這兩天我的系統不知道是什麼原因,常常會不定時地彈出一個Limit計時器,倒數15分鐘就自動關機。其間任務管理器和註冊表編輯器都打不開,殺毒軟體也查不出是什麼病毒。衝擊波、震盪波的專殺工具我也用了,同樣沒有解決問題。
最後沒有辦法了,只得重裝操作系統。可是每次重裝後又出現倒計時,請問《電腦報》的安全專家,是什麼原因造成15分鐘倒計時關機的?為什麼重裝系統後又很快出現了?
安全專家:從讀者來信中我們知道,他碰到了15分鐘倒計時關機的情況,這是因為操作系統受到了“五月莉娜”電腦病毒的侵害。“五月莉娜”病毒因為很多人對它都不甚瞭解,網上也只有很少的介紹,所以用戶很難找到它的清除方法,更不用說有什麼專殺工具可以使用。
一旦中了“五月莉娜”病毒,系統目錄中的一些重要檔就會被替換,比如任務管理器、註冊表管理器、系統配置程式,以及命令提示符等等。其實該病毒還是屬於現在非常流行的閃存盤病毒這一個大類,通過閃存、移動硬碟等移動設備來進行傳播。
不過本報第31期講的閃存盤病毒通用解決方案在這裏就不完全有用了,因為該病毒除了可以利用移動設備進行傳播外,還可以利用網頁木馬等其他方式來進行傳播。再加上其他磁片目錄裏面“五月莉娜”殘留的病毒存在,因此用戶很容易在重新安裝系統後再次被感染。
另外,“五月莉娜”病毒和其他的閃存盤病毒還有所差別的是,該病毒並不會在右鍵菜單多出一個“Auto”命令,因此也很難讓用戶發現隱藏在該目錄下的病毒檔。正是這樣的原因造成了上面那位讀者多次重裝系統,才勉強將病毒從系統成功清除。
“五月莉娜”完全清除方案
方法一:菜鳥清除法
首先重新安裝系統,完成後不要立即打開任何磁片。點擊開始菜單中的“運行”命令輸入“CMD”,然後在彈出的命令提示符窗口中執行“attrib autorun.inf -s -h -r”,這樣做是為了去除該檔的隱藏等屬性內容。
最後再在窗口中執行“del autorun.inf”和“del limit.exe”就可以了(圖1)。需要特別注意的是,對所有的磁片分區都要這樣操作,要不然病毒又會自動感染其他的磁片分區。
方法二:老鳥操作法
首先重新啟動系統(該方法不用重裝系統),並按F8進入安全模式。接著利用《冰刃》等安全工具刪除所有磁片分區下的autorun.inf和Limit.exe等病毒檔,刪除c:windows下的regedit.exe檔夾和圖示為批處理的一個可執行檔MSCONFIG.EXE(圖2)。
刪除c:windowssystem32下的cmd.exe檔夾、command.exe檔夾、taskmgr.exe檔夾,刪除c:windowssystem32dllcache下生成的cmd.com、cmd.exe、regedit.com、regedit.exe、command.com、command.exe等檔夾,這種對系統重要檔進行替換正是很多系統工具無法使用的原因。
再打開註冊表編輯器,先在啟動項中刪除空白的專案MSCONFIG.EXE,接著在註冊表中分別搜索msconfig、Limit等關鍵字,然後將查找到的所有可疑的註冊表專案和它對應鍵值統統刪除。
然後從其他乾淨的操作系統中複製regedit.exe、taskmgr.exe、msconfig.exe、cmd.exe等檔到系統中,再利用Copy命令複製到以前的位置,例如copy c:cmd.exe c:winedowssystem32。
最後重新正常啟動後發現系統已經恢復正常,有時系統會跳出Windows修復程式,將系統安裝盤插入到光驅後即可自動修復。
編輯觀點:安裝閃存病毒防禦軟體
由於“五月莉娜”病毒清理起來還是比較棘手的,所以這裏用戶可以根據自己的實際情況來選擇一種清除方法。如果你對系統操作不熟,就通過第一種方法來解決;如果你對系統操作很熟練,第二種方法應該更適合你。
此外,還需要為操作系統安裝MS06014和MS07017兩個漏洞補丁。建議安裝閃存病毒防禦安全工具。例如《Autorun病毒防禦者》(下載地址:http://www.cpcw.com/bzsoft/),具體工具選擇可以參考《電腦報》第32期《4款閃存殺毒軟體綜合能力測試》。 |
