決戰華山之巔 手動截殺病毒的啓動
汪泳
自從360推出免費殺毒來,我感覺現在的病毒越來越少了。但這個世界也有這種人,不安裝任何殺毒軟件,裸奔!今天我就遇到這個案例。
今天一個朋友讓我幫他看下他女朋友的筆記本,一看就讓我特熟悉的那種感覺。一開機就彈出了一大堆彈窗:網頁啊,聊天空間啊,鼠標亂動的。這就是幾年前的那種很流行的中毒樣式。於是調整呼吸與該病毒鬥爭到底。
首先肯定是看看殺毒軟件能不能打開了,結果答案很顯然的了,肯定打不開。於是打開盤符,讓其顯示所有文件和文件夾然後顯示已知文件類型的擴展名。果然看到磁盤裏的所有文件夾都被修改爲具有後綴名爲.exe的文件,譬如:“我的文檔.exe”。我想整個磁盤應該都被病毒佔領了。想進入安全模式看看殺毒軟件能不能打開。於是重啓進入安全模式,結果發現這個病毒還真不簡單,安全模式下殺毒軟件也打不開。於是想到了最簡單的辦法,就是修改殺毒軟件的文件名。結果也很令我失望,居然也打不開。不過我不怕,記得以前遇到這種問題都是用網頁殺毒來殺的,因爲殺毒軟件一般都是記住了一些殺毒軟件的文件名和殺毒軟件的特性,而屏蔽殺毒軟件。而網頁殺毒卻不一樣,是通過瀏覽器來打開的,不受本地程序控制。於是打開百度搜索網頁殺毒,一點金山毒霸的網頁殺毒頁面瀏覽器就自動關閉了。讓我大吃一驚,這招一般是我已經得絕殺,居然現在的病毒已經厲害到這種地步了。
如此打擊,讓我意識到這個病毒的不簡單。於是沉下心來,思考病毒的原理。在安全模式下這個病毒居然也能啓動,證明他是有啓動的條件的,於是我找到WINPE盤,用WINPE查看了下所有的盤符。發現所有的文件夾都被強制隱藏了,而是對每個文件夾生成一個對應的文件,譬如“我的文檔”被隱藏,而生成一個“我的文檔.exe”的可執行文件。並且注意到,其中還有一個autorun.inf的文件。我想我找到問題的所在了。病毒不可怕,關鍵是要在殺毒軟件和病毒之間我們要看誰先佔領操作系統。那麼我現在就是要在安全模式下不能讓病毒啓動起來。於是在WINPE下將這些具有文件夾後綴名的可執行文件和autorun.inf等文件全部刪除掉,而且仔細查看了所有的盤符,刪的一個不留。於是再次重啓進入XP的安全模式下果然殺毒軟件可以打開了。使用了360的系統急救箱和360殺毒,徹底解決了所有病毒。
經過這次的經歷我感覺,這次弄了半天才解決問題實屬不應該。很多時候以爲遇到這種簡單的病毒可以很快解決,卻沒有事先好好的看下病毒的原理、病毒存在的特性。就憑着自己的經驗浪費了很多的時間。其實給大家的忠告就是,這種病毒都是很簡單的原理,其目的不在於破壞你的系統,刪除你的文件。他的目的就在盜取賬號、點擊廣告。其實賺錢就是他的主要目的。而爲了達到這種目的,他就不得不阻止殺毒軟件的打開,在殺毒軟件啓動之前佔領操作系統。而提前佔領操作系統不外乎隨着系統的啓動而啓動、誘導用戶點擊啓動。我們只要瞭解他的特性後,這種病毒並不可怕。
轉載請註明:網工之路 (http://www.51ccnp.com/ )