机子中了病毒,这个病毒的名字叫rar.exe病毒,真是奇怪,看起来挺像电脑里的压缩工具软件,之后就QQ被盗,CPU占用高达100%,360工具也打不开其它杀毒软件的网站也上不了,更可气的是还有很多EXE程序没法打开,按F8进入到安全模式进到一半显示的是蓝屏,快把人折磨死了~ 搞了好久现在开机之后不能点击桌面上的任何东西,鼠标左右键都不点也不能用,状态栏也不能是假死状态~只能用键盘调出资源管理器后关掉Explorer.exe进程,然后又重新建立这个新EXPLORER.EXE进程,系统才正常,每次开机都这样的。重装系统之后也是这样真郁闷~ 不知道跟rar.exe这个东东有没有关系,后来查到是一个rar.exe病毒, 用Nod32监控,运行感染的exe程序,在C盘根目录下生成booter.exe文件,被Nod32隔离,如果不被隔离,将使系统重新中毒。1. 症状 (1) 如果系统中安装有WinRAR(一种很好的压缩解压工具,很多电脑上有安转),在任务管理器中会出现一个以SYSTEM方式运行的rar.exe,偶尔占用CPU达到100%. 经过确认,rar.exe本身是WinRar附带的一个命令行工具,并不是病毒,只是被病毒利用了而已。 (2) 无法显示隐藏的系统文件:在文件夹选项中将“显示受保护的操作系统文件”前面的勾去掉后,再次打开文件夹选项,发现刚才的操作无用。 (3) 感染U盘,在U盘下创建如下文件(设U盘的盘符为U:),如果有软驱,会读取软驱,如果软驱中没插软盘,会不断读取软驱,使软驱不断发出"扑扑"的扰民声,直到插入了软盘,将病毒写入了软盘才不发出扰民声。在U盘和软盘下生成如下文件。 U:\autorun.inf U:\RECYCLER\RECYCLER\desktop.ini U:\RECYCLER\RECYCLER\autorun.exe 注意,以上文件的属性均为系统、隐藏,在感染了该病毒的机器上是没有办法通过资源管理器看见的,不过可以在命令提示符中看见,如图一和图二。 在感染该病毒后,在U盘上点击右键,其菜单中多了一个Open,如图三。双击U盘盘符或者点击Open都是执行病毒文件,让电脑感染该病毒。 细心观察会发现,该病毒跟以前的“记事本病毒”隐藏自身和传播的方式几乎一样。 (4) 该病毒会在系统中创建如下文件: c:\windows\system32\kernel32.sys c:\windows\system32\mfc48.dll c:\windows\java\classes\java.dll %temp%\dfssetup.tmp,其中%temp%为当前用户的临时文件夹,例如C:\Documents and Settings\User\Local Settings\Temp (5) 该病毒还会修改注册表: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\Folder\SuperHidden] "UncheckedValue"=dword:00000001 将其值修改为dword:00000000 修改该值实现在资源管理器中无法显示“隐藏的系统文件”的功能。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" 将其值修改为kernel32.sys 修改该值实现自动加载kernel32.sys的功能。注意,该加载项在msconfig中是看不见的!         (6)感染了的局域网计算机能够PING通网关,但不能打开网页。 2. 手动杀毒方法 鉴于目前的主流杀毒软件对他都没有把办法,因此我们只能采用手动方法杀毒了。 注意:在安全模式下面是没有办法删除该病毒的(不能不说,该病毒的编写手法比较高明,在安全模式下面也能加载,并且能够防止用户删除它),因此我们需要在另外一种模式(Windows 恢复控制台)下面对其进行删除。 在杀毒过程中,需要Windows XP的安装盘。 2.1 进入Windows恢复控制台   进入Windows恢复控制台有两种方法: (1) 使用光盘启动电脑,选择恢复控制台: 使用Windows安装光盘启动计算机,在选择任务时(如图)按R进入恢复控制台,如图四。 图四 利用光盘启动进入Windows恢复控制台 (2) 在电脑的硬盘中安装恢复控制台: 将Windows安装光盘插入光驱,在运行中输入D:\I386\WINNT32 /cmdcons (其中D:为光驱盘符) ,如图五。 
图五 安装Windows恢复控制台(一) 在弹出来的确认对话框中点击“是”(图六)后,开始安装。 图六 安装Windows恢复控制台(二)   在安装时,可以取消动态更新(图七)。 图七 安装Windows恢复控制台(三)   安装完成后,重新启动计算机,在选择操作系统的时候选择Microsoft Windows XP Reconvery Console,进入恢复控制台(图八)。 图八 启动时选择进入Windows恢复控制台   然后选择操作系统,输入Administrator密码(这个账户是Windows的内置管理员帐户,你可以重命名它),进入系统,如图九。 图九 进入Windows恢复控制台   事实上,两种方式对于本病毒的查杀并没有区别,不过建议采用第二种方式,因为恢复控制台在系统崩溃时有很重要的用途,我的电脑上就一直装有恢复控制台。如果你不习惯在选择操作系统那个是老是要等待30秒钟,可以在我的电脑 -> 属性 -> 高级 -> 启动和故障恢复 -> 显示操作系统列表的时间 改为你想要的值。 2.2 手动删除病毒文件 前面已经提到了,病毒文件一共有四个,我们只需要删除其中三个就行了。由于该病毒文件具有arhs属性(存档、只读、隐藏、系统),我们必须先去掉该属性后才能将该文件删除。具体删除命令序列如下(在上面进入恢复控制台之后紧接着输入就可以了): cd system32 attrib -a kernel32.sys attrib -r kernel32.sys attrib -h kernel32.sys attrib -s kernel32.sys del kernel32.sys attrib -a mfc48.dll attrib -r mfc48.dll attrib -h mfc48.dll attrib -s mfc48.dll del mfc48.dll cd ..\java\classes attrib -a java.dll attrib -r java.dll attrib -h java.dll attrib -s java.dll del java.dll 好了,病毒文件都删除掉了,下面可以键入EXIT重新启动系统,进入到正常模式来清除掉病毒留下来的一些痕迹了(图十、图十一、图十二)。 图十 显示kernel32.sys的属性
图十一 删除病毒文件(一) 图十二 删除病毒文件(二)
2.3 清理病毒在注册表中留下的痕迹 本来,这些操作也是可以在恢复控制台下面完成的,但是由于在恢复控制台下面只能使用命令行模式,操作相对麻烦,因此推荐在Windows正常启动的情况下完成。 打开注册表编辑器(在“运行”中输入“regedit”),定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\Folder\SuperHidden] 将项"UncheckedValue"的值改为dword:00000001; 定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 将项"AppInit_DLLs"的值改为空。 2.4 删除U盘上的病毒文件 在命令提示符下面进入U盘,输入如下命令即可删除U盘上的病毒。 attrib -h -s -r  autorun.inf del autorun.inf rmdir /s /q RECYCLER 如图十三所示。 图十三 删除U盘中的病毒 好了,毒杀完了,享受无毒的电脑去。   备注:其实Windows XP的系统还原就可以解决该问题。如果你的系统没有开启系统还原,那么就只能手动杀毒了。   3. 病毒作者 用记事本或者其他文本编辑软件打开该病毒(autorun.exe),会发现如下字符串"关于[原创天地]小飞" 目前还无法清除被rar.exe病毒感染的exe程序。
|