論壇求助人氣貼:我的電腦最近感染上了一個名為Trojan.Small.dxt的病毒,我用《北信源》殺毒軟件進行查殺,雖然殺毒軟件提示成功清除病毒,但是經常會復發,即使我重裝了操作系統,病毒仍然存在。請問《電腦報》的安全專家,這是一種什麼病毒?病毒清除後為什麼會死灰復燃?為什麼重裝系統也沒有用?
安全專家:根據讀者提供的信息,該病毒全名為:Trojan-Downloader.win32.small.dxt,是一種具有下載性質的木馬病毒。該病毒主要通過閃存等可移動存儲設備進行傳播,並且會利用IE漏洞,將木馬病毒下載到用戶的計算機中運行。病毒的目的是盜取用戶的游戲賬戶。
讀者提到了該病毒被查殺後會死灰復燃,其實這個現象已經十分普遍了,因為這是目前流行的病毒主要采用的自我保護方法,通過Autorun.inf文件讓系統的“自動播放”功能來觸發病毒再次運行。
讀者在使用北信源殺毒軟件的時候已經將系統中的病毒清除了,只不過還存在一定的病毒殘留。這些殘留包括一個Autorun.inf文件和一個病毒文件,這兩個文件分別位於硬盤各個分區的根目錄中。
用殺毒軟件殺完毒後,此時系統中是沒有病毒的,但是當我們雙擊分區盤符的時候,Autorun.inf就會發揮其作用,從而再一次運行病毒文件。那麼如何判斷分區中是否有Autorun.inf文件呢?我們可以用右鍵單擊分區盤符,如果右鍵菜單中多出了一個“Auto”的選項。TW.WInGwiT.cOM就可以證明分區中存在Autorun.inf文件。
解決方案
知道病毒為什麼清除不干淨的原因後,我們再來修復被破壞的系統設置,從而避免再一次運行病毒。我們要做的就是清除殘留的病毒文件。這裡要注意,不要雙擊盤符進入分區,也不要通過右鍵進入,因為這兩種情況都可能再次運行病毒。下面我們可用安全工具IceSword來進行病毒文件的清除。
首先,運行IceSword,切換到“文件”功能,單擊其中的“可移動磁盤C”,在軟件右側的內容欄中會出現C盤根目錄下的所有文件,找到其中的Autorun.inf和病毒文件setup.exe(圖1),右鍵選中後將它們刪除。用同樣的方法清除其他分區中的病毒殘留文件,至此病毒文件就被我們清除完畢了。
然後,我們來修復被破壞的系統。目標是恢復被病毒破壞的“文件夾選項”,單擊“開始→運行”,輸入“regedit”運行“注冊表編輯器”,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVer sion\ Explorer\Advanced\ Folder\Hidden\SHOWALL]項,將鍵值修改為“CheckedValue”=dword:000000 01”,關閉“注冊表編輯器”後,“顯示所有文件和文件夾”就可以正常使用了(圖2)。
“善後”工作到這裡就結束了。讀者的最後一個問題也有了答案,因為我們重裝系統,一般都是格式化C盤,而不是全盤格式化,因此除了C盤以外,其他盤中的病毒殘留文件還是存在的,當你雙擊除C盤以外的分區盤符時,病毒自然就再一次運行了。所以當你確實要重裝系統來解決病毒問題時,要將其他分區中的病毒殘留文件清除干淨。
編輯觀點:關閉系統“自動播放”防閃存病毒
文章介紹了目前比較流行的閃存病毒的特征,利用Autorun.inf文件來保護自身不被徹底刪除,這讓重裝系統就能解決一切病毒的時代一去不復返了。Autorun.inf文件利用的是系統的“自動播放”功能(病毒特別喜歡利用該功能),因此我們可以通過“組策略”將它關閉,這樣病毒就會失去了一條重要的傳播途徑。
關閉方法如下:執行“開始→運行”命令,在彈出的對話框中輸入“gpedit.msc”命令,在彈出的“組策略”窗口中依次選擇“計算機配置→管理模板→系統”,雙擊“關閉自動播放”,在彈出窗口中的“設置”選項卡中選擇“已啟用”,然後單擊“確定”按鈕即可(圖3)。
From:http://tw.wingwit.com/Article/Network/201309/417.html