我是个电脑初学者特别爱上网冲浪最害怕就是病毒啦!所以在电脑上装了瑞星杀毒3721助手。9月11日以前我在瑞星的保护下多次逃过劫杀,但11号在我浏览外文网站时随手点了个链接终于中毒啦!
一开始电脑连续弹出几个运行程序出错的对话框,我很轻松就给关掉了。然后又弹出个和拨号网络一样的对话框非让添电话区号我想关掉可是关不了。没办法我只好重起机没想到不一会儿又出来上次那个对话框。但不影响我上网也就没理会。玩到快下机时觉得这个对话框挺占地方。心想反正也关不了索性就添上区号看看下步它还要怎样?添完之后点确定对话框就没啦!我也就下机了。
等我再次上机时不一会儿就听到机箱里发出几声清脆的响声,我顿时有种不祥的感觉。果不其然主页已被修改为http://www.coolsearch.biz/同时在地址栏下面又加了个成人搜索栏。我赶快用瑞星杀没有作用,又用3721助手进行IE修复。可不一会儿主页就又被修改了。又下载瑞星注册表修复,结果是你刚修好,不一会就听机箱几声响就又恢复原样。没办法时正好看到{风之咏者}版主的文章《反浏览器劫持论坛发帖必读》后茅塞顿开。
赶快先下载COOL专杀工具cwshredder.zip。试试果然不错那个搜索栏没啦!但也发现cwshredder里面有个CWS.YEXE后面显示的不是NOT PRESENT.通过金山快译翻译是《远离的》。其它的翻译后都是《不赠品》。但想到既然已经修好啦就无所谓了。
好景不长在我重起机后主页还是被改啦。看来得这回得用hijackthis扫描了!并同时把LOG发论坛上了。{电脑+足球}回了贴可是那个叫进程管理软件的把我难住啦!在华军上查不到。没办法我就又回头好好看看回贴.发现叫我关闭的两个程序
C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
C:\WINDOWS\SYSTEM\SERVICES\LOSVSE.EXE
心想何不去看看等我打开C:\WINDOWS\SYSTEM\SERVICES文件夹一看里面有6个文件,但怎么才能知道哪个是病毒呢?正发愁时突然想起来看看属性几时创建和修改的不就行啦!
当我一一打开属性发现都是9月11日创建和修改的于是全部删除.但LOSVSE.EXE和MSXMIDI.EXE提示正被系统使用无法关闭。遂用热起动键将其关闭,再把IE里的临时文件夹点上脱机全删除。又用cwshredder重新杀了一遍果然连CWS。YEXE后面显示的也是NOT PRESENT。我这才算松口气不过我留了个心眼万一杀不净呢。又用hijackthis扫描了一遍并存档。再次重起机主页没有被修改。
但我打开热起动键查看系统进程时,还是发现MSXMIDI.EXE还在运行,难道没删除掉吗?再次打开C:\WINDOWS\SYSTEM\SERVICES文件夹发现上次明明删除干净的文件夹里赫然放着MSXMIDI.EXE。再用cwshredder杀又出现了CWS。YEXE后面显示的不是NOT PRESENT情况再用hijackthis扫描了一遍和上次的存档比较发现了四个新的文件。其中有两个我认出是病毒,一个是X打头的,另一个是SEX。可以肯定这四个文件就是病毒。这时我才理解安全模式的用意。
可是我的机器由于MSXMIDI.EXE的阻挠,按F8跟本进不了安全模式,我只好遍查论坛总算找到点开始--运行——输入“msconfig”回车进入系统管理器点常规——高级——启用“启动”菜单确定。然后重新启动会出现相关选项进入安全模式又重复了一遍cwshredder杀毒。瑞星注册表修复再用hijackthis把那四个文件点上修复。最后把IE里的临时文件夹点上脱机全删除。这回再开机系统已提示找不到MSXMIDI.EXE。然后我又在WIN。INI里删除对它的引用这场战斗才算结束。
通过以上我总结出几点望高手们斧正
1。不要有侥幸心理既然中毒啦,就直接进安全模式杀省得再费二遍事。
2。初学者可以查文件属性中毒那天创建和修改的文件肯定都是病毒。
3。对不会用hijackthis修复的。可以用cwshredder和别的杀毒软件杀毒前和杀毒后各存档一份以便对照看看是不是一样?如不一样可以自己动手修复不一样的地方学习学习。如一样再发到论坛上给高手也不迟嘛!
这里鸣谢{电脑加足球}和搜狐论坛的{雨諾}还要谢谢{风之咏者}虽然我对他不回我的贴感到不满,但我还是从他的文章里学到了不少知识!
该帖于【2004-10-13 19:44:31】被【197418】修改
--------------------
一个有情有义的人活在这个无情无义的世界是多么痛苦的事啊!
该帖于【2004-10-13 19:48:37】被【197418】修改
该帖于【2004-10-13 19:56:45】被【197418】修改
