有效清除远程控制木马PaiN的方法和技巧

　　最近邮箱里面收到一些与远控木马PaiN有关的求救信，研究了该病毒，发现它竟然能拒绝在虚拟机中运行，这样很难发现它的踪迹，真的很狡猾。中了该病毒，电脑会有以下症状：1. 各种账号和密码被盗。2.杀毒软件莫名其妙地被关闭。3. 系统中的软件被删除、显示器分辨率被修改。4.上网速度很慢。

　　该病毒的清除方法如下。

　　第一步：首先运行安全辅助工具IceSword(下载地址：http://www.mydown.com/soft/utilitie/system/76/428076.shtml)并点击列表中的“进程”按钮，接着在进程列表中选择进程iexplore.exe后，点击右键选择菜单中的“结束进程”命令即可结束该进程。这样木马程序就失去了与黑客的联系。

　　第二步：运行《金山清理专家》(下载地址：http://www.mydown.com/soft/utilitie/system/241/437241.shtml)，点击“在线系统诊断”中的“启动项管理”，会发现有两个标明未知的加载项(见图)，选中这些加载项后右键点击鼠标，在弹出的窗口选择“修复该项”即可。再切换到“浏览器修复”，同样会发现一个标明未知的ActiveX控件，右键点击选择“清除选项”即可。

　　第三步：点击IceSword左侧工具栏中的“文件”按钮，在系统盘的Windows目录中找到木马程序的主文件server.exe并删除。运行系统修复工具SREng(下载地址：http://www.mydown.com/soft/utilitie/systems/327/440327.shtml)，选择“系统修复”中的“高强修复”标签，直接点击“修复安全模式”按钮，就可以修复被木马破坏的系统安全模式。

　　最后重新安装杀毒软件并升级病毒库到最新版本，再进行全盘查杀，将病毒残留物彻底清除干净。

　　话题：主动防御功能为什么会失效?

　　现在很多杀毒软件都带有主动防御功能，可安装它们后还是会“不知不觉”地中病毒，主动防御功能为什么会失效呢?主动防御是个防范病毒的好东东，但并不是无懈可击，在面对驱动级病毒时就可能会失效。下面就听小编给大家详细讲解其中的奥秘。

　　提到主动防御，就要说到SSDT。因为主动防御是依靠行为动作来判断文件是否为恶意程序的，而要截获文件的所有动作，就只有在系统的SSDT中才可以完成。

　　提示：SSDT的中文意思是系统服务描述符表。SSDT的作用就是按照默认的规则，将应用程序的操作指令转化成系统内核所理解的信息并进行处理。当系统层将信息处理完成以后，再由SSDT将处理信息转换成最终的结果。SSDT就是操作层和系统层的“翻译”。

　　杀毒软件的主动防御修改了SSDT表中的内容，相当于在SSDT中安装了一个“监听器”。这个“监听器”发现传输的信息中可能存在危害系统安全的行为时，就会先将这些行为拦截，并悄悄地告诉杀毒软件的主动防御。然后主动防御根据自身的规则，对这个行为的安全性进行判断。如果行为是安全的，就放行，反之就进行拦截。

　　为了对付主动防御，驱动级病毒诞生了。驱动级病毒含有一个驱动文件，当驱动文件在安装成功后，就会将SSDT表恢复到系统的默认状态。这时SSDT中就没有“监听器”了，杀毒软件就失去了“千里眼，顺风耳”，主动防御功能最终失效也就是必然的了。

　　提示：只有驱动文件才可以对SSDT的内容进行操作。