|
||||
今天徒弟拿來一個U盤,說感染了win32.virut病毒,讓我幫他殺一下。徒弟水平其實很高的,沒想到他也會無辦法。我正在殺的時候,徒弟告訴我,三樓的師傅也被感染了,因為剛從三樓過來。確實,稍頃,三樓的同事打電話求救說是感染win32.virut病毒,卡巴6.0殺不了,把卡巴自己給殺死了,還把系統也給殺死了。我說你上來吧系統盤拿過去重裝一下,下載卡巴7.0昇級,你再試試。第二天,見到三樓的同事,他說,你來看看吧,我快崩潰了,新裝的系統也被感染,卡巴照舊吧系統殺死,我已經重裝兩遍了,毒越殺越多。
win32.virut病毒是一個感染.EXE文件(網上有不少人說也感染.SRC,但我沒有發現)的病毒,網上的win32.virut的說明我這裡沒有發現癥狀,也許是變種了。感染virut病毒的計算機同時在每個盤符的根目錄生成兩個文件autorun.inf和Ravmon.exe,並且在Winxp系統的各個盤符的根目錄下System Volume Information隱藏文件夾裡生成有*.inf和*.exe文件個一個,這裡的*是隨機的,並沒有嚴格一致性或者某些可視的規律性。這一點和網絡上關於win32.virut的特性一致——每次感染(捆綁)都是隨機變異的特征碼。
在經過上述老兄的重裝之後,仍舊能夠快速感染,說明win32.virut病毒破壞力之大,當然主要還是兩個因素:1、感染的exe文件;2、通過autorun.inf自動引導感染。
根據Virut病毒這兩個特性我采取了以下措施,供大家借鑒(我們已經成功了),同時也給那些感染了惡性病毒的朋友一些借鑒,其實方法都是一樣的,成功的原理也是一樣的:
步驟一:使用系統盤重裝操作系統。Windows的安裝盤,或者光盤引導的Ghost恢復,或者光盤引導的並且在光盤上加載Ghost.exe運行程序的硬盤Gho恢復。這裡有一點說明,如果使用純光盤的重裝,或者純光盤的ghost恢復,源文件是乾淨的,所以沒有問題,但是不能使用備份在硬盤上的ghost.exe程序來引導,因為win32.virut感染.exe文件,硬盤上的ghost.exe也難逃此劫。同時Winxp本身攜帶的系統恢復是不行的,因為已經被污染了。
步驟二:禁止一切硬盤操作,從網上下載最新的殺毒軟件(建議使用卡巴斯基7.0)到桌面,安裝,昇級。此步驟只允許在桌面操作,不要使用硬盤上原有的任何文件,我們只要打開就極有可能被重新感染,所以我們的一切操作都在桌面,包括軟件的下載,安裝,昇級等一系列的過程。至於為什麼要禁止一切硬盤的操作,因為前面所說的win32.virut病毒的第二個重要特征——autorun.inf引導。關於autorun.inf的問題請參照以前的文章:硬盤雙擊打不開的解決辦法。
也許有朋友會問,為什麼不感染『桌面』,因為病毒感染生成的文件是在其他盤符,系統盤是我們格式化過的,很乾淨。如果我們沒有點擊其他硬盤,或者運行其他盤符的程序的話,病毒是不會感染給我們的,這同時也是很多朋友重裝之後,二次感染的主要原因。
步驟三:殺毒。這個是最慢的過程,因為如果你的硬盤上存放的軟件或者備份的軟件多的話,會殺到一大堆病毒的。當然了,為了安全期間建議你在殺毒的時候,把這些D、E、F、G等非系統盤符的所有硬盤上的EXE刪掉,而不是我們常規說的清除,當然清除也可以,如果不是特別重要的文件,或者我們能從網上或者別處重新拿到就殺了它吧。當然在殺毒完成之前,建議還是不要打開任何硬盤上的東西,哪怕是打開硬盤也不要做,原因如同步驟二。
步驟四:重新啟動計算機,掃描一遍系統的關鍵區。這步是驗證我們的計算機有沒有被重新感染,當然,如果在整個過程中我們嚴格的執行了『禁止一切硬盤操作』的話,應該沒問題。如果發現有問題,嘗試清除,或者重新步驟一開始——之所以這樣,你一定在我們要求『禁止硬盤一切操作』的時候,你去看硬盤上的東西了,或者運行了硬盤上的程序。
以上是win32.virut病毒的清除方法,綜合一點說就是:重裝系統,網上下載殺毒,一切在桌面操作,最後殺毒。
不知道我寫的東西大家能否能看懂,或者時候會有什麼不當的地方。共勉