前兩天在家上網,5自學網,我發現突然出現一個問題:其實開的窗口並不多,但是點擊鏈接打開新網頁的時候,機器很慢,有死機的征兆,鼠標雖然能動,但是無法點擊任何圖標,也無法關閉窗口。我很奇怪,因為我的電腦雖然老點兒,但是好歹也是奔四1.6GHz 256M DDR內存的機器,怎麼上網會出現這種情況呢? 我心裡一沉,看來估計是中毒了。由於是WinXP的操作系統,所以我按住Alt Ctrl Del三個鍵,調出了任務管理器。在進程欄裡面,我看到了兩個可疑的進程,它們的映像名稱分別是mshta.exe和ftp.exe,我一看後面的用戶名寫著zhizhizhai,這是我取的管理員的名字。這麼說來,雖然我沒有打開過這兩個應用程序,但是很可能這就是病毒發作的表現。我嘗試著結束這兩個進程,但是都沒有反應,它們還是擺在那裡一動都不動。我心裡更加緊張了,看來遇到難纏的病毒了。我點了任務管理器的注銷和重啟,但是也都沒有任何反應,看了是什麼都做不了了,我絕望地按了電腦機箱的reset鍵,手動重啟了。 重啟以後,5自學網,好像沒事了。我用帶最新病毒庫的金山毒霸6查殺病毒,沒有發現任何結果。我想,可能沒什麼東西吧,這檔子事兒也就擱下來沒管了。 今天,上網上著上著突然又發現了同樣的問題。我打開任務管理器一看,果然又是那兩個進程。以我的經驗和那天查毒的結果看來,這是個新病毒。於是,我只有再一次重啟。重啟後,我打開百度搜索,分別輸入mshta.exe和ftp.exe進行搜索,看了很多網上的文章以後我發現自己是長知識了,因為這兩個exe文件是地地道道的系統文件,也就是說,它們絕非病毒,但是它們非常容易被病毒操縱。那麼是誰在調用它們,在幕後操縱呢?我還是沒有找到答案。就在我正看某一個網頁的時候,發現鼠標又不能點擊窗口了,機器又呈現出死機的狀態。唉,又來了!我在心裡狠狠地罵了一句髒話,並發誓要消滅這個害人的家伙! 再次重啟,這次我可是直奔金山毒霸6的升級,費了好一會功夫把我的金山毒霸6升到了金山毒霸2005,這可是金山毒霸殺毒引擎的最新版本,而且病毒庫也是最新的了。我再點擊“全面殺毒”,結果15分鐘過去了,還是沒有發現任何結果。我這可真叫一個郁悶,明明電腦中了毒,結果殺毒軟件愣是沒發現。金山毒霸在我心目中一向非常好用的,這次它的無能破壞了它在我心中的良好印象。 怎麼辦?我想,從症狀入手,可以猜測到這個病毒具有木馬特征,因為每次出事的時候我都在上網(我上網要先打開虛擬撥號),而上網之前我用任務管理器看過了是沒有那兩個進程的,那麼何不用用金山毒霸木馬專殺工具?我打開木馬專殺,又完整地查了一遍,沒有發現木馬,但是發現了一個可疑文件。我心裡一陣狂喜,看來就是這小子了!根據木馬專殺工具的顯示,這個可疑文件位於C:\WINDOWS\system32目錄下,名字叫sysapis.dll,這應該是一個動態鏈接庫文件吧。我打開system32目錄,沒有找到,看來是隱藏了,真狡猾。我點“工具”,再點“文件夾選項”,再點“查看”,選擇“顯示所有文件和文件夾”,還是沒有發現。可惡!我再去掉“隱藏受保護操作系統文件(推薦)”這一項前面的勾,點“確定”。這一次,哈哈,終於出來了。 我一看它的屬性,創建時間是2005年7月18日上午10:02,正是兩天前出事的那個時間。我想,既然是系統文件,創建時間怎麼會是兩天前,我的系統可不是兩天前才裝的啊,再狡猾也露餡了吧。我按下Delete鍵,想“殺之而後快”,結果彈出提示“無法刪除,請確保磁盤未寫滿或未被寫保護”。唉,真是頑固的害人精! 好吧,那我就進“安全模式”,再來殺你!為了方便再次找到它,我右擊這家伙,在“屬性”裡去掉“隱藏”前面的勾,然後重啟電腦,接著按F8進入提示菜單裡,選擇“安全模式”進入XP。再次在windows\system32下面找到它,我刪,怎麼還是刪不掉!?我服了!連安全模式都不能刪除,那我只能拿出最後的絕招了——進DOS刪! 我重啟電腦,按Del鍵進入CMOS設置裡,把啟動順序改成軟驅第一啟動,然後插入以前用Win98制作好的DOS啟動盤,讓電腦進入DOS系統。我很快便找到了這個sysapis.dll文件,毫不猶豫用del sysapis.dll命令刪除之。這次,它沒得反抗了。我再用dir命令查找了一遍,真的沒了! 然後重啟電腦,把啟動順序改回來。重新進入XP系統,上網的狀況一切恢復正常。謝天謝地,總算把這個木馬消滅了。真不容易啊,為了殺這個混蛋,我重啟了多少遍電腦啊! 個人體會:殺掉這個木馬,對於電腦高手來講,可能不是一件難事,但是對於許多普通人或是菜鳥來講,就不簡單了。因為,這個木馬偽裝得非常巧妙,殺毒軟件根本無法檢測到它的病毒特征,就連木馬專殺工具都無法確認其真正的木馬身份。我裝了金山網镖作為防火牆,可是還是沒起到作用。到最後,還是得靠自己分析才找到它,並殺掉它。這次“剿匪記”的經歷可謂一波三折,但是最終我還是勝利了。