手工绞杀未知病毒
扫黑尖兵:金小林
所在城市:杭州
使用系统:Windows 2000
情况描述:
这几天我上因特网速度突然很慢,同时在操作电脑的时候也发现系统速度很慢,但是我装的杀毒软件对于此病毒没有任何报警。检查计算机发现在系统进程表中有三四个msgfix.exe文件,而有时候甚至多达六七个msgfix.exe文件(见图),CPU占用率经常高达80%以上。
用网络监测软件监测到该病毒计算机在攻击其他计算机“135、139、445、44444”等几个端口。我怀疑是病毒所导致,启用杀毒软件查杀该病毒,结果显示“无病毒感染”,采用到安全模式下使用手工清除该病毒感染的文件msgfix.exe能清除,但是重启计算机后不到3分钟,系统又出现感染病毒状况。
网上求助得启发
我上网去求助,发现在各大论坛上是“哭喊声一片”,到处都是求助如何查杀病毒感染文件Msgfix.exe帖子。有的说是波特变种F病毒感染引起的,有的说是Worm_Timer.d或Worm_sdbot.c病毒感染引起的等等。
有一个帖子对我的启发很大:“病毒感染msgfix.exe文件,通过弱密码进行传播,修改注册表实现自启动,枚举本地IP地址,试图利用IPC弱口令将自己复制到别的主机上。”
我仔细分析了一下,全校共有350多台计算机。根据我的调查,被感染的计算机只有30多台,进一步分析发现Windows XP和Windows 98操作系统都没有被感染病毒,而Windows 2000操作系统中加用户密码的计算机也都没有被感染病毒,只有那些没有加用户密码的Windows2000操作系统的计算机被感染病毒。
为什么Windows XP、Windows 98操作系统没有加用户密码都没有被感染病毒呢?我发现Windows XP操作系统默认是禁止IPC$空连接的,即:HKEY_LO
CAL_MACHINE\Systen\CurrentControlSet \Control\Lsa下的“restrctanony mous”的键值是1,而Windows 98操作系统中根本就没有IPC$空连接的项目。
虽然在Windows 2000操作系统注册表中 “restrctanony mous”的键值是0,即开启IPC$空连接,但是如果用户设有密码,病毒则无法通过IPC$空连接进行传播。
找准关键,有的放矢
现在,我已经知道病毒的传播原理,即利用IPC弱口令将自己复制到主机上,修改注册表实现自启动,枚举本地IP地址。
下面就动手杀毒,首先断开网线,重启计算机,按F8键进入安全模式,在安全模式下,修改注册表HKEY_LOCAL_MACHINE\Systen\CurrentControlSet
\Control\Lsa下restrctanony mous的键值,把0改为1。同时清除注册表中三个msgfix.exe文件,即:HKEY_LOCAL_MACHINE\Software \Microsoft \Windows\Cur
rentVersion\Run;HKEY_LOCAL_MACHI
NE\Software\Microsoft\Windows\Current
Version\Runservices和HKEY_CURREN
T_USER\Software\Microsoft\Windows
\CurrentVersion\Run下的msgfix.exe文件,然后清除在操作系统盘下的一个msgfix.exe文件,即:C:\WINNT\system32\msgfix.exe 。
然后用“开始→搜索→文件或文件夹搜索”看是否还有其他的msgfix.exe文件,如有则一律清除,最后退出安全模式重启计算机。再次进入系统后,病毒没有再次出现,系统中也没有再发现msgfix.exe进程,杀毒成功。
金小林战友为我提供了一个比较特殊的自己动手查杀未知病毒的方法。这个方法对于很多对于注册表或者进程查看不熟悉的朋友来说,还是比较困难的。但是很多朋友可以学习金小林战友解决问题的思路。
遇到未知病毒的袭击,在杀毒软件无法查杀的情况下,不慌乱。首先去收集病毒发生的症状和一些出现的特殊程序代码,然后通过网络去求助高手。也许在很多时候,我们能够通过高手的提示得到启发,让我们找到查杀病毒的关键。
本文来源:电脑报 作者:佚名