清理專(zhuān)家》(下載地址：http://www.mydown.com/soft/utilitie/system/241/437241.shtml)，點(diǎn)擊“在線(xiàn)系統診斷”中的“啟動(dòng)項管理”，會(huì )發(fā)現有兩個(gè)標明未知的加載項(見(jiàn)圖)，選中這些加載項后右鍵點(diǎn)擊鼠標，在彈出的窗口選擇“修復該項”即可。再切換到“瀏覽器修復”，同樣會(huì )發(fā)現一個(gè)標明未知的ActiveX控件，右鍵點(diǎn)擊選擇“清除選項”即可。

　　第三步：點(diǎn)擊IceSword左側工具欄中的“文件”按鈕，在系統盤(pán)的Windows目錄中找到木馬程序的主文件server.exe并刪除。運行系統修復工具SREng(下載地址：http://www.mydown.com/soft/utilitie/systems/327/440327.shtml)，選擇“系統修復”中的“高強修復”標簽，直接點(diǎn)擊“修復安全模式”按鈕，就可以修復被木馬破壞的系統安全模式。

　　最后重新安裝殺毒軟件并升級病毒庫到最新版本，再進(jìn)行全盤(pán)查殺，將病毒殘留物徹底清除干凈。

　　話(huà)題：主動(dòng)防御功能為什么會(huì )失效?

　　現在很多殺毒軟件都帶有主動(dòng)防御功能，可安裝它們后還是會(huì )“不知不覺(jué)”地中病毒，主動(dòng)防御功能為什么會(huì )失效呢?主動(dòng)防御是個(gè)防范病毒的好東東，但并不是無(wú)懈可擊，在面對驅動(dòng)級病毒時(shí)就可能會(huì )失效。下面就聽(tīng)小編給大家詳細講解其中的奧秘。

　　提到主動(dòng)防御，就要說(shuō)到SSDT。因為主動(dòng)防御是依靠行為動(dòng)作來(lái)判斷文件是否為惡意程序的，而要截獲文件的所有動(dòng)作，就只有在系統的SSDT中才可以完成。

　　提示：SSDT的中文意思是系統服務(wù)描述符表。SSDT的作用就是按照默認的規則，將應用程序的操作指令轉化成系統內核所理解的信息并進(jìn)行處理。當系統層將信息處理完成以后，再由SSDT將處理信息轉換成最終的結果。SSDT就是操作層和系統層的“翻譯”。

　　殺毒軟件的主動(dòng)防御修改了SSDT表中的內容，相當于在SSDT中安裝了一個(gè)“監聽(tīng)器”。這個(gè)“監聽(tīng)器”發(fā)現傳輸的信息中可能存在危害系統安全的行為時(shí)，就會(huì )先將這些行為攔截，并悄悄地告訴殺毒軟件的主動(dòng)防御。然后主動(dòng)防御根據自身的規則，對這個(gè)行為的安全性進(jìn)行判斷。如果行為是安全的，就放行，反之就進(jìn)行攔截。

　　為了對付主動(dòng)防御，驅動(dòng)級病毒誕生了。驅動(dòng)級病毒含有一個(gè)驅動(dòng)文件，當驅動(dòng)文件在安裝成功后，就會(huì )將SSDT表恢復到系統的默認狀態(tài)。這時(shí)SSDT中就沒(méi)有“監聽(tīng)器”了，殺毒軟件就失去了“千里眼，順風(fēng)耳”，主動(dòng)防御功能最終失效也就是必然的了。

　　提示：只有驅動(dòng)文件才可以對SSDT的內容進(jìn)行操作。