這幾天我上因特網速度突然很慢,同時在操作電腦的時候也發現系統速度很慢,但是我裝的殺毒軟件對於此病毒沒有任何報警。檢查計算機發現在系統進程表中有三四個msgfix.exe文件,而有時候甚至多達六七個msgfix.exe文件(見圖),CPU占用率經常高達80%以上。www.sq120.com推薦文章
用網絡監測軟件監測到該病毒計算機在攻擊其他計算機“135、139、445、44444”等幾個端口。我懷疑是病毒所導致,啟用殺毒軟件查殺該病毒,結果顯示“無病毒感染”,采用到安全模式下使用手工清除該病毒感染的文件msgfix.exe能清除,但是重啟計算機後不到3分鐘,系統又出現感染病毒狀況。
網上求助得啟發
我上網去求助,發現在各大論壇上是“哭喊聲一片”,到處都是求助如何查殺病毒感染文件Msgfix.exe帖子。有的說是波特變種F病毒感染引起的,有的說是Worm_Timer.d或Worm_sdbot.c病毒感染引起的等等。
有一個帖子對我的啟發很大:“病毒感染msgfix.exe文件,通過弱密碼進行傳播,修改注冊表實現自啟動,枚舉本地IP地址,試圖利用IPC弱口令將自己復制到別的主機上。”
我仔細分析了一下,全校共有350多台計算機。Tw.wINgwit.cOm根據我的調查,被感染的計算機只有30多台,進一步分析發現Windows XP和Windows 98操作系統都沒有被感染病毒,而Windows 2000操作系統中加用戶密碼的計算機也都沒有被感染病毒,只有那些沒有加用戶密碼的Windows2000操作系統的計算機被感染病毒。
為什麼Windows XP、Windows 98操作系統沒有加用戶密碼都沒有被感染病毒呢?我發現Windows XP操作系統默認是禁止IPC$空連接的,即:HKEY_LOCAL_MACHINE\Systen\CurrentControlSet \Control\Lsa下的“restrctanony mous”的鍵值是1,而Windows 98操作系統中根本就沒有IPC$空連接的項目。
雖然在Windows 2000操作系統注冊表中 “restrctanony mous”的鍵值是0,即開啟IPC$空連接,但是如果用戶設有密碼,病毒則無法通過IPC$空連接進行傳播。
找准關鍵,有的放矢
現在,我已經知道病毒的傳播原理,即利用IPC弱口令將自己復制到主機上,修改注冊表實現自啟動,枚舉本地IP地址。
下面就動手殺毒,首先斷開網線,重啟計算機,按F8鍵進入安全模式,在安全模式下,修改注冊表HKEY_LOCAL_MACHINE\Systen\CurrentControlSet\Control\Lsa下restrctanony mous的鍵值,把0改為1。同時清除注冊表中三個msgfix.exe文件,即:HKEY_LOCAL_MACHINE\Software \Microsoft \Windows\CurrentVersion\Run;HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下的msgfix.exe文件,然後清除在操作系統盤下的一個msgfix.exe文件,即:C:\WINNT\system32\msgfix.exe 。
然後用“開始→搜索→文件或文件夾搜索”看是否還有其他的msgfix.exe文件,如有則一律清除,最後退出安全模式重啟計算機。再次進入系統後,病毒沒有再次出現,系統中也沒有再發現msgfix.exe進程,殺毒成功。
金小林戰友為我提供了一個比較特殊的自己動手查殺未知病毒的方法。這個方法對於很多對於注冊表或者進程查看不熟悉的朋友來說,還是比較困難的。但是很多朋友可以學習金小林戰友解決問題的思路。
遇到未知病毒的襲擊,在殺毒軟件無法查殺的情況下,不慌亂。首先去收集病毒發生的症狀和一些出現的特殊程序代碼,然後通過網絡去求助高手。也許在很多時候,我們能夠通過高手的提示得到啟發,讓我們找到查殺病毒的關鍵。
From:http://tw.wingwit.com/Article/Network/201309/971.html