驱动型病毒是什么,如何查找病毒驱动模块?

清除顽固或恶性木马病毒，包括驱动型及mbr型木马，恢复系统运转。- 清除顽固或恶性木马病毒，包括驱动型及mbr型木马，恢复系统运转。该病毒图标伪装成图片诱惑滚做用户点击，病毒运行后，创建互斥量防止病毒多次运行，删除%system32%目录下得mfc71.dll文件，遍历进程查找safeboxtray.exe（360安全软件进程），找到该进程后将其进程强行结束，，设置本地时间为2004年，用shellexecutea函数调用cacls.exe给everyone 用户组对packet.dll pthreadvc.dll wpcap.dll npf.sys npptools.dll、wanpacket.dll acpidisk.sys 的完全控制，释放病毒驱动文件beep.sys到%system32%drivers目录下，调换现有的驱动文件，创建驱动设置名：".ressdtdot"利用系统beep服务加载病毒文件，恢复ssdt躲避卡巴主动提示，遍历进程查找多款安全软件进程找到则将其进程强行结束，并停止多款安全软件服务，将%system32%目录下的wuauct.exe拷贝到%homedrive%下重命名：temp.temp，拷贝病毒自身到%system32%目录下与%system32%dllcache目录下，调用iexplore.exe创建进程，调用findwindows函数查找类名为"ieframe" 窗口，申请内存空间，将病毒代码写入iexplore.exe连接网路执行下载，拷贝自身到%homedrive%下命名为：mscl.plf，在每个驱动器下创建autorun.inf达到双击启动病毒目的，获取光标位置、获取窗口句柄、获取当前窗口标签内容，检测当前窗口标题是否存在病毒预设的标题（多款安全软件标题），如发现则向该窗体发送消息将当前窗体关闭，将病毒自身属性设置为隐藏，修改注册表、删除注册表坏安全模式、添加注册表启动项、劫持多款安全软件进程。

一、驱动型病毒是什么

驱动型病毒，又被称作驱动级木马病毒。指的是那么通过隐藏单独进程或后台服务来实现后门功能，它将自己伪装成驱动程序，注入到系统文件中，没有病毒特征的木马病毒文件型病毒的存在方式。能躲过杀毒软件对它的注意，以实现下载某些木马或者流氓软件的目的。一旦电脑被安装这类病毒，会释放出两种文件 ，.sys和.dll ，sys文件注册成隐藏的后台服务，隐藏运行。

二、如何查找病毒驱动模块

这才是最关键的，Pc Hunter能够帮助我们找出这些文件，并删除这些文件，当然真正牛X的病毒，估计还是需要用户手动想办法删除。下面是具体的操作步骤

第一步、打开Pc Hunter软件，点击“驱动模块”选项卡，，我们需要稍等一会时间，让软件分析系统上驱动记得所有文件。

单击“开始”菜单，单击“运行”命令，在“打开”框中键入“regedit”命令，单击“确定”按钮。单击对话框下面的“插入”，单击“插入”/“符号”在弹出的“符号”对话框的“子集”框中选择“拉丁语扩展-a”然后在中间的大框中选择想要的符号，就会提示你输入密码。3、每天的同一时间定时自动关机：单击“开始”→“所有程序（p）”→“附件”→“系统工具”→“任务计划”→弹出“任务计划”窗口→在窗口右侧的空白区域单击鼠标右键→在出现的快捷菜单中指向“新建（w）”→在出现的下一级菜单中单击“计划任务（s）”新建一个计划任务并为它取一个名字，这里取名为“关机”→双击“关机”或其图标→弹出“关机”任务窗口→选择“任务”页→在“运行（r）”后的框中输入shutdown.exe -s（-前有一空格）→在“运行方式（u）”后的框中输入nt authority\system→在左下角勾选“已启用”项→再选择“计划”页→在“计划任务（s）”下的框中选择“每天”→在“开始时间（t）”下面的框中输入你要自动关机的时间→按“应用（a）”、“确定”按钮→关闭“任务计划”窗口即可。

1、黑色文件：表示该驱动已经过微软数字签名

2、蓝色文件：表示该驱动没有经过微软验证，但较为安全

3、风红色文件：表示该文件未通过微软验证，且存在安全风险，这时我们需要注意的。

温馨提示：上图中提示“文件不存在”的文件，可能是病毒残余文件，或者拒绝一切访问的文件驱动，尤应引起用户的主意，非常牛X的病毒往往隐藏其中。

第三步、处理这些问题文件

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-101005-1.html