中毒后遗症 妙手来清除 (二)(1) 实战排障为了让大家有些具体感官印象,下面就常见病毒简单举些例子。1.五毒虫由于该病毒会向注册表的[HKEY_CURRENT _USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]中添加"run"="RAVMOND.exe"键,而有些杀毒软件清除病毒后,并没有删除该键,因此进入系统后,会提示找到不到文件RAVMOND.exe,这时只要删除即可。另外病毒还会创建名为“Windows Management Protocol v.0 (eXPerimental)”和“_reg”的两个服务,服务对应的病毒文件名为msjdbc11.dll 和ondll_server。清除病毒文件后再次进入系统会发现系统出现报错的声音,但并没有文字提示,于是进入“控制面板”,打开“事件查看器”,发现服务运行错误,而服务名就是“Windows Management Protocol v.0 (experimental)”和“_reg”,打开“控制面板→管理工具→服务”,会发现这个“_reg”服务排在最上面,但是微软操作系统默认的“服务”没有以下划线起名的,因此比较容易判断是不是系统或者正常软件“服务”,然后进入注册表[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services]项,找到相关名称删除即可。而“Windows Management Protocol v.0 (experimental)”服务由于名称上有具有一定的迷惑性,因而可能有些用户在这样的情况下不敢轻易删除,其实大可不必,因为“服务”已经出错了,就算不删除也不会正常工作的。2.MSN尾巴该病毒会将注册表[HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中“Userinit”键的键值从“%System%\userinit.exe”改为“%System%\userinit32.exe”,让用户无法进入系统。解决办法是用系统启动光盘启动到故障修复控制台,然后输入以下命令cd system32copy userinit.exe userinit32.exe重新启动即可(此方法仅适用于Windows 2000/XP)。
关于病毒“后遗症“的处理,是我们每个人都可能会遇到,并值得关注的。由于病毒破坏特点千变万化,而且涉及方面较多(比如病毒导致系统瘫痪恢复系统一块,实际上属于“数据恢复”层面的专业内容)普通用户在一定程度上难以驾驭。所以,经常备份才能保证系统安全。
漏洞再现:病毒变图片,轻松入侵你的电脑影响系统:Windows XP SP1/SP2、Windows 2000、IE 6.0在Web网页中右击图片选择“图片另存为”命令保存图像文件时,如果该图像文件名包含多个扩展名,IE默认设置会擅自去除最后的扩展名并保存。利用这一漏洞,入侵者就可以进入你的系统了。例如,一个包括有恶意代码的图片文件123456.hta.jpg,在另存为后,会保存为123456.hta,而当你不小心执行(打开)123456.hta时,Windows会将该文件解释为HTML文件,并执行其中代码。如果把代码换成木马源代码并加以修改,就成为了木马新的传播途径。可以说这是ActiveX控件漏洞的一个变形利用,因为用户下载图片时代码不运行,所以很有可能避开防火墙和杀毒软件的监视。想想看要是一个壁纸下载网站用了这种方法……
