這幾天我上因特網速度突然很慢,同時在操作電腦的時候也發現系統速度很慢,但是我裝的殺毒軟體對於此病毒沒有任何報警。檢查電腦發現在系統進程表中有三四個msgfix.exe檔,而有時候甚至多達六七個msgfix.exe檔(見圖),CPU佔用率經常高達80%以上。www.sq120.com推薦文章
用網路監測軟體監測到該病毒計算機在攻擊其他電腦“135、139、445、44444”等幾個端口。我懷疑是病毒所導致,啟用殺毒軟體查殺該病毒,結果顯示“無病毒感染”,採用到安全模式下使用手工清除該病毒感染的檔msgfix.exe能清除,但是重啟電腦後不到3分鐘,系統又出現感染病毒狀況。
網上求助得啟發
我上網去求助,發現在各大論壇上是“哭喊聲一片”,到處都是求助如何查殺病毒感染檔Msgfix.exe帖子。有的說是波特變種F病毒感染引起的,有的說是Worm_Timer.d或Worm_sdbot.c病毒感染引起的等等。
有一個帖子對我的啟發很大:“病毒感染msgfix.exe檔,通過弱密碼進行傳播,修改註冊表實現自啟動,枚舉本地IP地址,試圖利用IPC弱口令將自己複製到別的主機上。”
我仔細分析了一下,全校共有350多臺電腦。根據我的調查,被感染的電腦只有30多臺,進一步分析發現Windows XP和Windows 98操作系統都沒有被感染病毒,而Windows 2000操作系統中加用戶密碼的電腦也都沒有被感染病毒,只有那些沒有加用戶密碼的Windows2000操作系統的電腦被感染病毒。
為什麼Windows XP、Windows 98操作系統沒有加用戶密碼都沒有被感染病毒呢?我發現Windows XP操作系統默認是禁止IPC$空連接的,即:HKEY_LOCAL_MACHINESystenCurrentControlSet ControlLsa下的“restrctanony mous”的鍵值是1,而Windows 98操作系統中根本就沒有IPC$空連接的專案。
雖然在Windows 2000操作系統註冊表中 “restrctanony mous”的鍵值是0,即開啟IPC$空連接,但是如果用戶設有密碼,病毒則無法通過IPC$空連接進行傳播。
找准關鍵,有的放矢
現在,我已經知道病毒的傳播原理,即利用IPC弱口令將自己複製到主機上,修改註冊表實現自啟動,枚舉本地IP地址。
下麵就動手殺毒,首先斷開網線,重啟電腦,按F8鍵進入安全模式,在安全模式下,修改註冊表HKEY_LOCAL_MACHINESystenCurrentControlSetControlLsa下restrctanony mous的鍵值,把0改為1。同時清除註冊表中三個msgfix.exe檔,即:HKEY_LOCAL_MACHINESoftware Microsoft WindowsCurrentVersionRun;HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunservices和HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun下的msgfix.exe檔,然後清除在操作系統盤下的一個msgfix.exe檔,即:C:WINNTsystem32msgfix.exe 。
然後用“開始→搜索→檔或檔夾搜索”看是否還有其他的msgfix.exe檔,如有則一律清除,最後退出安全模式重啟電腦。再次進入系統後,病毒沒有再次出現,系統中也沒有再發現msgfix.exe進程,殺毒成功。
金小林戰友為我提供了一個比較特殊的自己動手查殺未知病毒的方法。這個方法對於很多對於註冊表或者進程查看不熟悉的朋友來說,還是比較困難的。但是很多朋友可以學習金小林戰友解決問題的思路。
遇到未知病毒的襲擊,在殺毒軟體無法查殺的情況下,不慌亂。首先去收集病毒發生的症狀和一些出現的特殊程式代碼,然後通過網路去求助高手。也許在很多時候,我們能夠通過高手的提示得到啟發,讓我們找到查殺病毒的關鍵。 |
