上个月我的电脑感染了病毒,然后最近才被查杀掉。感染病毒啦,具体指那就是一打开ie,浏览器就会自动连接某个网址,并且还会蹦出其他的一些网页。刚开始,其实我也没有把它当成什么大事,可是后来我发现,我在电脑里怎么也找不到病毒文件(后来才知道是在windows\system32\com目录下的lsass.exe和smss.exe,而在系统进程中是以当前用户身份来运行的。另外在每个驱动器下都有隐藏的autorun.inf和pagefile文件。
我上网搜索了一下,发现了有很多求助的,但是却都没有给出详细的解决方法,最后我只好重新安装了系统。可新系统安装好之后,一打开ie浏览器还是连接到这个网站。我去,真是郁闷死我了。前几天在网上搜索到一篇文章“关于清除gb198和265d m网页自动跳转病毒的方法”,才知道原来这个病毒是这么的凶悍,据那篇文章说暂时还没有杀毒软件可以查杀的(是根本查不出来,至少我用瑞星是一点反应没有),而且在病毒发作时重新安装系统也没有什么用!怪不得我重新安装了系统文件也发现没什么用。作者说这里要把internet选项里,把有关java的vm的启用项全部去掉。我按照作者的说法,将脚本下的java和其他功能都禁止了,果然像作者说的那样症状全部都消失了。
但是我发现在给我朋友的电脑杀毒时(到目前为止,我已经在许多台电脑上看见这个病毒了,而且还包括一个机房的几乎所有电脑),看来这个方法不灵了,因为结束掉进程后它又会重新运行(lsass.exe和smss.exe相互为守护进程)。
看来我得静下心来思考一下,我的电脑上都解决了这个问题,为什么别人的电脑不行呢?我试着在dos下删除lsass.exe和smss.exe,发现也没什么用,开机后又回来了!突然想起我的电脑在杀毒时改过ie设置后就死机了,然后我就重启了一次,难道原因就在这里?于是我把朋友的电脑直接切掉电源,重启后,系统进程里没有了病毒的lsass.exe和smss.exe。接下来就是把病毒文件都删除掉,包括windows\system32\com目录下的lsass.exe和smss.exe文件,每个驱动器下的autorun.inf和pagefile文件。但是我们不要以为这样就结束了,因为这个病毒太黑了,把每个安装的应用程序都感染了一遍,假如我们运行一下word,我们就会发现病毒又回来了。而且我这里说的“每个安装的应用程序”是指“添加/删除程序”中出现的所有软件,包括各种娱乐和游戏软件。因此我们只能像刚才那篇文章的作者所说的,在病毒不发作的时候就重新安装系统吧。
现在我的电脑c盘是ntfs文件格式,并且设置了windows\system32\com目录为任何人都不可以写,关闭了自动运行功能(在组策略里设置,就不怕autorun.inf了)。其实我平常只使用一个guest权限的账号来上网,因为这样即使有病毒,也没有系统权限,除了利用系统漏洞的病毒外,这样的设置就能抵挡大部分病毒了。在之前的文章中我也有提到过,所以知识是互相贯通的,大家要学会去灵活运用。