在日常的生活中，網絡已經是我們不可分割的一部分。但是網絡中暗藏殺機，到處是黑客、木馬和病毒。你可能親身經歷過與黑客、木馬和病毒的斗爭，不管你是勝利還是失敗，你都是掃黑尖兵。來吧！將你同它們的斗爭記錄下來，然后發(fā)給阿良，讓我們在勝利時一起歡呼，在失敗時互相鼓勵。掃黑尖兵，阿良在這里迎接你。

手工絞殺未知病毒
掃黑尖兵：金小林
所在城市：杭州
使用系統(tǒng)：Windows 2000
情況描述：

    這幾天我上因特網速度突然很慢，同時在操作電腦的時候也發(fā)現系統(tǒng)速度很慢，但是我裝的殺毒軟件對于此病毒沒有任何報警。檢查計算機發(fā)現在系統(tǒng)進程表中有三四個msgfix.exe文件，而有時候甚至多達六七個msgfix.exe文件（見圖），CPU占用率經常高達80%以上。

    用網絡監(jiān)測軟件監(jiān)測到該病毒計算機在攻擊其他計算機“135、139、445、44444”等幾個端口。我懷疑是病毒所導致，啟用殺毒軟件查殺該病毒，結果顯示“無病毒感染”，采用到安全模式下使用手工清除該病毒感染的文件msgfix.exe能清除，但是重啟計算機后不到3分鐘，系統(tǒng)又出現感染病毒狀況。

網上求助得啟發(fā)
    我上網去求助，發(fā)現在各大論壇上是“哭喊聲一片”，到處都是求助如何查殺病毒感染文件Msgfix.exe帖子。有的說是波特變種F病毒感染引起的，有的說是Worm_Timer.d或Worm_sdbot.c病毒感染引起的等等。

    有一個帖子對我的啟發(fā)很大：“病毒感染msgfix.exe文件，通過弱密碼進行傳播，修改注冊表實現自啟動，枚舉本地IP地址，試圖利用IPC弱口令將自己復制到別的主機上?！?/P>

    我仔細分析了一下，全校共有350多臺計算機。根據我的調查，被感染的計算機只有30多臺，進一步分析發(fā)現Windows XP和Windows 98操作系統(tǒng)都沒有被感染病毒，而Windows 2000操作系統(tǒng)中加用戶密碼的計算機也都沒有被感染病毒，只有那些沒有加用戶密碼的Windows2000操作系統(tǒng)的計算機被感染病毒。

    為什么Windows XP、Windows 98操作系統(tǒng)沒有加用戶密碼都沒有被感染病毒呢？我發(fā)現Windows XP操作系統(tǒng)默認是禁止IPC$空連接的，即：HKEY_LO
CAL_MACHINE\Systen\CurrentControlSet \Control\Lsa下的“restrctanony mous”的鍵值是1，而Windows 98操作系統(tǒng)中根本就沒有IPC$空連接的項目。

    雖然在Windows 2000操作系統(tǒng)注冊表中 “restrctanony mous”的鍵值是0，即開啟IPC$空連接，但是如果用戶設有密碼，病毒則無法通過IPC$空連接進行傳播。

找準關鍵，有的放矢
    現在，我已經知道病毒的傳播原理，即利用IPC弱口令將自己復制到主機上，修改注冊表實現自啟動，枚舉本地IP地址。

下面就動手殺毒，首先斷開網線，重啟計算機，按F8鍵進入安全模式，在安全模式下，修改注冊表HKEY_LOCAL_MACHINE\Systen\CurrentControlSet
\Control\Lsa下restrctanony mous的鍵值，把0改為1。同時清除注冊表中三個msgfix.exe文件，即：HKEY_LOCAL_MACHINE\Software \Microsoft \Windows\Cur
rentVersion\Run；HKEY_LOCAL_MACHI
NE\Software\Microsoft\Windows\Current
Version\Runservices和HKEY_CURREN
T_USER\Software\Microsoft\Windows
\CurrentVersion\Run下的msgfix.exe文件，然后清除在操作系統(tǒng)盤下的一個msgfix.exe文件，即：C:\WINNT\system32\msgfix.exe 。

    然后用“開始→搜索→文件或文件夾搜索”看是否還有其他的msgfix.exe文件，如有則一律清除，最后退出安全模式重啟計算機。再次進入系統(tǒng)后，病毒沒有再次出現，系統(tǒng)中也沒有再發(fā)現msgfix.exe進程，殺毒成功。

    金小林戰(zhàn)友為我提供了一個比較特殊的自己動手查殺未知病毒的方法。這個方法對于很多對于注冊表或者進程查看不熟悉的朋友來說，還是比較困難的。但是很多朋友可以學習金小林戰(zhàn)友解決問題的思路。

    遇到未知病毒的襲擊，在殺毒軟件無法查殺的情況下，不慌亂。首先去收集病毒發(fā)生的癥狀和一些出現的特殊程序代碼，然后通過網絡去求助高手。也許在很多時候，我們能夠通過高手的提示得到啟發(fā)，讓我們找到查殺病毒的關鍵。

最新評論