2006年11月1日星期三

又一病毒被制服

上次贴了一个删除病毒的帖子,被urania小小的bs了一下。 因为我没有装杀毒软件和防火墙,所以对任何病毒都是毫无防御的,我平时使用已经是极其谨慎的了,不过难免有时会有所疏漏导致中毒。相信这样解释urania就不会说我怎么老是中病毒了吧。 其实,我中病毒的概率比起装了杀毒软件的人还低一些。今天早晨听了几天前的Scientific American的60 seconds science的Podcast,里面讲到,Yale U的一项研究表明,装有安全气囊的汽车事实上并没有降低交通事故中的伤亡情况,因为那些开着这种车的人往往比那些没有安全气囊的人更加不注意交通法规,从而导致事故更加严重。杀毒软件也是同理,嘿嘿。不说废话了,切回正题。

这次中毒的是我宿舍的那台台式机,因为昨天我一直都没有碰过这台电脑,也不知道是怎么中的毒。今天一开机,就发现了任务管理器中出现了一个可以进程:IEXPLORE.EXE。也许你会说,这不是正常的Internet Explorer进程吗?没错,这个进程的路径也是正常的IE所在的路径: X:\Program Files\Internet Explore\iexplore.exe,但是错就错在它的用户是System,况且是不请自来的进程,应该是病毒或木马没有错了!

于是老规矩,上网查信息,有的说是灰鸽子的变种——但是我用杀灰鸽子的方法一直没有用;也有人说,这是什么密码结巴的进程,但是也不对。无奈之下,只好自己摸索删除方法。

想到他会挂上IE的进程,那我就先把IE给枪毙了,看看你怎么办。预期中,病毒应该会重新生成一个可执行文件的。打开Total Commander,将iexplore.exe重命名为iexplore.exe.damn,重启。如果提示什么Windows文件保护之类的对话框,要选择取消,然后会提示什么要不要替换成不可识别的版本,直接选择是。(因为一会儿把病毒杀掉之后还会改回来的不用担心。)

重启完毕后,打开任务管理器,发现病毒终于漏出了狐狸尾巴。预期中的可执行文件没有生成,反倒是找到了病毒本身。进程名:win32,路径:X:\WINDOWS\win32,进程列表中的iexplore.exe已经消失,相信就是这个进程启动了iexplore.exe。既然找到了病毒的真身,后面就容易了。先用任务管理器结束掉这个进程,打开Total Commander,删掉这个文件。这是个隐藏文件。

“运行” - regedit,按F3,输入:X:\WINDOWS\win32 (X代表XP的安装盘的盘符,一般是C,我的是D。),回车。它将找到两处结果,分别位于“我的电脑\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\”
和“我的电脑\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\”的分支中。你会看到这个东西的描述中说是“网络服务”之类的东东。你会在右边的树形图中看到一个win32文件夹,直接删除之!记住,两个搜索结果都要这样清除。关闭注册表编辑器。重启。

好了,重启后,你就发现那个iexplore.exe已经消失了,系统终于恢复正常。打开X:\Program Files\Internet Explore\,把iexplore.exe.damn改回原名。病毒清理完毕,Cheers!

虽然我不敢保证这种方法能完全彻底的清除所有的病毒文件,不过这种方法已经把病毒杀掉了。所以不必担心。

这个病毒应该是我们宿舍的两位xd长期使用IE浏览网页所致,他们还不知道已经中毒了,唉~~ 给你一个忠告,尽早根IE说byebye吧,使用Firefox会给你带来更好的安全保障!

没有评论:

发表评论