1.輕鬆搞定偽裝品
先刪除了他接收到的檔案,然後用程序檢視軟體TroyanFindInfo(下載地址:http:// )檢視一下系統中所有程序。很快發現了一個很奇怪的程序(見圖2),雖然名稱是,但其他的諸如版本、產品名、說明都和微軟的不同。
另外,該檔案儲存在System目錄下,而同學的系統是Windows 2000,系統自帶的應該儲存在System32的資料夾中。基於以上的判斷,初步斷定該程序為木馬程序,於是就用TroyanFindInfo中的“Edit→Kill process”(編輯→結束程序)關閉掉該程序。同時把C:WINNTSystem目錄下的木馬原檔案也刪除。最後在登錄檔中查詢所有的開機自啟動專案,找到和剛才刪除的有關的鍵值即可。
小提示
★程序檢視軟體很多,比如以前介紹過的IceSword,本文介紹的TroyanFindInfo等。我個人喜歡用TroyanFindInfo,因為它比較小巧,資訊也比較全面,實用。當你自己不能判斷出程序檔案時,還可以點選“Save”(儲存)按鈕,儲存好LOG檔案,然後傳給高手,讓他幫忙分析。
★以前大多數QQ病毒都是通過傳送病毒網站地址來傳播的,現在也有不少通過QQ直接傳送病毒檔案,比如,使用圖片圖示的EXE檔案,大家在接收來自好友或陌生人的訊息及檔案時一定要提高警惕,最好先詢問一下對方是否發過該資訊或檔案,以免無畏中招。
★開機自啟動在登錄檔裡的具體位置可以參見本刊2005年第1期的《中毒後遺症,妙手來清除》。
2.清除病毒的“幕後黑手”
本來以為是一個Easy Case,可剛回到家,同學就打來電話說好像木馬沒清除乾淨。過去一看,果然又出現了原來的狀況。按照剛才介紹的方法先行處理過後,再回想一下整個操作,推斷出可能木馬把自己的分身隱藏到了系統的某個角落。
於是開啟“我的電腦”,在選單欄上點選“工具→資料夾選項”,在彈出的“檢視”選項卡里將“隱藏受保護的作業系統檔案(推薦)”和“隱藏已知檔案型別的副檔名”兩項的勾選去除,再選中“隱藏檔案和資料夾”裡的“顯示所有檔案和資料夾”(見圖3)。
進入系統目錄裡,仔細看了一下WINNT、System、System32的目錄,果然不出所料,發現了“”和“notepad”兩個特殊的檔案,根據剛才查殺System目錄下的經驗,這些檔案既不是系統自帶的程式,檔案的屬性又和剛才刪除的屬性類似,可以推斷出這些檔案就是木馬檔案,自然將其刪除。最後,再去登錄檔,檢查一下所有的啟動專案。
小提示
★系統自帶程式都有各自特定位置和圖示,比如開始要刪除的“”,如果是系統自帶程式,那在Windows 2000/XP中儲存在系統目錄裡的System32資料夾裡。
★類似於“ ”和“notepad”這類的木馬檔案的命名抓住了人們心理上的弱點,對相似東西會忽略掉。如果隱藏了副檔名,本例中的這兩個檔案粗粗看一眼就很容易忽略掉。還有一種就是用比較類似的字母或者數字來代替,達到混淆的目的,比如“I”(大寫I)、“l”(小寫L)、“1”(數字1)或者是“O”(字母O)“0”(數字0)就很容易拿來混淆。
3.最終善後
好事多磨,當我正暗自得意時,突然發現所有應用程式都無法使用,還彈出如圖4所示提示,於是繼續解決問題:到Window的系統目錄裡把“”的副檔名改為COM,不理會警告再執行,即可開啟“登錄檔編輯器”,然後再到[HKEY_LOCAL_MACHINESoftwareClassesexefileshellopencommand]將“預設”鍵值改回“%1 %*”。再以“”和“notepad”為關鍵詞進行搜尋,結果又發現登錄檔的一處鍵值,即[HKEY_LOCAL_MACHINESoftwareClassestxtfileshellopencommand]也被修改成了“notepad %1”,修改回預設的“ %1”即可。
