围剿超级密码杀手007变种病毒
数码时尚
发现病毒
周一早晨上班后,匆匆忙忙打开电脑,就在系统进入桌面后,突然跳出一个窗口(图1),Outlook提示:“有程序正试图以我的名义发送邮件,发送还是不发送?”这是怎么回事,难道有人在我的电脑里种了木马?还是谨慎为好,我选择了不发送。
还好,系统没什么异常。笔者没有多想,赶紧工作吧。上周一家杂志约的稿子要求今天截稿,还有一些收尾工作没有做。双击被保存为TXT格式文档的那篇稿件,咦,怎么打不开了?幸好还有一个Word文档的备份,先用这个吧。我正认真地看着稿子,电话响了起来,是好友小李打来的,“喂,你给我发的什么东西呀,乱七八糟的,以后可别再乱发垃圾邮件呀”,紧接着又有两个朋友打来电话询问。可把我搞糊涂了,我今天并没有给他们发过邮件呀?肯定是中了什么厉害的病毒了。
赶紧到各大反病毒公司网站看看,有没有什么最新病毒出现。原来各家都在头条刊发了重大病毒播报,江民公司截获超级密码杀手007变种,并提供了两种解决方案;金山公司发布的是截获四级恶性病毒“恶邮差”,瑞星发布的是发现“爱情后门”病毒。虽然病毒名称各不相同,但从病毒特征看,都是同一个病毒,从病毒发作迹象看,笔者正是中了这个“007”的黑手了。详细地看了各家网站的介绍,终于明白了为什么在开机时我选择了“不发送”,这个可恶的007病毒还是以我的名义发了邮件,原来它修改了文本文档的指向路径,我点击了很多次文本文件,原来是在激发病毒。幸好我的联系地址大多保存在Foxmail里,不然就惨了。
查杀007病毒
江民反病毒资讯网提供了两种解决方案,而笔者的电脑上正好装了KV杀毒王2003,先升级一下病毒库。重启电脑,病毒库已更新为最新版本。首先在杀毒状态下对电脑进行全面扫描,KV2003在系统目录Windows/System下发现该病毒添加了六个文件Winrpcsrv.exe、Syshelp.exe、Winrpc.exe、Wingate.exe、Rpcsrv.exe、Pics.exe,将它们全部清除。在Program Fils/Outlook目录下发现病毒添加了四个文件:News_doc.exe、Imaces.exe、Card.exe、Billgt.exe,把它们全部清除掉。
需要说明的是,以上只是该病毒在笔者的电脑中添加的文件,不同的电脑,感染该病毒的程度不同,病毒添加的文件也不尽相同。但只要是杀毒软件查到的有毒文件,应全部清除掉。
在对所有数据进行全面扫描后,笔者在开始菜单下的“运行”中键入Regedit,打开注册表,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除了下面的键值:syshelp、WinGate initialize和Module Call initialize。
再定位到HKEY_CLASS_ROOT\txtfile\shell\open\command,把它的默认值修改成notepad.exe,定位到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows,删除键值run,还删除了键值HKEY_LOCAL_MACHINE\Software\KittyXP.sql,在“开始/运行”内键入Win.ini,删除蠕虫添加的命令行Run=Rpcsrv.exe。
以上工作全部做完后,超级密码杀手007变种病毒差不多就清除干净了,但还有一些扫尾工作没做。重启电脑后系统出现如图2的提示。原来可恶的007病毒竟然还在我的电脑启动项里添加了自启动项,由于病毒文件被杀毒软件杀掉了,所以出现了错误提示。
看来要把007病毒彻底清除掉,还要做点小手术。在“开始/运行”中键入Msconfig,出现系统配置实用程序界面,在启动项里将最后一行Run= Rpcsrv.exe前的钩去掉。如果发现有Syshelp一项,也去掉它前面的小钩。这样,围剿007病毒的战役才算成功了。当然,为了以防万一,最好用杀毒软件将电脑重新全部扫描一遍。
最后,笔者还想告诉朋友们,如果只是个人使用的电脑,像上面那样处理就可以了。如果你的电脑是连在局域网上的,那么还要将所有的共享都关闭。不然,007病毒就会像幽灵一样,又潜伏进你的电脑里,盗取你的秘密,冒充你发送邮件。