一次与恶意代码决战的经历.doc

一次与恶意代码决战的经历 资环院地信4班 丁涵怡 学号：200731130155 今年暑假的时候在家里闲着看奥运会，经常浏览一些国外的网站看他们的报道，由于平时操作电脑只求方便，没有足够的病毒防范意识，某天终于发现被恶意软件缠上了。该软件名为Antivirus XP　2008,它将自己伪装成杀毒软件，自动安装，每隔一段时间自行运行，每次的运行结果都是“Antivirus XP 2008 has found n(n=20000+) threats.Is it reasonable to proceed with removal?” 当时第一感觉被雷到了，虽然电脑里面有很多病毒，但平时运行还可以，不至于就成毒霸了吧。于是想到有人说过一般自行安装的软件都是恶意的，应该是中了恶意代码。果然，一个询问购买杀毒软件的窗口马上蹦出来了。意识到中毒以后，接下来就开始了持续一周的漫长的极其痛苦的杀毒工作。 最初的想法是卸载掉就可以了，回到桌面的时候发现已经蓝屏了（如下图） 桌面中央是“Warning!Spyware detected your computer install an antivirus or spyware remover to clean your computer.” 卸载掉桌面的程序以后，发现并没有真正被卸掉，桌面依然是蓝色的，电脑运行也很慢，只是右下角那个图标没有了。于是开始用瑞星和360杀毒，什么也没找出来。接下来进入安全模式删除，也卸不了。查看系统进程也没有异常情况。 于是开始在网上找相关的信息，中了这个的人还真是不少，都在想办法卸载。网上提到删除注册表某位置和打开Windows文件夹删除上面的这张蓝色桌面图和其他一些文件，可是没有找到对应的。终于认识到严重性了，这个软件有可能一直在变换手法，非常顽固。而且发现系统运行速度非常慢，打开新浪、凤凰之类的网页都要几分钟，而且网页显示也不正常；反应很慢，经常要用任务管理器来关闭。而且在接下来几天中发现，只要有没响应的任务用Windows任务管理起来关闭，就无法关机，导致我在一个星期内强行关了很多次。网上说的那些System Repair Engineer和冰刃、streng都下载了，检查起来还是与网上报告不一致。后来决定还是试一下安天里面说的以下注册表修改内容： HKEY_CURRENT_USER\Control Panel\Desktop\OriginalWallpaper　 　 新: 字符串: C:\WINDOWS\system32\phcrm3j0e37v.bmp　 　 旧: 字符串: HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE　 　 新: 字符串: C:\WINDOWS\system32\blphcrm3j0e37v.scr　 　 旧: 字符串: C:\WINDOWS\System32\logon.scr　 　 描述：替换当前桌面屏幕保护程序为病毒指定的屏幕保护HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper　 　 新: 字符串: C:\WINDOWS\system32\phcrm3j0e37v.bmp　 　 旧: 字符串: C:\WINDOWS\web\wallpaper\Bliss.bmp　 　 描述：替换当前桌面背景为病毒指定的背景HKEY_CURRENT_USER\Control Panel\Desktop\WallpaperStyle　 　 新: 字符串: 0　 　 旧: 字符串: 2 重新启动的时候发现关机的时候蓝色的屏幕赫然变成了我之前的已经久别了的桌面，心里十分激动。于是下了安天防线2008，这个软件确实有它厉害的地方，找出很多有问题的东西删了，觉得电脑也变快了，也不会不能关机了。但是这个软件会在C盘自动生成三个删不掉的免疫文件，也挺麻烦的。不过当时可高兴了，终于摆脱掉了。后来瞅着安天防线这个软件确实太嚣张，内存也占得多，检查起来很繁复，就卸了。但是有两个免疫文件：Desktop. Ini和folder. htt怎么也删不掉了，现在还留在C盘里，这是后话了。但这还不是噩梦的终点，当我继续上凤凰、央视的网站看奥运新闻的时候心里又咯噔一下，那些网页都往左边靠。正常的时候应该是在正中间的，这下好了，右边还是留了大块空白。再上几个论坛，字体都变大了点，而且重影。于是又傻眼了，革命尚未成功，同志仍需努力啊。此时国内的论坛都逛得差不多了，实在没有办法，就直接在Google上面搜索有关英文网站，看国外的人怎么删。浏览了很多论坛，也看了不少youtube的有关视频，后来终