本例木马通过某安装器或下载器侵入用户电脑,释放一个驱动程序文件cbs.sys,然后篡改IE等浏览器的主页为hao123的网址,据说chrome也有中招,有时还导致蓝屏。有关木马驱动程序如下:
[cbs / cbs][Running/System Start]
<C:\Windows\System32\Drivers\cbs.sys>
也有的不是cbs.sys,而是wbl.sys,还带有Magic Desktop的数字签名,因此解决方案是,用PE启动电脑或直接使用强制删除工具删除cbs.sys或wbl.sys文件,然后进入注册表搜索相关的关键字删除,或者先用SREng工具删除驱动程序,然后重启电脑后再删除未启动的木马文件。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1443.html
