近日,实验室的机器不小心中了个病毒,这种病毒的表现主要是:经常在xp使用时弹出cmd命令行;有时会自动打开IE连接网页;360安全卫士和卡巴斯基被关闭;专杀工具一出动就重启计算机;任务管理器中显示有两个被用户(注意:不是SYSTEM)所拥有的进程lsass.exe和smss.exe且无法结束;在网上搜索"dnsq.dll"或"病毒"字样立刻强制关闭浏览器......麻烦得很,不禁骂该病毒作者xxx.经过2个多小时的研究,找到了清除方法.该作者的能力还是有限,能够被我手动杀掉的病毒,能高明到哪去?
首先说明,该病毒有许多变种,会生成许多病毒程序,所以,我接下来要介绍的方法,也许只能是个参考.另外,看我的文章题目就知道,我是利用了linux系统来杀毒的,如果你的电脑只装了xp(这也是绝大多数情况),那这篇文章可能无法帮助你,还请见谅.但是,看完这篇文章后,你也许会发现,就算你平常不用linux,linux却可以为你所用,没事儿杀杀病毒,岂不乐哉?另外,如果你对linux的命令不太熟,可以查查有关资料,并不难的.
病毒特征文件
首先,被感染的各个windows分区的根目录下都会生成autorun.ini和pagefile.pif文件;在c:\下还会有一个032759.log(这个文件名一般是以数字+log后缀,不一定是032759);在c:\windows\system32\下有一个dnsq.dll;在c:\windows\system32\com\下会生成4个文件:netcfg.000,netcfg.dll,lsass.exe,smss.exe;在c:\windows\system32\下的cmd.exe,lsass.exe,smss.exe也被感染;在c:\Documents and Settings\All Users\启动\生成很恶心的~.exe程序(这么恶心的名字作者也想得出来,估计是有童年阴影).这些就是病毒运行时所依赖或感染的程序.
利用Linux清除Windows分区病毒的好处
Windows下的病毒无法感染Linux.这就是我们使用linux杀毒的关键.在windows下,病毒把自己伪装和保护得很好,不那么容易发现,即便发现了你也杀不了(比如不让你使用杀毒软件,把自己变成无法删除的系统程序等等),所以,你在windows下杀毒,很有可能是徒劳的.就这个病毒来讲,xp一启动的时候它就自己加载运行了,并且会监视lsass.exe和smss.exe这两个程序是否被删除,如果是的话就再自动生成.因此,在windows下手动杀它,只能是野火烧不尽,春风吹又生.但是,在linux下杀就不一样了;因为你是用的linux来读取windows分区,事实上windows并没有被引导,病毒就无所谓发作,对你来说,你就只需要删除windows分区上的几个文件而已,而哪些病毒程序根本就运行不起来(谁让大多数的病毒制造者只会写几个windows病毒呢?).因此,在linux下手动杀毒,病毒只能乖乖就擒,只要你杀得干净,它就没办法了.
手动清除
其实,手动清楚的办法很简单,就是进入linux系统,把你所有的windows分区mount进来,然后一一对应上面的文件直接删除掉就可以了.当然,这还牵涉到你的windows分区是否是ntfs格式.我当时装xp的时候,就是为了能让linux读到xp的分区共享文件,所以都把xp的分区格式化为fat32了(如果是ntfs的话,你的linux可能无法mount进来,还需要借助一些工具软件,这你得上网找找).另外,我是在一中病毒的时候就到linux下杀毒的,因此我还用了linux把过去1内发生改变的.exe,.dll,.log,.pgf等文件都找了出来,看到名字很可疑的就删掉.
但是要记住一点,c:\windows\system32\下的cmd.exe,lsass.exe和smss.exe如果删掉的话,你的windwos就可能无法正常引导了.所以,我的解决办法是,把这三个程序删掉后,再从同学的机器上copy了这3干净的程序放回到c:\windows\system32\下.这样,这个病毒的查杀工作就基本完成了.
最后
如果你对这个办法不放心,那么,你可以把要删除的文件移动到linux分区下(相当于剪切+粘贴),然后启动windows,如果发现有删错的情况,还可以再回linux把相应的文件放回它们原来的位置.
还要讲的是,由于是手动专杀,再加上该病毒有许多变种,所以上述讲到的病毒文件不一定你都有,或者你有的我这里没提到.总之,手动查杀病毒需要一定的耐心和细心,要善于发现可疑程序,并且要多尝试.我在杀这个病毒的时候,来来回回在linux和windows之间重启切换了10几20遍.但是,成功查杀之后的快感,是很爽的,值得一试啊。
