这段时间有点背。
就在一个月前,由于在野站点下软件,被暗算了流氓软件,导致机器频频弹出激情广告还不算完,更甚者是搞挂了我机器上CC——天天就靠它管理代码来着。费了点劲把流氓软件给做了,可是对CC还是回天乏力。实在不知道CC的哪根筋不对,只好重装了。
新装的系统,干干净净,比以前轻快了不少,一个月来机器用的非常顺手。本想生活就此又恢复了平静和有序,没想到这个幻想在今天早晨破灭了——机器又遭到病毒袭击。这次比上次更猛烈,所有的.exe文件都不能使用了(杀毒程序也不例外),只有驻留在内存中的病毒监控程序不时地弹出警告窗口,无助的提示这是病毒。
shit!最近工作很紧张,大早晨起来就不能进入状态!杀毒软件靠不住了,那就只能靠我们自己的了。还好病毒监控程序告诉了我病毒的名字——Infostealer。我在同事的哪里上网搜索了下相关资料,大概了解了它的习性。还好它仅仅是更改了.exe的文件关联,并在系统启动参数里面动了手脚,问题不是很大。最后我用了两个小时的时间,终于将它搞定了。下面我就简单得说下操作步骤,也许对你会有些帮助。
1.拔掉网线,重启机器,在windows启动过程中,按f8进入高级选项界面(这里以2000server为例),选择安全模式进入。
2.在开始--运行中输入"regedit"打开注册表编辑器,首先备份下注册表。然后查找HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run,这里是当前机器启动时要运行的命令程序,检查里面是否有异常键值,清除掉它。比如这只病毒就比较“可爱”,它的键名便叫“Trojan programme”。
3.运行病毒软件,对系统盘全面杀毒。这种病毒一般会在系统盘下、IE临时文件夹内、winnt、system32里面生成多个.com文件。删除查到的病毒文件。
4.重启机器,确认病毒是否已经清除干净,如果没有则重复上面的动作。在上面操作中可能会遇到在安全模式下exe命令也无法执行的情况,比如regedit.exe。解决方式有二,可以将后缀修改为.com或者切换到带有命令行提示信息的安全模式。
5.由于病毒仅修改了.exe的文件关联,没有对exe文件做什么手脚,所以比较好处理些。下面来恢复它。一般有两种方法,你可以选择其一:修改HKEY_CLASSES_ROOT/exefile/shell/open/command下的default,键值为"%1" %*;或者进入带有命令行提示信息的安全模式,运行assoc .exe=exefile。