害人不浅的伪病毒
?牐犛始饽渴?:“送给你的情人节礼物”。打开后有一个附件,名字为:“dear,吻你!”,双击附件后,立刻弹出一个窗口,标题栏上写的是:“千年老妖”,下面写着一句话:“亲爱的,送给你一个关机之吻”,旁边还有一个倒计时器,进行60秒倒计时。当倒计时结束后计算机立刻重新启动,等蓝天白云过后,又出现了那个窗口,还是从60开始倒计时,按下“Ctrl+Alt+Del”三键想选择关闭这个窗口时,计算机立刻死机。再次开机,一阵狂敲“F8”,选择安全模式启动,但不幸的是,“千年老妖”依然和我见面了,无法进入桌面。
?牐犜趺窗炷兀慷粤耍野沧傲薟in98和Win2000双操作系统,能不能从Win2000启动,然后再删掉那个病毒程序呢?立刻重新启动计算机选择Win2000,随着Win2000登录画面的闪过,顺利进入到了Win2000的桌面。立刻查找“dear,吻你”,终于,在C:\Windows下被我找到并彻底删除了它。
?牐犎缓螅植檎易⒉岜恚境怂泻小癲ear,吻你”的字符串,按“F5”键刷新,重启计算机,选择Win98,结果却大失所望。这回虽然没有见到千年老妖,但出现了另一个对话框:装载C:\Windows\Temporary Internet files\content.IE5\CBAPE29F\“dear,吻你”出错,必须重新安装“Windows”,单击“确定”按钮后,计算机自动关机。
?牐牬耸保坪踔挥兄刈跋低痴庖惶趼房勺吡耍渚蚕吕春笞邢阜治觯珺oot.ini、System.ini、Win.ini、Autoexec.bat几个文件便成了我怀疑的重点对象……
#2?牐牻饩龇椒?
?牐牱椒ㄒ?:
?牐犌谢坏組S-DOS下,在Windows下面找到System.ini文件,找到那个XX之吻的文件名(病毒文件名),把那一条删除就行了。这样,你进入Windows系统就不会加载那个文件,然后在Windows下找到那个文件删了就行了。
?牐牱椒ǘ?:
?牐犘薷腃:\Windows\system.ini文件。把[boot]段的shell=病毒文件名.exe(当然前面还可能有病毒文件名的路径)改成shell=C:\Windows\explorer.exe。
?牐牱椒ㄈ?:
?牐燗盘启动,拷贝其他机器的“explorer.exe”覆盖“病毒文件名.exe”。
#1?牐牎癙retty Park”案例分析
?牐犛⑽摹癙retty Park”是什么意思?原来是“美丽的公园”,打开后,发现是可执行文件,从此“Pretty Park历险记”就开始了。
?牐犗低晨加械悴徽#罄淳退阑恕V仄簦τ贸绦蚓筒荒苤葱辛恕J宰潘饔τ贸绦蛲急辏聊坏鲆桓龆曰翱颉罢也坏接糜诖蚩τ贸绦虻膄iles32.vxd...”,又试着双击了几个图标,又出现同样的对话框,这一下我可害怕了。但慌乱之中,灵机一动,是不是病毒程序把系统的文件移位或删除了呢?于是在“查找”的对话框中键入“files32.vxd”,然后进行查找,没找到。
?牐牪皇且莆唬鞘遣皇俏募簧境耍康狡渌幕由隙晕募胁檎遥匀徽也坏健<热籉iles32.vxd根本不存在,那是不是打开方式被修改了?带着问题,我对比了两台机器上应用程序的打开方式,正常的一台是“可执行”,我的是“files32.vxd”。原来是这样,于是我单击“文件类型选项”里的“应用程序”项,想修改应用程序的打开方式,但系统禁止,没办法!
?牐犝媸遣《竞θ税?!网上搜寻后,发现下面有解决的方法:在“运行”对话框中运行“regedit”……还没看完,我就迫不及待地单击“开始”→“运行”,键入“regedit”,满怀希望的单击“确定”按钮,讨厌的对话框又出来了,又是“找不到……”,哎呀,regedit也是(*.exe)应用程序我绝望了,准备重装系统。
?牐牷故遣桓市摹W郊扑慊坝挚妓妓鹘饩龅姆椒ǎ蝗挥窒肫?*.reg的文件可以改变注册表,便试着按修改项编了一个注册文件(*.reg),双击,屏幕显示注册表修改成功。试着运行(*.exe)文件,可是这又是一个失败的尝试,该死的Pretty Park!
#2?牐牻饩龇椒?
?牐牏僦匦乱匀砼唐舳扑慊葾盘转到系统盘C。
?牐牏诮隒:\Windows\command\目录。
?牐牏奂雜canreg/restore。这时屏幕显示了5个备份文件(*.cab),分别是近5天来的注册表备份,从中选择上一次启动时的正确备份,回车,系统就自动恢复了注册表。重启后一切OK。