在日常的生活中，網(wǎng)絡(luò)已經(jīng)是我們不可分割的一部分。但是網(wǎng)絡(luò)中暗藏殺機(jī)，到處是黑客、木馬和病毒。你可能親身經(jīng)歷過(guò)與黑客、木馬和病毒的斗爭(zhēng)，不管你是勝利還是失敗，你都是掃黑尖兵。來(lái)吧！將你同它們的斗爭(zhēng)記錄下來(lái)，然后發(fā)給阿良，讓我們?cè)趧倮麜r(shí)一起歡呼，在失敗時(shí)互相鼓勵(lì)。掃黑尖兵，阿良在這里迎接你。

手工絞殺未知病毒
掃黑尖兵：金小林
所在城市：杭州
使用系統(tǒng)：Windows 2000
情況描述：

    這幾天我上因特網(wǎng)速度突然很慢，同時(shí)在操作電腦的時(shí)候也發(fā)現(xiàn)系統(tǒng)速度很慢，但是我裝的殺毒軟件對(duì)于此病毒沒(méi)有任何報(bào)警。檢查計(jì)算機(jī)發(fā)現(xiàn)在系統(tǒng)進(jìn)程表中有三四個(gè)msgfix.exe文件，而有時(shí)候甚至多達(dá)六七個(gè)msgfix.exe文件（見(jiàn)圖），CPU占用率經(jīng)常高達(dá)80%以上。

    用網(wǎng)絡(luò)監(jiān)測(cè)軟件監(jiān)測(cè)到該病毒計(jì)算機(jī)在攻擊其他計(jì)算機(jī)“135、139、445、44444”等幾個(gè)端口。我懷疑是病毒所導(dǎo)致，啟用殺毒軟件查殺該病毒，結(jié)果顯示“無(wú)病毒感染”，采用到安全模式下使用手工清除該病毒感染的文件msgfix.exe能清除，但是重啟計(jì)算機(jī)后不到3分鐘，系統(tǒng)又出現(xiàn)感染病毒狀況。

網(wǎng)上求助得啟發(fā)
    我上網(wǎng)去求助，發(fā)現(xiàn)在各大論壇上是“哭喊聲一片”，到處都是求助如何查殺病毒感染文件Msgfix.exe帖子。有的說(shuō)是波特變種F病毒感染引起的，有的說(shuō)是Worm_Timer.d或Worm_sdbot.c病毒感染引起的等等。

    有一個(gè)帖子對(duì)我的啟發(fā)很大：“病毒感染msgfix.exe文件，通過(guò)弱密碼進(jìn)行傳播，修改注冊(cè)表實(shí)現(xiàn)自啟動(dòng)，枚舉本地IP地址，試圖利用IPC弱口令將自己復(fù)制到別的主機(jī)上。”

    我仔細(xì)分析了一下，全校共有350多臺(tái)計(jì)算機(jī)。根據(jù)我的調(diào)查，被感染的計(jì)算機(jī)只有30多臺(tái)，進(jìn)一步分析發(fā)現(xiàn)Windows XP和Windows 98操作系統(tǒng)都沒(méi)有被感染病毒，而Windows 2000操作系統(tǒng)中加用戶密碼的計(jì)算機(jī)也都沒(méi)有被感染病毒，只有那些沒(méi)有加用戶密碼的Windows2000操作系統(tǒng)的計(jì)算機(jī)被感染病毒。

    為什么Windows XP、Windows 98操作系統(tǒng)沒(méi)有加用戶密碼都沒(méi)有被感染病毒呢？我發(fā)現(xiàn)Windows XP操作系統(tǒng)默認(rèn)是禁止IPC$空連接的，即：HKEY_LO
CAL_MACHINE\Systen\CurrentControlSet \Control\Lsa下的“restrctanony mous”的鍵值是1，而Windows 98操作系統(tǒng)中根本就沒(méi)有IPC$空連接的項(xiàng)目。

    雖然在Windows 2000操作系統(tǒng)注冊(cè)表中 “restrctanony mous”的鍵值是0，即開(kāi)啟IPC$空連接，但是如果用戶設(shè)有密碼，病毒則無(wú)法通過(guò)IPC$空連接進(jìn)行傳播。

找準(zhǔn)關(guān)鍵，有的放矢
    現(xiàn)在，我已經(jīng)知道病毒的傳播原理，即利用IPC弱口令將自己復(fù)制到主機(jī)上，修改注冊(cè)表實(shí)現(xiàn)自啟動(dòng)，枚舉本地IP地址。

下面就動(dòng)手殺毒，首先斷開(kāi)網(wǎng)線，重啟計(jì)算機(jī)，按F8鍵進(jìn)入安全模式，在安全模式下，修改注冊(cè)表HKEY_LOCAL_MACHINE\Systen\CurrentControlSet
\Control\Lsa下restrctanony mous的鍵值，把0改為1。同時(shí)清除注冊(cè)表中三個(gè)msgfix.exe文件，即：HKEY_LOCAL_MACHINE\Software \Microsoft \Windows\Cur
rentVersion\Run；HKEY_LOCAL_MACHI
NE\Software\Microsoft\Windows\Current
Version\Runservices和HKEY_CURREN
T_USER\Software\Microsoft\Windows
\CurrentVersion\Run下的msgfix.exe文件，然后清除在操作系統(tǒng)盤(pán)下的一個(gè)msgfix.exe文件，即：C:\WINNT\system32\msgfix.exe 。

    然后用“開(kāi)始→搜索→文件或文件夾搜索”看是否還有其他的msgfix.exe文件，如有則一律清除，最后退出安全模式重啟計(jì)算機(jī)。再次進(jìn)入系統(tǒng)后，病毒沒(méi)有再次出現(xiàn)，系統(tǒng)中也沒(méi)有再發(fā)現(xiàn)msgfix.exe進(jìn)程，殺毒成功。

    金小林戰(zhàn)友為我提供了一個(gè)比較特殊的自己動(dòng)手查殺未知病毒的方法。這個(gè)方法對(duì)于很多對(duì)于注冊(cè)表或者進(jìn)程查看不熟悉的朋友來(lái)說(shuō)，還是比較困難的。但是很多朋友可以學(xué)習(xí)金小林戰(zhàn)友解決問(wèn)題的思路。

    遇到未知病毒的襲擊，在殺毒軟件無(wú)法查殺的情況下，不慌亂。首先去收集病毒發(fā)生的癥狀和一些出現(xiàn)的特殊程序代碼，然后通過(guò)網(wǎng)絡(luò)去求助高手。也許在很多時(shí)候，我們能夠通過(guò)高手的提示得到啟發(fā)，讓我們找到查殺病毒的關(guān)鍵。

最新評(píng)論