默识

手工杀毒效率太低

　　昨天上网的时候，一个常去的英文资料网站临时宕机了，为了能够参考上面的重要资料，我到网上到处寻找访问 Google 快照的方法。访问 Google 快照的方法很多，最简便的就是访问 某些大学网站内部的 Google 搜索，跟普通 Google 搜索没什么差别，还可以看到快照。同时我还发现了一个叫做 Google 快照精灵的软件，遗憾的是我非但没能试用上它的功能，还不幸被一个冒名顶替的病毒程序欺骗了，最后只得重新恢复系统。

　　刚刚进入下载页时就发现那个网站不很地道，首先网址是非常古怪的 ixmx.net，网站名称又是非常没有个性的下载中心，最令人可疑的是，程序的下载名称是 setup001.exe。任何正经的软件都是"行不更名，作不改姓"的。哪怕是流氓软件也至少会用 xxx-toolbar 这样的名称提醒大家："虽然我是流氓软件，但还能为您提供一些方便"，然后才在您的浏览器中悄悄写下 xxx 的大名。但这种 setup001 可没那么客气，它非但什么承诺的功能都不提供，还会对您的机器下毒手。

　　我早料到这程序可能是冒名顶替的李鬼，但当时机器上没有安装杀毒工具，又觉得对于我这种熟悉 Windows 系统的人来说大部分流氓软件都可以手工清除，所以没有多想就点击了执行。令我感到意外的是，这个程序根本没有启动任何安装界面，直接就在后台干起了肮脏的勾当：在系统中多处病毒聚居区域放置了可执行程序和动态链接库，并将病毒触发器同我的电脑、资源管理器和 IE 浏览器挂钩。

　　后面的工作当然是手工杀毒了，我首先中断本地连接，再在任务管理器中中止系统中的可疑进程，然后是修改注册表中的启动项，让病毒无法开机自动启动，最后进入命令行方式杀毒。大部分可疑进程都关闭了，只有一个无法中止，那就是捆绑在病毒程序上的 CNNIC 工具条，我甚至不能在添加/删除程序中卸载它，因为这个程序把自己的运行空间锁定了。可怜一个本来响当当的 CNNIC 就这样沦为 流氓软件黑帮老大。为什么一定要进命令行杀毒呢，因为我的电脑和资源管理器已经和病毒挂钩，一旦打开它们，就会同时启动浏览器打开目标网站，为黑站贡献访问量。当然在断网状况下，黑站是不可能访问到的，只会出现"无法访问该页"，这就是中断本地连接的目的。

　　执行完上面的手工杀毒步骤后，系统已经稳定许多，病毒触发器也接近半残废，但仍然有一些隐患存在，重启机器后还是出现了可疑的 Rundll32 进程。这时候如果希望进一步剿灭这些游击分子，就需要更丰富的经验。卡巴斯基的员工曾经为我们演示过手工杀毒的技巧，需要在纯 DOS 下利用编辑器查看程序文件的内容，分析调用关系，但这种分析是建立在熟悉大量常见病毒特征字符串的基础上的，所以我也没有学会。因为还有重要的工作要完成，我没有继续跟这些小病毒计较，而是选择了从硬盘备份分区用 Ghost 恢复系统，可以说只有这时候才能充分享受到系统备份的乐趣。花了 8 分钟将系统恢复之后，当然是首先安装了卡巴斯基杀毒软件，再次访问那个网站，发现恶意文件下载到一半时，卡巴斯基已经开始"尖叫"，告诉我危险已经逼近。

　　限于篇幅，Ghost 备份的技巧就不能详述了，但系统安全的常识还可以简单总结一下。

1. 首先，不战而胜是上策。看到稀奇古怪的网站、莫名其妙的文件名时不要点击就是，无论是来自网页，邮件还是 QQ 聊天，病毒通常是诱人上钩的，只要好奇心不要那么强就不容易中招。

2. 其次，安全第一，预防为主。赶紧去安装一款新版的卡巴斯基杀毒软件并立刻更新病毒库，不要迷信所谓的强劲杀毒引擎和先进杀毒技术，只有病毒库频繁更新的才是厉害的杀毒公司，目前看来卡巴斯基还是比较好用的。

3. 第三，没有杀毒软件可以徒手搏斗。首先断网，然后中止可以中止的可疑进程，再检查注册表中所有名称为 Run 的主键，最后扫荡病毒聚居区。聚居区在哪里？所有分区的根目录，系统分区的 Windows 操作系统目录以及这个目录下的 System32 目录，Temp 目录…… 如果这一系列过程中的任何一个步骤无法顺利进行，重启计算机，按 F8 进入安全模式重新按步骤进行。

4. 第四，第三步工作完成仍然无法清除所有病毒，看看能不能安装杀毒软件？能不能把硬盘接到其它人的机器上杀毒？如果时间实在有限而且有现成的系统备份，还是用 Ghost 之类的备份软件恢复系统吧。

5. 第五，您的机器是个人网站的服务器？您喜欢用 Windows 架站还希望它安全性好？还想没事用它上上网下载点东西？大哥一路走好，不远送了……

本文引用地址(Trackback URL)