2006年6月9日,我的电脑碰到了大灾难,再次遭遇了一种顽强的病毒,之所以说是再次遭遇,实在是因为已经中过好几次了,而且情况一次比一次严重
第一次发现D盘双击无法打开,上网查了下,去掉文件夹的隐藏属性后轻松的删掉了病毒,解决了问题,后来又发生了一两次类似的情况,也是轻车熟路的解决了.
然而三天前,当这个病毒再次出现时似乎又强大了不少,在不隐藏系统文件的情况下删掉,可重启后又生成了,一遍又一遍的删,一遍又一遍的重启后面对"自动播放"以及D盘的那个显眼pagefile.pig文件,失望!!!
无奈之下,在安全模式下用卡巴杀了一个多小时,删掉了二十多个感染病毒木马程序的文件,是有史以来杀毒最多的一次~~重启后,很多东西都打不开,所以重装了系统...
安稳竟然只维持了三天,今天开了很多网页,下了不少乱七八糟的东西,结果又不知道在什么时候被缠上了身!当我进D盘找文件猛然间发现那个十分显眼而又眼熟的MS-DOS程序时,眼前简直一黑...
又是重复的删除--重启--再删除--再重启...后来又进了安全模式,连网线都拨掉,还结束了explorer进程,杀毒,不停的有一个叫virus.win32.parite.a的病毒被杀出了,一共查出了200多个被感染的文件,简直是令人目瞪口呆~~~还没查完呢,卡巴大概是工作量太大了,卡死在那里了
又重启,继续杀,这次一个毒也没查出来,可是D盘的"自动播放"还在那里,看来是卡巴也查不出来了,只好又转向了互联网.
总之,经过了足足一整天的工夫,参考了众多高手的文章,结合了大家的做法,终于杀掉了这顽固的病毒,由于大家的具体情况都不完全相同,所以有的方法适用你,却并不一定适用我,我所采用的方法也完全是从网络上收集而来,加上了自己的总结,希望能对碰到相同情况的人有所帮助,在这里要感谢各位高手的无私奉献,特别是闪客启航论坛的若尘大人,我使用的方法大部分参照他的帖子,另外他的帖子还讲述了几中其他的情况,有兴趣的人可以去找下
以下是我手动杀毒的全过程:
1.先选择工具-文件夹选项-查看,将"隐藏爱保护的操作系统文件"前面的勾去掉,同时选择"显示所有文件和文件夹"这一项.(相信大家都知道这一点)
2.这时候所有原先隐藏着的文件,特别我们这里针对的是那些隐蔽的十分狡猾而又小心的病毒文件就现形了,我们要睁大眼睛,一一找到它们,然后删除,注意删除之前先右键点属性,看一下它们的创建日期,这些文件都是在你发现病毒的那天创建的,而且都不超过50K,由于它们和系统的一些重要文件同名,所以删的时候一定要小心了:
D:\autorun.inf
D:\pagefile.com(这两个文件是最容易被发现的了,后者甚至不是隐形,而是大摇大摆放在那里的)
C:\program files\winlog.exe
C:\program files\explore.exe在删这两个文件时,我碰到了问题,说是有进程调用,无法删除,于是只有ctrl+alt+delete键,调出任务管理器,切换到"进程"项, 找到一个名叫explore.exe的进程,同时要注意了,另外有一个叫explorer.exe的进程,一定要看清楚了,是选中前面的一个,然后结束进程,可别弄错了~~至于弄错了的后果,听说倒也不怎么严重,不过错误还是少犯为妙~
进程结束后就可以顺利删除这两个文件了.
