昨天朋友说他的U盘坏了,在自己的电脑上识别不出来,于是我就拿到我的电脑上来试了一下,还是我的电脑够牛,很顺利的就识别并读取出了内容。同学问我前段时间非常火的电影《功夫瑜伽》还在不在U盘里,我顺手就点开了一个文件夹,没想到这真是一失足成千古恨呀,之后的麻烦就接踵而来,先是电脑蓝屏死机,重启电脑后,发现注册表、任务管理器等都被禁用了。看来情况非常不妙,虽然具体的情况还不了解,但中病毒应该是没错了。
不管怎么说,我也是跟病毒打过交道的,决不能这么乖乖的屈服于病毒的淫威下。
开始时一点儿头绪也没有,只能先对症下药了,中毒后的症状第一个就是蓝屏,这个具体是什么原因,确实不好找,我读不懂蓝屏的那些代码,再说它就蓝屏了一次,就算我再想去看也没机会了。第二个症状是任务管理器、注册表编辑被禁用,首先假设是设置的问题,因为注册表编辑器无法使用,所以调出任务管理器的方法只能从组策略中进行设置,点击“开始”一>“运行”,在“运行”栏中输入“gpedit.msc”点击确定后打开组策略,定位到“用户配置”一>“管理模板”一>“系统”一>“Ctrl+Alt+Del选项”,在右边的窗口中选择“删除“任务管理器””,然后点击右键选择属性,在“设置”中选择“未配置”。
确定后,我试着调出任务管理器,可结果依然是提示任务管理器被禁用。接下来我就想使用同样的方法来修改禁用注册表编辑器的问题,同样在“开始”一>“运行”栏中输入“gpedit.msc”打开组策略,定位到“用户配置”一>“管理模板”一>“系统”,双击“禁用注册表编辑工具”,选择“未配置”,点击“确定”,可结果依然是令人失望的。
看样子只能请出手动杀毒工具冰刃和wsyscheck了,首先使用wsyscheck查看了一下系统进程,发现冒出了两个notepad.exe,很明显其中有一个就是病毒。我到网上搜索了一下,果然有人曾经碰到过这种情况,我还以为是中了notepad.exe病毒,可结果却不是那么回事,因为对方的症状和我电脑的表现存在着相当大的出入,似乎我这小小的电脑里存在的还不止一种病毒,看来这场战争,不是轻易就能搞定的。
我借用冰刃打开了注册表,果然不出所料:“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System” 下的“DisableTaskMgr”和“DisableRegidteryTools”中的Dword值均为00000001。右击将值修改为0后,注册表和任务管理器就都可以使用了,但是只正常了一会儿就又被禁用了,我刷新了一下注册表,发现那两个值又自动恢复到00000001了,看来有exe文件与注册表存在关联。我查看了一下Run和Runonce下面的选项,把所有的值都给删除了,可那两个值依旧会自动恢复。
实在不行了,我只好请出高科技武器——杀毒软件,匆匆忙忙的从网上下载了一个瑞星,只扫描了C盘就吓我一跳,N多的病毒呀,不过好在瑞星还提供了许多有用的信息,原来这个病毒名称叫做win32.kuku.gen,现在终于可以对症下药了。就在这时,文章开头所提到的症状又出现了,再一次见识到了病毒的残忍。
冷静的分析了下,首先病毒是通过U盘感染了电脑中的exe文件,也就是说,知道了病毒的来源是U盘,因为我打开了里面的某一个文件,所以导致了全盘exe文件的感染。要治本,就得先治标,要先把被感染文件的病毒清除掉,我找出一个被感染的文件TM2009Beta2.0_chs.exe,用瑞星查杀了一下,果然发现有病毒,选择清除病毒,提示清除成功,我又试了下TM2009Beta2.0_chs.exe,发现完全可以安装,看来瑞星完全可以清除掉这个病毒,这下就好办了,清除被感染文件的病毒的重任就交到瑞星手里了。因为安全模式进不去,我只好在“开始”一>“运行”栏中输入“msconfig”调出系统配置实用程序,选择“诊断启动”,又把所有的开机启动项取消掉。重启电脑后尝试进入安全模式,发现还是进不去,也不管了,直接断网打开瑞星进行全盘杀毒。
杀了一遍又一遍,估计至少四遍吧,彻底没有病毒了,当然杀毒过程中也发现有些顽固的病毒清除不了,只好忍痛割爱把那些文件删除了,好在这类情况不是特别多,主要是被win32.kuku.a和win32.kuku.j感染的文件有一部分无法清除,只能删除文件。虽然全盘查杀非常耗时间,但是没办法,只能如此了,毕竟重装系统一样会被感染的,当然如果我们选择全盘格式化,那就没必要全盘杀毒了。在查杀了3-5遍确定不存在win32.kuku.gen、win32.kuku.a、win32.kuku.j这三种病毒后,就可以说系统已经干净了,病毒也算是清理完毕,这场战争也基本宣告胜利了。
此时,战后的处理还没有结束,我们在“开始”一> “运行”栏里输入“regedit’打开注册表,结果依然是“注册表被管理用禁用”按CTRL+ALT+DEL也一样是弹出任务管理器被禁用,不过既然已经没有病毒了,那么就一定是注册表在作怪。使用冰刃打开注册表并定位到“HKEY_CURRENT USER\Software\MicrosoftlWindows\CurrenEVersion\Policies\System”,把“DjsableTaskmgr”和“DisableRegidteryTools”中的DWORD值再一次修改为0,完成后重新在“开始”一>“运行”栏中输入“regedit”,点击确定后,久违的注册表终于出来了。再来看任务管理器,同样也出现了。现在终于是彻底的搞定了,花了一整天的时间,总算是把WIN32.KUKU.GEN病毒清除出了我的电脑。
最后我又在“开始”一>“运行”栏中输入“msconfig”调出系统配置实用程序,把启动方式选择为正常启动。重启电脑后,就像什么事情都没有发生一样,电脑终于恢复自由了!