CnPack Forum


 
Subject: 听我扯电脑之三十六:病毒也脆弱
Alphazw (Alphazw)
灌水处处长
Rank: 4


UID 1
Digest Posts 15
Credits 266
Posts 44
点点分 266
Reading Access 10
Registered 2002-12-5
Location 现在广东珠海
Status Offline
Post at 2010-3-28 12:51  Profile | P.M.  | QQ
听我扯电脑之三十六:病毒也脆弱

听我扯电脑之三十六:病毒也脆弱
Alphazw(MSN , QQ, Email:alphazw@163.com)

没记错的话,应该是在春节之前发生的事情。当时我办公室的电脑中了毒,不知道是什么病毒,总之在任务管理器里面conime.exe这个进程随时间一分一秒的过去呈现正比例增长的状况,为之头疼。网上搜了一圈资料发现都没有一个能解决的办法。当然啦,在任务管理器里面结束任务这一招对付病毒来说肯定是不管用的,现在的病毒都一个比一个不要脸。这TMD的还让不让人工作啦!这不是分明玩我呢嘛!如果我去找公司搞IT的同事,他们肯定不会有闲心帮我杀毒,一准是用必杀计:重装,所以我当时就决定自己折腾一下,看看效果。

这一看不要紧,病毒挺脆弱。

大概过程我讲述一下,或可借鉴。

当我发现系统里面conime.exe这个进程开始增多的时候,就用process explorer(微软网站上面可以下载到,如果你担心程序全问题的话,可以去那里搜索下载)确定系统中几个不对劲的程序的具体位置,对于我的情况就是 c:\windows\system\svahost.exe和c:\windows\system\svbhost.exe这两个程序。一个就知道是在模仿svchost.exe。基于对病毒的恶心程度的了解,这两个文件肯定是在正常情况下删除不掉的,而且如果运气再好一点的话,在安全模式下面也应该是删除不掉的才对,什么强制删除工具我是不愿意去费那个神的。我以前就曾经在一个1G的优盘上面安装过一个PE工具箱,我通过改变BIOS启动设置,让计算机从U盘上面引导PE系统,一般来说,这是干净的不能再干净的系统环境了。进去后我就定位到system目录下面,找到那两个文件删除之,重新启动之后,万事大吉!(后来我一位同事也中此招,系统里面竟然出现了2000多个进程,哎,病毒若只是初见...)

通过那次的事情,我发现病毒有时候是挺容易清除掉的,之所以我们总是碰到那种难清除的病毒,我觉得那是因为“只在此山中”。你先想办法定位到病毒文件,然后如果你在那个有毒系统之外能够找一个干净的环境,好么一般来说只需要简单的删除对应的病毒文件就可以了。可能上面的过程还无法让你更好的理解操作方法,我来简化一下:

1、首先你要有一个安装了PE系统的U盘,同时你的电脑可以从U盘启动并进入到这个PE系统里面去。
2、你要清楚的知道哪一个是病毒文件。
3、进入到PE系统里面后,删除对应的病毒文件。

对于那些小小不然的病毒来说的话,到这里也就够了。但是有些病毒会将自己复制很多份,如果你没有删除干净的话,可能会在执行某些程序的时候再次激活它的副本(例如利用改变txt关联程序等方式来激活)。如果你不知道怎么在U盘上面安装PE系统,或者如果你觉得那东西实施起来麻烦了点儿的话,那么你也可以在硬盘上面安装一个PE系统(当然可能不会像U盘上面那么好,毕竟病毒它们家在硬盘的某个角落)。网上有很多PE工具箱的下载,我使用的是通用PE工具箱。你到网上去搜一下,应该很容易就可以找到了。对了,如果你不知道什么叫PE系统(或称PE 工具箱)的话,那么我告诉你,简单一点讲,它是一个迷你的不能再迷你的Windows,你甚至能在这个系统下面上网,看视频,听歌,处理各种Office 文档等等,但是据说一次只能连续运行24小时,过了时间你得重启。

好了,修行靠个人了。

在人类漫长的,与病毒进行着不懈斗争的历史长河当中--祝你好运!

Post from U.S.
Top
zhqian
普通灌水员
Rank: 2



UID 40650
Digest Posts 0
Credits 81
Posts 28
点点分 81
Reading Access 10
Registered 2008-7-12
Status Offline
Post at 2010-6-26 14:50  Profile | Blog | P.M. 
不是吧,PE只能运行24小时?

还有,现在的病毒经常连进程都找不了呢,都在驱动里面了呢!
Top
Alphazw (Alphazw)
灌水处处长
Rank: 4


UID 1
Digest Posts 15
Credits 266
Posts 44
点点分 266
Reading Access 10
Registered 2002-12-5
Location 现在广东珠海
Status Offline
Post at 2010-7-27 00:23  Profile | P.M.  | QQ
回复 #2 zhqian 的帖子

我看一份资料里面写的PE只能连续使用24小时,具体的我也没有去花时间验证这个问题。
我倒是手工杀过一个在驱动里面的病毒,只成功过一次,第二次无论如何搞不定,哎,老矣...
Top
cassie
新警察
Rank: 1



UID 51502
Digest Posts 0
Credits 8
Posts 4
点点分 8
Reading Access 10
Registered 2010-9-3
Status Offline
Post at 2010-9-13 14:24  Profile | Blog | P.M. 
I wonder if the computer does not care poisoning, all files into a shortcut, address format, there is no other way to restore files?




Day Day Up!
fallen earth chips
Top
 




All times are GMT++8, the time now is 2024-11-22 07:10

    本论坛支付平台由支付宝提供
携手打造安全诚信的交易社区 Powered by Discuz! 5.0.0  © 2001-2006 Comsenz Inc.
Processed in 0.009255 second(s), 9 queries , Gzip enabled

Clear Cookies - Contact Us - CnPack Website - Archiver - WAP