在日常的生活中，網(wǎng)絡(luò)已經(jīng)是我們不可分割的一部分。但是網(wǎng)絡(luò)中暗藏殺機(jī)，到處是黑客、木馬和病毒。你可能親身經(jīng)歷過與黑客、木馬和病毒的斗爭，不管你是勝利還是失敗，你都是掃黑尖兵。來吧！將你同它們的斗爭記錄下來，然后發(fā)給阿良，讓我們在勝利時一起歡呼，在失敗時互相鼓勵。掃黑尖兵，阿良在這里迎接你。

手工絞殺未知病毒
掃黑尖兵：金小林
所在城市：杭州
使用系統(tǒng)：Windows 2000
情況描述：

    這幾天我上因特網(wǎng)速度突然很慢，同時在操作電腦的時候也發(fā)現(xiàn)系統(tǒng)速度很慢，但是我裝的殺毒軟件對于此病毒沒有任何報警。檢查計算機(jī)發(fā)現(xiàn)在系統(tǒng)進(jìn)程表中有三四個msgfix.exe文件，而有時候甚至多達(dá)六七個msgfix.exe文件（見圖），CPU占用率經(jīng)常高達(dá)80%以上。

    用網(wǎng)絡(luò)監(jiān)測軟件監(jiān)測到該病毒計算機(jī)在攻擊其他計算機(jī)“135、139、445、44444”等幾個端口。我懷疑是病毒所導(dǎo)致，啟用殺毒軟件查殺該病毒，結(jié)果顯示“無病毒感染”，采用到安全模式下使用手工清除該病毒感染的文件msgfix.exe能清除，但是重啟計算機(jī)后不到3分鐘，系統(tǒng)又出現(xiàn)感染病毒狀況。

網(wǎng)上求助得啟發(fā)
    我上網(wǎng)去求助，發(fā)現(xiàn)在各大論壇上是“哭喊聲一片”，到處都是求助如何查殺病毒感染文件Msgfix.exe帖子。有的說是波特變種F病毒感染引起的，有的說是Worm_Timer.d或Worm_sdbot.c病毒感染引起的等等。

    有一個帖子對我的啟發(fā)很大：“病毒感染msgfix.exe文件，通過弱密碼進(jìn)行傳播，修改注冊表實現(xiàn)自啟動，枚舉本地IP地址，試圖利用IPC弱口令將自己復(fù)制到別的主機(jī)上?！?/P>

    我仔細(xì)分析了一下，全校共有350多臺計算機(jī)。根據(jù)我的調(diào)查，被感染的計算機(jī)只有30多臺，進(jìn)一步分析發(fā)現(xiàn)Windows XP和Windows 98操作系統(tǒng)都沒有被感染病毒，而Windows 2000操作系統(tǒng)中加用戶密碼的計算機(jī)也都沒有被感染病毒，只有那些沒有加用戶密碼的Windows2000操作系統(tǒng)的計算機(jī)被感染病毒。

    為什么Windows XP、Windows 98操作系統(tǒng)沒有加用戶密碼都沒有被感染病毒呢？我發(fā)現(xiàn)Windows XP操作系統(tǒng)默認(rèn)是禁止IPC$空連接的，即：HKEY_LO
CAL_MACHINE\Systen\CurrentControlSet \Control\Lsa下的“restrctanony mous”的鍵值是1，而Windows 98操作系統(tǒng)中根本就沒有IPC$空連接的項目。

    雖然在Windows 2000操作系統(tǒng)注冊表中 “restrctanony mous”的鍵值是0，即開啟IPC$空連接，但是如果用戶設(shè)有密碼，病毒則無法通過IPC$空連接進(jìn)行傳播。

找準(zhǔn)關(guān)鍵，有的放矢
    現(xiàn)在，我已經(jīng)知道病毒的傳播原理，即利用IPC弱口令將自己復(fù)制到主機(jī)上，修改注冊表實現(xiàn)自啟動，枚舉本地IP地址。

下面就動手殺毒，首先斷開網(wǎng)線，重啟計算機(jī)，按F8鍵進(jìn)入安全模式，在安全模式下，修改注冊表HKEY_LOCAL_MACHINE\Systen\CurrentControlSet
\Control\Lsa下restrctanony mous的鍵值，把0改為1。同時清除注冊表中三個msgfix.exe文件，即：HKEY_LOCAL_MACHINE\Software \Microsoft \Windows\Cur
rentVersion\Run；HKEY_LOCAL_MACHI
NE\Software\Microsoft\Windows\Current
Version\Runservices和HKEY_CURREN
T_USER\Software\Microsoft\Windows
\CurrentVersion\Run下的msgfix.exe文件，然后清除在操作系統(tǒng)盤下的一個msgfix.exe文件，即：C:\WINNT\system32\msgfix.exe 。

    然后用“開始→搜索→文件或文件夾搜索”看是否還有其他的msgfix.exe文件，如有則一律清除，最后退出安全模式重啟計算機(jī)。再次進(jìn)入系統(tǒng)后，病毒沒有再次出現(xiàn)，系統(tǒng)中也沒有再發(fā)現(xiàn)msgfix.exe進(jìn)程，殺毒成功。

    金小林戰(zhàn)友為我提供了一個比較特殊的自己動手查殺未知病毒的方法。這個方法對于很多對于注冊表或者進(jìn)程查看不熟悉的朋友來說，還是比較困難的。但是很多朋友可以學(xué)習(xí)金小林戰(zhàn)友解決問題的思路。

    遇到未知病毒的襲擊，在殺毒軟件無法查殺的情況下，不慌亂。首先去收集病毒發(fā)生的癥狀和一些出現(xiàn)的特殊程序代碼，然后通過網(wǎng)絡(luò)去求助高手。也許在很多時候，我們能夠通過高手的提示得到啟發(fā)，讓我們找到查殺病毒的關(guān)鍵。

最新評論