一次亲手清除病毒的过程

今天一打开电脑，要进D盘的工程，但发现双击后，D盘没有反应？真是奇怪了！再双击一次，还是没有反应！难道鼠标有问题了？右单击试试。右单击后，在菜单中发现，默认的打开方式变成了“自动播放”！真是见鬼了！下意识的感觉，可能是中病毒了！

 

一般做过安装盘的人都只到，只要在盘的根目录下放置一个AUTORUN.INF的文件，就可以实现了。右单击打开D盘后，发现目录下并没有这个文件！肯定是隐藏了。于是，进入了CMD的控制台程序，在提示符下，

D:回车，转到D盘，

然后输入attrib，回车。

此时发现几个带SH的文件(其中有一个名为command.com)，其中有个AUTORUN.INF的文件，属性为SHR，真够狠的！然后再对这个文件处理：

attrib d:/autorun.inf -s -h -r，回车。此时可以看到这个文件了！

双击打开，一看，内容如下：

[autorun]
open=command.exe

 

那么肯定当你双击D盘时，已经将病毒程序command.exe运行起来了！

双击一下D盘，查看任务管理器，奇怪，竟然没有？关闭任务管理器，双击一下D盘，使用自己编写的枚举进程的工具，一看，的确有！奇怪！为什么使用任务管理器确看不到？可能的解释是程序进行了进程的枚举处理，如果发现了有任务管理器名称的进程后，关闭自己！

 

那么关闭了自己后，再怎么启动呢？唯一的解释就是有个宿主程序，可以在一定条件下启动这个病毒程序(后面的发现可以证明)。

 

好，开始杀毒！

 

在控制台的命令提示符下，输入：

attrib d:/command.com -s -h -r

此时，病毒程序便出现在你的面前！

 

然后，del d:/command.com ,回车

del d:/autorun.inf ,回车。

 

OK！

 

再右单击D盘时，发现菜单里还是默认打开“自动播放”！OH,MY GOD!

 

继而在CMD控制台下，转到D盘，接着输入attrib,回车，

发现autorun.inf又存在了！意识到，可能病毒程序还有一个宿主程序，可是宿主程序在那里呢？D盘下还有一个文件，名字叫做pagefile.pif，这是个什么文件？查看日期，是昨天的日期！有可能它就是那个宿主程序！

 

先别急着删除他，我发现同样E盘的默认打开也是“自动播放”！是不是跟D盘的处理方式一样呢？

 

在控制台程序的提示符下，转到E盘，然后输入attrib，一看

同样有三个文件：autorun.inf，pagefile.pif，command.com，去掉autorun.inf的属性，打开此文件后发现，内容变成了：

 

[autorun]
open=pagefile.pif

 

后来经过试验得知，这个所谓的宿主文件，其实仅仅是回写D盘autorun.inf的内容，即：

[autorun]
open=command.exe

然后设置相应的属性，而不再滋生command.exe的文件，所以称pagefile.pif为宿主文件有些牵强，称为“宿主助手”好一点，因为它是为你的程序运行创造条件（就是当你双击了D盘时，借助“宿主助手”启动病毒程序）。病毒作者真是“用心良苦”！

 

懒得再一个一个的手工删除了，于是，写了一个批处理文件一块执行了：

内容如下：

 

@echo on
del /a:shr  D:/autorun.inf
del /a:sh   D:/command.exe
del D:/pagefile.pif

del /a:sh   e:/autorun.inf
del /a:sh    e:/command.exe
del e:/pagefile.pif

 

del /a:sh    f:/autorun.inf
del /a:sh     f:/command.exe
del f:/pagefile.pif
pause

 

这时，经验告诉我，有些事情还没有做！病毒在注册表里也可能做过手脚！

 

此时，启动regedit，查找，command.com

果然知道了两处，竟然时一串GUID值的键值！其下有shell，然后，open，然后，command，内容是D:/command.com,于是删除之！

 

一共两项！

 

注意，在进行注册表查找时，一定要看清除了再删除，以免进行了错误的删除操作！

 

执行完毕那个bat文件，重新启动机器，ANOTHER DAY ANOTHER DOLLAR!