扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
今天徒弟拿来一个U盘,说感染了win32.virut病毒,让我帮他杀一下。徒弟水平其实很高的,没想到他也会无办法。我正在杀的时候,徒弟告诉我,三楼的师傅也被感染了,因为刚从三楼过来。确实,稍顷,三楼的同事打电话求救说是感染win32.virut病毒,卡巴6.0杀不了,把卡巴自己给杀死了,还把系统也给杀死了。我说你上来吧系统盘拿过去重装一下,下载卡巴7.0升级,你再试试。第二天,见到三楼的同事,他说,你来看看吧,我快崩溃了,新装的系统也被感染,卡巴照旧吧系统杀死,我已经重装两遍了,毒越杀越多。
win32.virut病毒是一个感染.EXE文件(网上有不少人说也感染.SRC,但我没有发现)的病毒,网上的win32.virut的说明我这里没有发现症状,也许是变种了。感染virut病毒的计算机同时在每个盘符的根目录生成两个文件autorun.inf和Ravmon.exe,并且在Winxp系统的各个盘符的根目录下System Volume Information隐藏文件夹里生成有*.inf和*.exe文件个一个,这里的*是随机的,并没有严格一致性或者某些可视的规律性。这一点和网络上关于win32.virut的特性一致——每次感染(捆绑)都是随机变异的特征码。
在经过上述老兄的重装之后,仍旧能够快速感染,说明win32.virut病毒破坏力之大,当然主要还是两个因素:1、感染的exe文件;2、通过autorun.inf自动引导感染。
根据Virut病毒这两个特性我采取了以下措施,供大家借鉴(我们已经成功了),同时也给那些感染了恶性病毒的朋友一些借鉴,其实方法都是一样的,成功的原理也是一样的:
步骤一:使用系统盘重装操作系统。Windows的安装盘,或者光盘引导的Ghost恢复,或者光盘引导的并且在光盘上加载Ghost.exe运行程序的硬盘Gho恢复。这里有一点说明,如果使用纯光盘的重装,或者纯光盘的ghost恢复,源文件是干净的,所以没有问题,但是不能使用备份在硬盘上的ghost.exe程序来引导,因为win32.virut感染.exe文件,硬盘上的ghost.exe也难逃此劫。同时Winxp本身携带的系统恢复是不行的,因为已经被污染了。
步骤二:禁止一切硬盘操作,从网上下载最新的杀毒软件(建议使用卡巴斯基7.0)到桌面,安装,升级。此步骤只允许在桌面操作,不要使用硬盘上原有的任何文件,我们只要打开就极有可能被重新感染,所以我们的一切操作都在桌面,包括软件的下载,安装,升级等一系列的过程。至于为什么要禁止一切硬盘的操作,因为前面所说的win32.virut病毒的第二个重要特征——autorun.inf引导。关于autorun.inf的问题请参照以前的文章:硬盘双击打不开的解决办法。
也许有朋友会问,为什么不感染“桌面”,因为病毒感染生成的文件是在其他盘符,系统盘是我们格式化过的,很干净。如果我们没有点击其他硬盘,或者运行其他盘符的程序的话,病毒是不会感染给我们的,这同时也是很多朋友重装之后,二次感染的主要原因。
步骤三:杀毒。这个是最慢的过程,因为如果你的硬盘上存放的软件或者备份的软件多的话,会杀到一大堆病毒的。当然了,为了安全期间建议你在杀毒的时候,把这些D、E、F、G等非系统盘符的所有硬盘上的EXE删掉,而不是我们常规说的清除,当然清除也可以,如果不是特别重要的文件,或者我们能从网上或者别处重新拿到就杀了它吧。当然在杀毒完成之前,建议还是不要打开任何硬盘上的东西,哪怕是打开硬盘也不要做,原因如同步骤二。
步骤四:重新启动计算机,扫描一遍系统的关键区。这步是验证我们的计算机有没有被重新感染,当然,如果在整个过程中我们严格的执行了“禁止一切硬盘操作”的话,应该没问题。如果发现有问题,尝试清除,或者重新步骤一开始——之所以这样,你一定在我们要求“禁止硬盘一切操作”的时候,你去看硬盘上的东西了,或者运行了硬盘上的程序。
以上是win32.virut病毒的清除方法,综合一点说就是:重装系统,网上下载杀毒,一切在桌面操作,最后杀毒。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。