起因
唉,这几天天气热。雪影我吃东西吃到了变质的……结果被送到医院输液。惨呐,我有6年没输液了……5555~~~~~~~不过很快就好了^_^
一回家打开电脑,咦?不对,电脑今天怎么怪怪的?打开超级兔子魔法设置(系统管理的软件),找到自动运行的程序项,发现多了一个!晕!中病毒了!用金山毒霸扫描,竟然查不到(不是金山的错,我相信你用瑞星、江明等一样查不到。因为杀毒软件不是万能的,但没有却是万万不能的)!在我追查之下发现我不在的时候,我妹用电脑聊了天………………我跟她说了好多次,不要运行陌生人发来的程序!真是个成事不足败事有余的家伙!
不过那病毒也算倒霉,破到我这个学信息安全的。这叫做“躲鬼躲进城隍庙”^_^
追捕
先前说了,用“兔子”检查了启动项,发现多了一项“C:\WINNT\System32\shell.exe”,当然该把多的启动项删掉,这样下次开机时病毒就不会运行。
接着打开系统自带的“任务管理器”看看进程(要是你是win98那就得专门找个查看进程的软件)。知道怎样调出任务管理器吗?就是按Ctrl+Alt+Del,然后选“任务管理器”就是。嗯,看到了吧,多了个shell.exe的进程,怎么办?在它那里点右键,选“结束进程”。这样就中止病毒运行了。
现在就可以删病毒了。别慌!还有一件是要做。
这里先讲点别的。现在的病毒会想方设法让自己运行,有的就用了一种叫“文件关联”的技术。什么是文件关联呢?举个例子,比如你要打开一个文本文件(后缀是txt),系统默认是用记事本(notepad.exe)这个程序打开。但是如果病毒做了手脚,把打开的程序换成自身,那么你一打开文本文件,病毒就会运行。
现在知道要做什么了吧,没错,就是查看文件关联!用什么软件呢?我没找到更好的,只好用“个人电脑安全伴侣”。这个只能检测恢复exe和txt文件关联。不过一般都是关联这两种。以前也遇到过关联reg(注册表文件)文件的。把病毒删了后,运行reg文件会提示找不到*.*(也就是病毒)。这样解决:打开“我的电脑”在工具栏选“工具”——“文件夹选项”——“文件类型”,然后就出现了你系统能识别的文件类型。很多是不是?比如你要恢复reg的关联,就按“R”键跳到以R开头的类型,然后找到REG,点那个“还原”就搞定了!
现在那病毒已回天乏术了,怎么处置,悉听尊便(当然是删了)。
结局
那病毒我可没删,我把它拿来分析,发现是个盗传奇和边锋游戏(我都不玩的)密码的木马。嘿嘿,你知不知道那木马盗了密码怎样发给它主子?当然是用主子的邮箱发啦。OK!那就等于把那邮箱送给我了^_^ 根据经验,那邮箱里有很多被盗的密码,嘿嘿~赔了夫人又折兵。在下先谢过了!
总结
喂,睡觉的都醒醒!就是说你呢!听好啦,现在我来总结经验!
通过以上文字,你应该知道杀病毒也不是一个难事。只要掌握原理,就简单啦。好,我把步骤写出来:
从启动项删除——结束进程——检查关联——删无赦
说点废话。你要保证你的计算机的安全的话,就要经常检查启动项和进程,还要记住正常的启动项和进程。而且你必须知道,杀毒软件只能查到已知的病毒,对于那种新出来和不出名的是查不到的。现在最难杀的病毒是运用了“插入线程”技术的,一旦中招,就倒霉了!所以你自己注意!
刀光雪影
2003-8-27
你有任何意见或疑问请跟帖^_^
发表于 @ 2004年08月02日 12:36:00|评论(loading...)|编辑