大约一个月前,收到一个同学发来的QQ信息,说是刚刚又有几台机器拿来送修,加上手里还没解决完的,一个人有点忙不开,想让咱抽空过去帮忙处理一下,解决完了请咱吃饭。咱哥们向来仗义,那称得上是为朋友两肋插刀,就是不请客也照样会过去帮忙,何况这次人还请客,那就更得去了。

当时就回了信息,放下手中的事,带着应手的家伙就出发了。路程不近,40分钟却也已足够了。经常出出进进,和保安混得很熟,没做太多耽搁就到了同学的工作间。只见他拿着一个断了翅的风扇正鼓捣呢,看那意思是想把断翅给接上。地上还躺着几台,估计也是一会儿要处理的。问了问情况,说先处理靠窗户那台,晚上之前得给人回复。送修人描述得症状是机器运行速度慢,严重影响正常使用。

二话没说,过去先把任务管理器给调出来了,这咱哥们熟呀!一看,里面确实有不少很“扎眼”的进程,先记下来呆会儿再说。又运行了msconfig看了看启动项,好吗?! 整个一病毒的摇篮。真不知道这哥们都干了啥了! 全记下来之后就准备到安全模式下杀毒,看了看这台机器安得杀毒软件——竟然是瑞星。唉!甭管什么,也得先对付着试试看了,反正有比没有强呀,还好这是最新版本,上午刚升级完。
 
 

重启——F8——安全模式,可是无法顺利进入,会自动重启进入正常模式。显然是病入膏肓了,脑子里瞬时闪过了两个字——重装。既然不让进安全模式,那只好在正常模式里折腾了,不行就重装。 于是,打开了瑞星。心里话,这可给了你一次正名的机会,就看你能否把握住了。结果不出所料,还是眼睁睁地看着扫过病毒愣是没反应。唉!你也就这样了,BSBS你吧!

见机器里还有个2008***防火墙,以前好像听人说过,可一直没用过,正好今儿看看怎么样。运行后还真见效,当时就监控到了。 再一仔细看端口,赫然写得是“湖北省武汉市 电信”!为什么自己到“湖北省武汉市 电信”这么敏感呢?因为咱在别得领域与湖北省的朋友联系较密切,一直都觉得湖北人很仗义,幸好以前有所了解。要不非得以为湖北人怎么着呢! 又看了看“***防御”里的“程序防御”,见允许列表里面有个sc.exe。这东西咱知道呀。原来只是百闻,今儿算是一见了。汗!接着又用该软件扫了遍进程,调得是***清道夫。按说效果应该不错,可以很遗憾,显然已经被病毒招安了! (也试过把sc从允许列表中删除,但还是会自动添加)
 
 
 

还是手动删吧,想到这儿!又调出了任务管理器,开始结束那些“扎眼”的进程,结束倒是没有问题,但是结束后不久会重新自动生成,这个很烦人。照此下去,那还有头呀?!看来得从根上结束,从工具盘里拷了个冰刃过来,打算一一杀之。 冰刃不愧是冰刃,就是厉害。杀得这叫一个干净,怎么了?杀蓝屏了! 晕!咱还就不信这个邪,又试了几遍,依旧如此。只要是用冰刃杀那些进程时都会蓝屏,我倒!行,有你的,算你恨,NND!
 
 

 
进程不能结束怎么办?要不先把那些启动项给清除了试试,对,就这么着。再次运行了msconfig调出启动项,勾去了那些不请自入的启动项。 为了保险,又从工具盘中拷来个Autoruns.exe,就是那个能查所有启动项的工具软件,生怕有隐藏的,一查,还真就有。没商量,全部选中删除。 此次操作后,大部分都可以删除,但是有一些不能删除,提示;“删除启动项设置错误 拒绝访问。”而且更新后还是会自动生成一些,真烦!
 
 

 
 
 
 
 
另外在操作中还注意到, 有些项目是以lnk为后缀的,明显是某个程序执行文件的快捷方式。自然要把快捷方式的名字和实际文件名一起记下来了。然后调出注册表,对着刚才记得这一大堆名进行搜索、删除。然后又再次把这些新生成的和没有被删除的一一选中,接着在上面右键转到注册表,准备从注册表里进行删除。 可以看到,有得已经被写进了服务,在服务列表里也可以清楚得看到。这都是sc.exe的功劳呀!MD!
 

 
想直接挂盘杀来的,可是又怕把别得机器给伤了。还是先尽可能的手动删除一些文件再挂杀吧。下面就是对着记下来的一片名称搜索文件进行删除,搜索时看到有不少是在缓存里,当然是连根清除了。估计就是上网惹得祸!由于名字着实是太多了,这里花去了不少时间。历经漫长的等待,终于删除了不少文件。(这里就不一一帖图了)
 
 

想着是关机——卸硬盘——挂杀,可是动作太快了,没有点实“关机”,反而鬼使神差的点上了“重新启动”,真是添乱呀,用一句话说就是“屋漏偏缝连阴雨”呀!重启进入桌面后,突然,弹出了一个“命令提示符”。习惯性或者说是下意识地按下了PrtScr,而后进画图裁剪如下。 正是上面咱们说到的sc.exe,从截图中可以得知。这是在本地计算机上新建了一个名为“DRMXP1”的服务,服务二进制文件的路径名是“C:\WINDOWS\DRMXP1.exe”,而且把服务设成了自动启动。最后的“DisplayName”网上解释为——“一个为在用户界面程序中鉴别各个服务使用的字符串。” 需要郑重说明,这里只是为了说明情况,并非刻意传播其方法。(小声说一句,感兴趣得上网搜,网上一片一片的!)
 

后面就容易多了,用另一台的江民挂盘查杀,果真干掉不少。此外,还特意从网上下了个sc专杀。 您想啊,sc对咱这么照顾,咱也得还这份情呀,这叫“礼尚往来”,是吧!
 

经过此次实战,有三点切身体会,现总结如下:
1、遇问题不要慌,不要急,往往是欲速则不达,反而会适得其反。像我,“关机”点成了“重新启动”,要不一定还会更早解决完。正所谓“心急吃不了热豆腐”,还得一步一步来。
2、遇到问题要保持超然的心态。像我,机器都这样了,还有闲情逸志在这儿拷屏截图呢!只要静下心来,认真得分析问题,就一定能找到解决问题的方法。
3、遇到问题要善于总结,从中学到一些东西。像我,就把一个月前遇到的这个问题写成了今天的这篇文章。避免以后再犯同样的问题,有道是“不能让一块石头拌倒两次呀”!