决战华山之巅 手动截杀病毒的启动

汪泳

       自从360推出免费杀毒来,我感觉现在的病毒越来越少了。但这个世界也有这种人,不安装任何杀毒软件,裸奔!今天我就遇到这个案例。

       今天一个朋友让我帮他看下他女朋友的笔记本,一看就让我特熟悉的那种感觉。一开机就弹出了一大堆弹窗:网页啊,聊天空间啊,鼠标乱动的。这就是几年前的那种很流行的中毒样式。于是调整呼吸与该病毒斗争到底。

       首先肯定是看看杀毒软件能不能打开了,结果答案很显然的了,肯定打不开。于是打开盘符,让其显示所有文件和文件夹然后显示已知文件类型的扩展名。果然看到磁盘里的所有文件夹都被修改为具有后缀名为.exe的文件,譬如:“我的文档.exe”。我想整个磁盘应该都被病毒占领了。想进入安全模式看看杀毒软件能不能打开。于是重启进入安全模式,结果发现这个病毒还真不简单,安全模式下杀毒软件也打不开。于是想到了最简单的办法,就是修改杀毒软件的文件名。结果也很令我失望,居然也打不开。不过我不怕,记得以前遇到这种问题都是用网页杀毒来杀的,因为杀毒软件一般都是记住了一些杀毒软件的文件名和杀毒软件的特性,而屏蔽杀毒软件。而网页杀毒却不一样,是通过浏览器来打开的,不受本地程序控制。于是打开百度搜索网页杀毒,一点金山毒霸的网页杀毒页面浏览器就自动关闭了。让我大吃一惊,这招一般是我已经得绝杀,居然现在的病毒已经厉害到这种地步了。

如此打击,让我意识到这个病毒的不简单。于是沉下心来,思考病毒的原理。在安全模式下这个病毒居然也能启动,证明他是有启动的条件的,于是我找到WINPE盘,用WINPE查看了下所有的盘符。发现所有的文件夹都被强制隐藏了,而是对每个文件夹生成一个对应的文件,譬如“我的文档”被隐藏,而生成一个“我的文档.exe”的可执行文件。并且注意到,其中还有一个autorun.inf的文件。我想我找到问题的所在了。病毒不可怕,关键是要在杀毒软件和病毒之间我们要看谁先占领操作系统。那么我现在就是要在安全模式下不能让病毒启动起来。于是在WINPE下将这些具有文件夹后缀名的可执行文件和autorun.inf等文件全部删除掉,而且仔细查看了所有的盘符,删的一个不留。于是再次重启进入XP的安全模式下果然杀毒软件可以打开了。使用了360的系统急救箱和360杀毒,彻底解决了所有病毒。

经过这次的经历我感觉,这次弄了半天才解决问题实属不应该。很多时候以为遇到这种简单的病毒可以很快解决,却没有事先好好的看下病毒的原理、病毒存在的特性。就凭着自己的经验浪费了很多的时间。其实给大家的忠告就是,这种病毒都是很简单的原理,其目的不在于破坏你的系统,删除你的文件。他的目的就在盗取账号、点击广告。其实赚钱就是他的主要目的。而为了达到这种目的,他就不得不阻止杀毒软件的打开,在杀毒软件启动之前占领操作系统。而提前占领操作系统不外乎随着系统的启动而启动、诱导用户点击启动。我们只要了解他的特性后,这种病毒并不可怕。

转载请注明:网工之路 http://www.51ccnp.com/