听我扯电脑之三十六:病毒也脆弱
听我扯电脑之三十六:病毒也脆弱
Alphazw(MSN , QQ, Email:alphazw@163.com)
没记错的话,应该是在春节之前发生的事情。当时我办公室的电脑中了毒,不知道是什么病毒,总之在任务管理器里面conime.exe这个进程随时间一分一秒的过去呈现正比例增长的状况,为之头疼。网上搜了一圈资料发现都没有一个能解决的办法。当然啦,在任务管理器里面结束任务这一招对付病毒来说肯定是不管用的,现在的病毒都一个比一个不要脸。这TMD的还让不让人工作啦!这不是分明玩我呢嘛!如果我去找公司搞IT的同事,他们肯定不会有闲心帮我杀毒,一准是用必杀计:重装,所以我当时就决定自己折腾一下,看看效果。
这一看不要紧,病毒挺脆弱。
大概过程我讲述一下,或可借鉴。
当我发现系统里面conime.exe这个进程开始增多的时候,就用process explorer(微软网站上面可以下载到,如果你担心程序全问题的话,可以去那里搜索下载)确定系统中几个不对劲的程序的具体位置,对于我的情况就是 c:\windows\system\svahost.exe和c:\windows\system\svbhost.exe这两个程序。一个就知道是在模仿svchost.exe。基于对病毒的恶心程度的了解,这两个文件肯定是在正常情况下删除不掉的,而且如果运气再好一点的话,在安全模式下面也应该是删除不掉的才对,什么强制删除工具我是不愿意去费那个神的。我以前就曾经在一个1G的优盘上面安装过一个PE工具箱,我通过改变BIOS启动设置,让计算机从U盘上面引导PE系统,一般来说,这是干净的不能再干净的系统环境了。进去后我就定位到system目录下面,找到那两个文件删除之,重新启动之后,万事大吉!(后来我一位同事也中此招,系统里面竟然出现了2000多个进程,哎,病毒若只是初见...)
通过那次的事情,我发现病毒有时候是挺容易清除掉的,之所以我们总是碰到那种难清除的病毒,我觉得那是因为“只在此山中”。你先想办法定位到病毒文件,然后如果你在那个有毒系统之外能够找一个干净的环境,好么一般来说只需要简单的删除对应的病毒文件就可以了。可能上面的过程还无法让你更好的理解操作方法,我来简化一下:
1、首先你要有一个安装了PE系统的U盘,同时你的电脑可以从U盘启动并进入到这个PE系统里面去。
2、你要清楚的知道哪一个是病毒文件。
3、进入到PE系统里面后,删除对应的病毒文件。
对于那些小小不然的病毒来说的话,到这里也就够了。但是有些病毒会将自己复制很多份,如果你没有删除干净的话,可能会在执行某些程序的时候再次激活它的副本(例如利用改变txt关联程序等方式来激活)。如果你不知道怎么在U盘上面安装PE系统,或者如果你觉得那东西实施起来麻烦了点儿的话,那么你也可以在硬盘上面安装一个PE系统(当然可能不会像U盘上面那么好,毕竟病毒它们家在硬盘的某个角落)。网上有很多PE工具箱的下载,我使用的是通用PE工具箱。你到网上去搜一下,应该很容易就可以找到了。对了,如果你不知道什么叫PE系统(或称PE 工具箱)的话,那么我告诉你,简单一点讲,它是一个迷你的不能再迷你的Windows,你甚至能在这个系统下面上网,看视频,听歌,处理各种Office 文档等等,但是据说一次只能连续运行24小时,过了时间你得重启。
好了,修行靠个人了。
在人类漫长的,与病毒进行着不懈斗争的历史长河当中--祝你好运!
Post from U.S.
|