最近出来了一个病毒,在我们这个地方很是流行。
1. 症状
(1) 如果系统中安装有WinRAR(一种很好的压缩解压工具,很多电脑上有安转),在任务管理器中会出现一个以SYSTEM方式运行的rar.exe,偶尔占用CPU达到100%. 经过确认,rar.exe本身是WinRar附带的一个命令行工具,并不是病毒,只是被病毒利用了而已。
(2) 无法显示隐藏的系统文件:在文件夹选项中将“显示受保护的操作系统文件”前面的勾去掉后,再次打开文件夹选项,发现刚才的操作无用。
(3) 感染U盘,在U盘下创建如下文件(设U盘的盘符为U:):
U:/autorun.inf
U:/RECYCLER/RECYCLER/desktop.ini
U:/RECYCLER/RECYCLER/autorun.exe
注意,以上文件的属性均为系统、隐藏,在感染了该病毒的机器上是没有办法通过资源管理器看见的,不过可以在命令提示符中看见,如图一和图二。
图一 显示U盘中的病毒(一)
图二 显示U盘中的病毒(二)
在感染该病毒后,在U盘上点击右键,其菜单中多了一个Open,如图三。双击U盘盘符或者点击Open都是执行病毒文件,让电脑感染该病毒。
图三 感染了病毒之后U盘的右键菜单
细心观察会发现,该病毒跟以前的“记事本病毒”隐藏自身和传播的方式几乎一样。
(4) 该病毒会在系统中创建如下文件:
c:/windows/system32/kernel32.sys
c:/windows/system32/mfc48.dll
c:/windows/java/classes/java.dll
%temp%/dfssetup.tmp,其中%temp%为当前用户的临时文件夹,例如C:/Documents and Settings/User/Local Settings/Temp
(5) 该病毒还会修改注册表:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/
CurrentVersion/Explorer/Advanced/Folder/SuperHidden]
"UncheckedValue"=dword:00000001
将其值修改为dword:00000000
修改该值实现在资源管理器中无法显示“隐藏的系统文件”的功能。
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows]
"AppInit_DLLs"=""
将其值修改为kernel32.sys
修改该值实现自动加载kernel32.sys的功能。注意,该加载项在msconfig中是看不见的!
2. 手动杀毒方法
鉴于目前的主流杀毒软件对他都没有把办法,因此我们只能采用手动方法杀毒了。
注意:在安全模式下面是没有办法删除该病毒的(不能不说,该病毒的编写手法比较高明,在安全模式下面也能加载,并且能够防止用户删除它),因此我们需要在另外一种模式(Windows 恢复控制台)下面对其进行删除。
在杀毒过程中,需要Windows XP的安装盘。
2.1 进入Windows恢复控制台
进入Windows恢复控制台有两种方法:
(1) 使用光盘启动电脑,选择恢复控制台:
使用Windows安装光盘启动计算机,在选择任务时(如图)按R进入恢复控制台,如图四。
图四 利用光盘启动进入Windows恢复控制台
(2) 在电脑的硬盘中安装恢复控制台:
将Windows安装光盘插入光驱,在运行中输入D:/I386/WINNT32 /cmdcons (其中D:为光驱盘符) ,如图五。
图五 安装Windows恢复控制台(一)
在弹出来的确认对话框中点击“是”(图六)后,开始安装。
图六 安装Windows恢复控制台(二)
在安装时,可以取消动态更新(图七)。
图七 安装Windows恢复控制台(三)
安装完成后,重新启动计算机,在选择操作系统的时候选择Microsoft Windows XP Reconvery Console,进入恢复控制台(图八)。
图八 启动时选择进入Windows恢复控制台
然后选择操作系统,输入Administrator密码(这个账户是Windows的内置管理员帐户,你可以重命名它),进入系统,如图九。
图九 进入Windows恢复控制台
事实上,两种方式对于本病毒的查杀并没有区别,不过建议采用第二种方式,因为恢复控制台在系统崩溃时有很重要的用途,我的电脑上就一直装有恢复控制台。如果你不习惯在选择操作系统那个是老是要等待30秒钟,可以在我的电脑 -> 属性 -> 高级 -> 启动和故障恢复 -> 显示操作系统列表的时间 改为你想要的值。
2.2 手动删除病毒文件
前面已经提到了,病毒文件一共有四个,我们只需要删除其中三个就行了。由于该病毒文件具有arhs属性(存档、只读、隐藏、系统),我们必须先去掉该属性后才能将该文件删除。具体删除命令序列如下(在上面进入恢复控制台之后紧接着输入就可以了):
cd system32
attrib -a kernel32.sys
attrib -r kernel32.sys
attrib -h kernel32.sys
attrib -s kernel32.sys
del kernel32.sys
attrib -a mfc48.dll
attrib -r mfc48.dll
attrib -h mfc48.dll
attrib -s mfc48.dll
del mfc48.dll
cd ../java/classes
attrib -a java.dll
attrib -r java.dll
attrib -h java.dll
attrib -s java.dll
del java.dll
好了,病毒文件都删除掉了,下面可以键入EXIT重新启动系统,进入到正常模式来清除掉病毒留下来的一些痕迹了(图十、图十一、图十二)。
图十 显示kernel32.sys的属性
图十一 删除病毒文件(一)
图十二 删除病毒文件(二)
2.3 清理病毒在注册表中留下的痕迹
本来,这些操作也是可以在恢复控制台下面完成的,但是由于在恢复控制台下面只能使用命令行模式,操作相对麻烦,因此推荐在Windows正常启动的情况下完成。
打开注册表编辑器(在“运行”中输入“regedit”),定位到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/
CurrentVersion/Explorer/Advanced/Folder/SuperHidden]
将项"UncheckedValue"的值改为dword:00000001;
定位到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows]
将项"AppInit_DLLs"的值改为空。
2.4 删除U盘上的病毒文件
在命令提示符下面进入U盘,输入如下命令即可删除U盘上的病毒。
attrib -h -s -r autorun.inf
del autorun.inf
rmdir /s /q RECYCLER
如图十三所示。
图十三 删除U盘中的病毒
好了,毒杀完了,享受无毒的电脑去。
备注:其实Windows XP的系统还原就可以解决该问题。如果你的系统没有开启系统还原,那么就只能手动杀毒了。