手工清除USB病毒
作者:张桂权
21世纪是信息科技高速发展的黄金时代,随着互联网的普及和现代电子商务应用的蓬勃发展,信息安全倍受人们的关注。显然,计算机病毒正在悄悄的成长,甚至是在以其独特的方式充斥着整个技术革命的发展。病毒的发展不容忽视,今天不仅是电脑,移动存储设备也日趋成为病毒的攻击目标。只要你的电脑处于运行状态,那么你随时都可能中病毒,即使没有直接连到网络,很可能你的移动设备早就被病毒感染了。
病毒不是什么好东西,它渐渐让人们感觉到不安,甚至很沮丧。当杀毒软件很自信的告诉你“放心吧,我的朋友你的电脑上没有病毒”,你会相信嘛?如果,不。那你就对了,因为杀毒软件永远都是被病毒软件所牵制着,因为它没有预知能力,也不可能拥有人的智能。总是在新的病毒出现时,不,是在它们泛滥成灾的时候,杀毒软件厂商就开始设计进行针对性的解决方案,但是,现实告诉我们病毒的变更能力远远超过了杀毒软件的更新速度。所以,杀毒软件有时候会变得很笨拙。在这种情况下就需要我们自己出手解决问题了。
具备一些基本的病毒识别和清除能力是很必要的,即使你很信任杀毒软件,但不是每一个时刻你都准备了自己的杀毒软件。下面,我将以自己的经历来给大家介绍一般的USB病毒的手动清除过程。
经验告诉我,当你的设备中病毒的时候一定会有异常反应,但是你必须细心不然很难发现,要不你发现的时候事情变得很严重了。比如,当你想通过设置“文件夹选项”来查看系统所有文件,但是任凭你操作,就是看不到系统的隐藏文件,那么你一定中病毒了,当然要排除人为的设置。因为病毒经常通过改变文件系统文件夹的属性来达到隐藏自己的目的。当然了只要你的注册表编辑器还可以用,那你还可以将其重置。
图1 系统进程信息
还是言归正传吧。故事是这样的,有一天我在用自己USB的时候,感觉系统有些异常,打开任务管理器(一般按快捷键:CTRL +ALT +DELETE),发现果然有问题,如图1所示,所有的进程名都成了大写,而且有一陌生的进程(Lcass.exe)出现我的视线。我试图直接把它杀掉,但是一会儿又启动了。想查看隐藏文件时发现注册表被改了,没用。幸好注册表编辑器还可以用(当然,即使注册表被禁用,也有好多的办法可以恢复它,不过这个主题不在本篇文章的范围之内),我很快就把它改回来了。具体改法如下:
1) 打开注册表编辑器(regedit 命令),找到表1中的键值,并新建一个REG-DWORD类的DefaultValue项,将其值设置为2就可以了,改后的效果如图2所示。
| 注册表中SHOWALL的路径 |
| HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL |
表1 注册表中SHOWALL的路径
图2 注册表恢复之后的效果
2) 直接在注册表编辑器中搜索“SHOWALL”,然后找到和表1中一样的路径,进行相同的操作就可以了,如图3所示。
3)
图3 在注册表编辑器中搜索“SHOWALL”
当以上的操作完成之后你会发现USB(我的是盘符为E的),然后把它删除,然后退出USB,
重新插上发现病毒程序还在。删除它,之后打开E盘的回收站,你会发现病毒在其中,如图4所示。文件属性如图5所示。
图4 回收站中的Lcass.exe
图5 Lcass的属性
通过清空桌面回收站,你发现病毒不见了,可是……一会又出现了。这是为什么呢?
当发现问题还没有解决的时候,你应该到处逛一逛了。找点感觉。经验告诉我,系统盘(我的是C盘)一定有问题了,去看看吧。
如果不错的话你会在系统盘里看到一个“autorun”的配置文件,倘若你对Windows很了解的话,就应该知道到底怎么回事了,如图6所示。
图6 系统盘中的特殊文件
通过“右键”点击“编辑”菜单,你会发现“autorun”的内容如图7所示。语句的意思是系统启动的时候自动运行回收站中的Lcass.exe文件。因为文件有内存注入的功能,所以即使你删除了这个文件,它还会在系统关闭的时候自动的恢复。所以,我们要处理的流程如下:
1) 杀掉Lcass.exe进程;
2) 清除USB中的Lcass.exe程序;
3) 删除系统盘中的autorun文件;
4) 清空回收站。
5) 重启Windows,确认Lcass.exe是否已经删除了。
如果还没有清除,那么请重复上边的操作,以免遗忘了其中的一些环节。如果重复了几次都不行,那么想想别的方法吧!
图7 autorun的内容
6030
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
