最近,笔者在做计算机维护时发现有几台计算机中了一种不知名的病毒,感染这种病毒的症状如下:
1、 计算机系统时间被修改为2004年;
2、 系统无法显示隐藏的文件和文件夹,在“文件夹选项”设置显示隐藏的文件和文件夹后,再次打开“文件夹选项”,会发现又恢复到以前的设置,即“不显示隐藏的文件和文件夹”;
3、 杀毒软件无法正常启动和运行,部分系统程序和安全工具无法运行,如:msconfig.exe、regedit.exe、冰刃(icesword)、360安全卫士等;
4、 系统进程中会有tfidma.exe、severe.exe两个进程,在系统安全模式和正常模式下都会随系统启动,且强制关闭后,这两个进程会马上启动;
5、 系统的hosts文件被修改,造成部分网站域名被劫持,当访问这些网站时,网站无法打开;
6、 在系统分区的根目录下有oso.exe和autorun.inf两个隐藏文件,当我们双击系统分区的盘符时,系统会执行autorun.inf文件中的命令,运行oso.exe文件。
一、清除病毒方法
尽管我们可以将msconfig.exe等程序改名或者将程序的扩展名修改成scr、com后运行,但系统进程中的病毒程序tfidam.exe和severe.exe还是会将我们运行msconfig.exe等程序所修改的系统设置恢复到以前的状态,难道就没有办法对付这种病毒了吗?答案当然是否定的,病毒的制造者疏忽了一点,那就是我们可以利用组策略使tfidam.exe和severe.exe在开机时无法运行,然后将其删除。单击“开始”—“运行”,在“运行”对话框“打开”栏中输入“gpedit.msc”后,单击“确定”按钮。在出现的组策略窗口中,依次展开“用户配置”、“管理模板”、“系统”,此时在右侧的窗口中可以看到一个“不要运行指定的Windows应用程序”选项,双击该项,打开相应的窗口,如图1所示。
图1
依次选择“已启用”、“显示”、“添加”,分别将tfidam.exe和severe.exe加入其中。然后重新启动计算机,进入系统后,我们会发现进程中已经没有了tfidam.exe和severe.exe两个进程,并且msconfig等程序也可以运行了。这个方法对大部分木马病毒都很有效,大家以后如果遇到比较顽固的病毒时,可以试试这个方法。因为在正常情况下,通过系统的浏览文件功能无法查看到tfidam.exe和severe.exe,所以我们运行冰刃(icesword),使用它的文件浏览功能,将c:\windows\system32目录下的tfidam.exe和severe.exe删除掉。
二、 恢复系统设置
1、 将系统时间修改为正常时间;
2、 打开注册表修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL下的checkedvalue值为1,系统恢复显示所有文件和文件夹功能;
3、 使用“AUTO病毒专杀”这款软件,将系统分区的根目录下的oso.exe和autorun.inf清除掉;
4、 使用360安全卫士自动修复被修改的hosts文件。
三、 防范措施
为避免以后再次感染severe.exe或其他病毒,笔者建议:
1、安装杀毒软件以及软件防火墙,经常升级杀毒软件,更新病毒代码库,定期对系统进行全面杀毒;
2、经常升级系统及应用软件补丁;
3、不要轻易打开来历不明的可疑的文件,不轻易打开邮箱中的附件,在打开前先使用杀毒软件扫描一下。不浏览不良网站,养成良好的上网习惯;
4、关闭不需要的系统服务;
5、关闭Guest帐号或者给其起一个足够复杂的密码,并为其他用户也起上复杂的密码;
6、禁止所有用户对c:\windows\system32下的cmd.exe,net.exe和net1.exe这三个文件访问,在我们需要访问这些文件的时候再加上访问用户。