由杀毒引起的……

最新推荐文章于 2024-09-09 23:00:34 发布

totoorange

最新推荐文章于 2024-09-09 23:00:34 发布

阅读量757

点赞数

分类专栏：心情体会文章标签： dos xp windows dll 网络杀毒软件

本文链接：https://blog.csdn.net/totoorange/article/details/1532718

版权

心情体会专栏收录该内容

4 篇文章 0 订阅

订阅专栏

“忽如一夜熊猫来，千台万台皆中招。”前段时间的熊猫烧香在网上一夜走红，我没怎么感到到，作者就被抓了。是牛人越来越多了，还是我们网民的安全意识日趋下降了？

——题记

前几天一个朋友找我说电脑有问题，开机显示不出图标，要经过一些操作才能正常显示桌面。

拿到机器我查看了进程，好多陌生的进程，因为是ACER的高端机，或许有很多ACER的相关服务程序，就没有杀进程。运行了MSCONFIG看看启动项，病毒和流氓软件相当严重，机器连个杀毒软件也没有，于是我根据个人判断先卸载了一些不必要的程序，再在安全模式下清理了启动项，然后又装了个卡巴6和safe360，更新后，基本的病毒都可以杀掉，但是有个病毒卡巴杀不了，每次都说重起后清楚，但是每次都不成功。它通过加载一个名为rvlia.dll的文件，在windows/system32中找到删除的时候说文件正在被使用，但是已经没有可疑进程了。有些伪装成系统进程的都判断过了。想查一下到底是哪个进程调用了这个文件，突然想到VC里带个工具可以查看进程的DLL文件，但是机器上没有，还好safe360也可以做到。原来是EXPLORER.EXE，这个进程要终止，系统就崩溃。到安全模式下看了看，这个文件依然被使用了，嵌的怎么底层，还真不简单。

如果有DOS系统，那该多好啊，直接DEL就可以了，但是XP没有纯DOS。怎么办，想到从网上下载了一个矮人DOS，我以前没用过，安装后，在选择操作系统时，进了矮人DOS，这是出现了一个GNU的GRUB，这个不是LINUX的自带多系统引导程序吗，但是命令不熟悉呀。到网上搜了下，看到一段程序就输入进去了，后来才发现我是多么的盲目。结果是把WIN98带的DOS写到了第一个分区，但是因为缺少COMMAND.com文件，DOS还是进不去，而且现在每次启动自动出现WINDOWS98画面后，自动出现一行，却少文件，无法进入DOS的界面，这可怎么办，连以前的WINDOWSXP的引导文件估计也被破坏了。

当时我和朋友说的尽量不重装系统，毕竟不是自己的机器，万一系统盘有重要东西怎么办？现在看来估计不重装不行了，我把自己的XP盘，最好用的一张，放进去，BIOS里面已经设过BOOT 是CD-ROM了。但是依然不读盘，直接到那错误的界面，只有一个原因，光驱坏了，但是之前我读过光驱里的一张盘，后来才发现是光驱不灵敏了，有的读不出了，我借了系里5，6张系统盘，都读不出来，最后我的一张WIN 2003 SERVER 读了，那就先装上吧，我是这么想的，总比这样进不了系统好吧。一切很顺利的装上了，还好2003的驱动库比XP丰富，好多都能识别，不用到网上下驱动（连驱动程序盘都没有），不过2003用起来太麻烦了，上每个网站都要自己添加过滤，连关机都要说明原因。呵呵，服务器用的嘛，安全第一。

在我安装2003时候，在硬盘分区的界面有个特殊的分区，没有盘符，空间有2个G大小，应该是矮人DOS工具，从别的盘里P出来的，于是我把这2个G格式化了后，就在上面装了2003。在装之前，我趁着能读出盘，用了系统修复台，应该算个纯DOS，一个DEL命令把那个可恶的DLL删除了。现在成了双系统了，但是XP进不了，启动文件破坏了，本来找个XP盘可以修复的，但是无奈，光驱不争气。在2003下看C盘没有重要的东西，下一步就再想怎么把机器还原成只在第一个分区装XP。光驱不读真是麻烦，本来可以到网上下个XP，无奈太大，影响别人。光驱共享虽然用过，但是不知道怎么用它来直接引导安装。找个外接光驱更是不可能的，身边就没有这么高档的超薄还超轻的本本。

怎么办啊？天无绝人之路，又被我找了个很老的WINDOWS XP SP1，是俄罗斯破解版……，可以读。但是没有控制台，修复不了以前的XP系统。也顾不了太多了，重装了，分区时候把2个G的盘并到了C盘里，重新格掉了。激活是很容易，还记得曾经我用的时候就是选择电话激活，然后都写0。因为是SP1，不打补丁以后要后患无穷的，于是UPDATE了一个下午。终于把SP2什么的都更新好了。但是问题又出现了，更新过后系统被认为是没激活，而且都是0的电话也没用了。到网上又找到了解决办法，修改了注册表和用户策略权限。重起后就OK了。（有网络就是好啊）。剩下的就简单了，一个小病毒折腾的我够戗，以前从来没遇到过这么顽固的病毒。最奇怪的就是我已经在注册表里将rvlia.dll都删除了，已经找不到了，但是进程还会加载，初步怀疑病毒文件名是随即改的。

曾经见过他们讨论一个成功的病毒是存活越长好还是越久好，一个厉害的病毒在感染了后，会连同本体一起消失，不留下病毒特征码，那才够毒。想到了前段时间网上流传的熊猫烧香，我看过部分源码，只是借用了前两年的viking（威金）病毒修改的，作者无所不用其极的肆意添加破坏代码，从删除gho文件到全面搜集防火墙的名字，人品恶劣到了一定程度，有才我德，我想能写出熊猫烧香的人在CSDN上一抓一把。哲学上有这么一句话，黑格尔的经典：存在即合理。我想只要网络存在一天，病毒就不可能消失吧。从另一个方面说，病毒的出现也加快了互连网安全技术的进步。我一直搞不懂那些病毒的作者。

所以请大家一定要小心，烧香的可能不是和尚，他可能是熊猫！如今网络化的时代，安全意识更不可缺少。