害人不浅的伪病毒

奇人 
2001年 45期

#1　　“蓝色妖姬” 案例分析
　　　　邮件题目是:“送给你的情人节礼物”。打开后有一个附件，名字为:“dear，吻你!”，双击附件后，立刻弹出一个窗口，标题栏上写的是:“千年老妖”，下面写着一句话:“亲爱的，送给你一个关机之吻”，旁边还有一个倒计时器，进行60秒倒计时。当倒计时结束后计算机立刻重新启动，等蓝天白云过后，又出现了那个窗口，还是从60开始倒计时，按下“Ctrl+Alt+Del”三键想选择关闭这个窗口时，计算机立刻死机。再次开机，一阵狂敲“F8”，选择安全模式启动，但不幸的是，“千年老妖”依然和我见面了，无法进入桌面。
　　　　怎么办呢？对了，我安装了Win98和Win2000双操作系统，能不能从Win2000启动，然后再删掉那个病毒程序呢？立刻重新启动计算机选择Win2000，随着Win2000登录画面的闪过，顺利进入到了Win2000的桌面。立刻查找“dear，吻你”，终于，在C:\Windows下被我找到并彻底删除了它。
　　　　然后，又查找注册表，删除了所有含有“dear，吻你”的字符串，按“F5”键刷新，重启计算机，选择Win98，结果却大失所望。这回虽然没有见到千年老妖，但出现了另一个对话框:装载C:\Windows\Temporary Internet files\content.IE5\CBAPE29F\“dear，吻你”出错，必须重新安装“Windows”，单击“确定”按钮后，计算机自动关机。
　　　　此时，似乎只有重装系统这一条路可走了，冷静下来后仔细分析，Boot.ini、System.ini、Win.ini、Autoexec.bat几个文件便成了我怀疑的重点对象……
　　#2　　解决方法
　　　　方法一:
　　　　切换到MS-DOS下，在Windows下面找到System.ini文件，找到那个XX之吻的文件名（病毒文件名），把那一条删除就行了。这样，你进入Windows系统就不会加载那个文件，然后在Windows下找到那个文件删了就行了。
　　　　方法二:
　　　　修改C:\Windows\system.ini文件。把[boot]段的shell=病毒文件名.exe（当然前面还可能有病毒文件名的路径）改成shell=C:\Windows\explorer.exe。
　　　　方法三:
　　　　A盘启动，拷贝其他机器的“explorer.exe”覆盖“病毒文件名.exe”。
　　#1　　“Pretty Park”案例分析
　　　　英文“Pretty Park”是什么意思？原来是“美丽的公园”，打开后，发现是可执行文件，从此“Pretty Park历险记”就开始了。
　　　　系统开始有点不正常，后来就死机了。重启，应用程序就不能执行了。试着双击应用程序图标，屏幕弹出一个对话框“找不到用于打开应用程序的files32.vxd...”，又试着双击了几个图标，又出现同样的对话框，这一下我可害怕了。但慌乱之中，灵机一动，是不是病毒程序把系统的文件移位或删除了呢？于是在“查找”的对话框中键入“files32.vxd”，然后进行查找，没找到。
　　　　不是移位，那是不是文件被删除了？到其他的机子上对文件进行查找，但仍然找不到。既然Files32.vxd根本不存在，那是不是打开方式被修改了？带着问题，我对比了两台机器上应用程序的打开方式，正常的一台是“可执行”，我的是“files32.vxd”。原来是这样，于是我单击“文件类型选项”里的“应用程序”项，想修改应用程序的打开方式，但系统禁止，没办法!
　　　　真是病毒害人啊!网上搜寻后，发现下面有解决的方法:在“运行”对话框中运行“regedit”……还没看完，我就迫不及待地单击“开始”→“运行”，键入“regedit”，满怀希望的单击“确定”按钮，讨厌的对话框又出来了，又是“找不到……”，哎呀，regedit也是（*.exe）应用程序我绝望了，准备重装系统。
　　　　还是不甘心。坐到计算机前又开始思索解决的方法，突然又想起*.reg的文件可以改变注册表，便试着按修改项编了一个注册文件（*.reg），双击，屏幕显示注册表修改成功。试着运行（*.exe）文件，可是这又是一个失败的尝试，该死的Pretty Park!
　　#2　　解决方法
　　　　①重新以软盘启动计算机，由A盘转到系统盘C。
　　　　②进入C:\Windows\command\目录。
　　　　③键入scanreg/restore。这时屏幕显示了5个备份文件（*.cab），分别是近5天来的注册表备份，从中选择上一次启动时的正确备份，回车，系统就自动恢复了注册表。重启后一切OK。
　　
　　 
 