接下来:
C:\program files\internet explorer\iexplore.com
C:\program files\common files\iexplore.com
c:\windows\1.com
c:\windows\explorer.com
c:\windows\ExERoute.exe
c:\windows\finder.com
c:\windows\WINLOGON.EXE(注意这是一个红色的图标,然而删除时也会提示进程调用,无法删除,再照前面的到任务管理器中去结束名叫"WINLOGON.EXE"的进程时,提示重要进程无法结束,因为它和系统的进程"winlogon.exe"是同名的,只是大小写的区别.由此可见此病毒是多么的狡猾,多么的会钻空子!!所以我们要再做一些工作,不过其他的文件还是要继续删下去)
c:\windows\Debugprogram.exe(这也是一个红色的图标,删了这么多,发现病毒文件其实也有自己的特点,首先看创建日期,都是同一天,也就是发现病毒的那天,其次,它的颜色要比正常的系统文件浅那么一点,有点半隐形的感觉)
删毒工作还在继续,而且到了最考验眼力的一环--C:\windows\system 32文件夹下:
此文件夹内文件繁多,让人眼花,这时就要极大的耐心,千万不能放走一个了,这里是按字母顺序排列的,方便大家查找:
C:\windows\system 32\command.exe(是个DOS程序的图标比较好找)
C:\windows\system 32\dxdiag.com
C:\windows\system 32\finder.com
C:\windows\system 32\msconfig.com
C:\windows\system 32\regedit.com
C:\windows\system 32\rundll32.com
每删掉一个,就再一次感叹此病毒用心之险恶,每个文件都与系统重要文件同名,只是后缀不同,在这里还是老话一句,删前先看下文件的创建日期,千万别删错了~
3.呼~总算把能删的都删了,接下来是挺专业的一步:修改注册表
虽然对我等电脑白痴来说,注册表不是轻易碰得的东西,可是实在没办法,也只有不得已而为之了:
打开开始菜单的运行,输入命令 regedit,进入注册表,在菜单栏,点编辑--查找--查找目标填"pagefile.pig",会查出来一项后面的数据为D:\pagefile,注意看注册表左边,它是在一个叫shell的文件夹下面的command文件夹里,我们要做的就是直接删掉整个shell文件夹! 再到HKEY_LOCAL_MAEHINE\SOFTWARE\Microsoft\windows\currentversion\Run里面,有一个Torjan pragramme开头的,删!!
修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windowsNT\currentversion\winlogon里面,将"shell"="explorer.exe 1"改为"shell"="explorer.exe ",和我一样和注册表不熟的同声要耐心,仔细找会找到的!
OK,手动杀毒工作终于告一段落了~~
4.重启,再crtl+alt+delete调出任务管理器,就会发现,大写的WINLOGON.EXE进程已经不复存在了,而且D盘右键已经没有令人讨厌,挥之不去的"自动播放"四个字了,这时候再进入C:\windows文件夹下,就可以轻松删掉WINLOGON.EXE这个大麻烦了~
先别高兴得太早,这时你会发现浏览器,运行注册表都无法打开了,也就是说所有的EXE文件都无法打开,这是由于病毒修改了文件关联,所以我们要把它改回来:)
到C:|windows\system32里,cmd.exe文件复制一份到桌面来,由于exe文件无法打开,所以我们要将它改为cmd.com,其实就是以牙还牙,你会用.com后缀搞鬼,我也会用它来修复:)(注意有的同志如果系统是省略了常用的文件后缀名,就要到前面我们修改文件隐藏属性的那里,即工具--文件夹选项,将"隐藏已知文件夹类型的扩展名"前面的勾去掉,然后对cmd.exe文件重命名,改为cmd.com)
改好后双击就可以进入DOS状态了,在提示符下输入以下命令:
assoc .exe=exefile (assoc与.exe之间有空格)回车
ftype exefile="%1" %* 回车
好了,现在享受杀毒成功的安心与喜悦吧....
在这里,因为我是先杀用杀毒软件再手动杀毒的,而且软件确实也杀出了不少毒,所以建议大家在手动杀毒之前还是找个好的杀毒软件先全盘扫描一下.另外在进行手动杀毒操作时记得不要打开任何EXE文件,在删除病毒文件的时候要小心别删错,进D盘时千万要记得别下意识的双击,要小心翼翼的右键打开,因为这些操作都有可能使已经删除的病毒文件重新生成并感染.如果有什么不对的地方请指教,并请秉着坚持不懈的原则,一遍不行杀两遍,或许有些步骤前后有些问题,但大致上是这样的,细心一点应该可以杀掉病毒.
再次感叹,此病毒之用心良苦与城府之深,同时也深深感受到互联网与搜索引擎的好处,竟然能让我这菜鸟煞有介事的改注册表,最终惊险的摆平了难缠的病毒,希望大家都能充分利用网络资源,不是高手也能请高手支招嘛~~~
8692
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
