一位媒体朋友的笔记本感染了病毒,杀毒软件无法启动。开机时会弹出多个窗口,难以关闭,最终导致系统内存耗尽而死机,即使在安全模式下也是如此。没办法,她决定重装系统。但由于众所周知的原因,她只格式化了C盘。重装后,一旦访问其他分区,又出现了之前的中毒症状。这表明:第一,病毒可能通过自动播放传播;第二,病毒可能使用了映像劫持技术。
1、 将Icesword与Sreng主程序重命名后运行,会发现类似记事本的病毒程序已弹出近百个对话框,导致系统运行缓慢。此时,可在WinXP任务栏中选中这组窗口并关闭,以先释放部分系统资源。
2、 接着,双击U盘里的ProcessExplorer,立刻发现三个带有记事本图标的可疑进程。尝试结束其中一个,却看到刚终止的进程马上重新启动。显然,单纯杀死进程无法奏效。既然直接结束不行,就试试冻结它们。依次选中这三个进程,右键点击,在属性选项里选择暂停功能,将进程逐一挂起。这样一来,病毒不再弹出新窗口,后续处理就轻松多了。
3、 切换至冰刃,借助进程管理功能,依据病毒进程的程序路径与文件名,利用冰刃内置文件管理器定位相关文件,将文件复制备份到桌面后,右键单击,选择强制删除即可完成操作。
4、 然后,转到冰刃窗口里的注册表编辑器,定位到路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options。逐一查看子注册表键对应的程序名称,从中找出另一个病毒程序。这里需要特别说明的是,有部分网友建议仅保留Your Image File Name Here without a path这个子键,其余的都可以直接删除。但这种做法可能存在一定风险。更为稳妥的方式是逐个检查每个子键,确认其键值是否指向病毒程序的路径,只有在确定为病毒相关时,才删除该子键。这样可以避免误删正常程序的相关配置,确保系统稳定性和安全性。在操作过程中,请务必小心谨慎,以免对系统造成不必要的影响。
5、 要彻底清除该病毒,必须借助冰刃文件管理器强制删除相关程序。此病毒非常顽固,几乎所有的防护工具都被其劫持:包括各类杀毒软件、防火墙,系统自带的功能如注册表编辑器(regedit)、系统配置工具(msconfig)、命令提示符(cmd)和任务管理器,甚至第三方系统优化工具如Sreng、autoruns等也无法正常使用。
6、 修复注册表后,双击运行杀毒U盘中的毒霸程序。新版杀毒U盘新增了监控功能,当我在桌面点击备份的病毒文件时,监控立即清除病毒。随后打开资源管理器,浏览其他分区根目录,杀毒U盘又成功清除了隐藏在各分区的病毒程序。
7、 当手头没有冰刃或Process Explorer这类工具时,可以采取一种以其人之道,还治其人之身的方法来应对。例如,可以通过编写一个批处理脚本来修改注册表,将病毒程序加入到映像劫持的列表中。具体操作如下:
8、 创建一个批处理文件,内容示例如下:
9、 @echo off
10、 echo Windows Registry Editor Version 5.00>ssm.reg
11、 echo >>ssm.reg
12、 echo Debugger=syssafe.EXE >>ssm.reg
13、 如果系统中存在多个病毒程序,则需要为每个病毒程序分别添加一行对应的配置。
14、 接下来执行以下命令(可根据实际情况选择是否保留注释部分):
15、 rem regedit /s ssm.reg &del /q ssm.reg
16、 完成上述步骤后重启计算机。由于病毒程序被映像劫持功能阻止启动,因此它们将无法正常运行。这种方法虽然有些极端,但非常有效。
17、 为了进一步确保安全,可以将注册表编辑器程序(regedit.exe)重命名为其他名称以避免被病毒干扰。然后通过双击此伪装后的注册表编辑器,手动调整`HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options`项下的相关内容。
18、 更新并运行杀毒软件进行全面扫描和清理。
19、 对于普通用户而言,遇到这种对抗杀毒软件能力极强的病毒确实非常棘手。单纯依赖杀毒软件修复的可能性较低,而手工修复则需要一定的技术知识,对大多数用户来说难度较大。因此,在面对此类问题时,建议尽量寻求专业人士的帮助或参考官方支持文档逐步解决。
