也谈NTFS数据流文件的删除
前些日子,在剑盟社区看到一个讨论“NTFS数据流病毒查杀”的帖子(http://bbs.2dai.com/viewthread.php?tid=595661&extra=page%3D1)。
帖子中,作者提到已经查到异常注册表项:
HKLM\SYSTEM\ControlSet001\Services\ICF\ImagePath: "C:\WINDOWS\system32\svchost.exe:exe.exe"
由此,我们知道:这个数据流病毒exe.exe附加到了系统程序C:\WINDOWS\system32\svchost.exe上。
作者给出的删除办法是:下载一个工具NTFSDataTest,检测C:\WINDOWS\system32\目录下的所有文件。此后找到C:\WINDOWS\system32\svchost.exe:exe.exe
,最后,用NTFSDataTest删除附加到C:\WINDOWS\system32\svchost.exe上的exe.exe。
其实,如果你手头没有(或一时找不到)NTFSDataTest一类工具,也有办法干掉C:\WINDOWS\system32\svchost.exe:exe.exe。
前提是:
你的硬盘除了系统分区(NTFS格式)以外,还有一个FAT32格式的非系统分区(如:FAT32格式的D分区)。
操作也很简单:
找到已“鬼附身”的那个C:\WINDOWS\system32\svchost.exe,拖拽(复制/粘贴也行)到FAT32格式的D分区的任何一个目录下(根目录下也行)。
然后,再将刚才拖拽到D分区的那个svchost.exe拖拽回C:\WINDOWS\system32\目录下。这样,原先那个“鬼附身”的svchost.exe就干净了。
原理:FAT32格式不支持数据流。带数据流的文件进入FAT32格式分区时,数据流文件自动丢失。
以下三个附图是去除卡巴斯基留下的数据流文件的例子(处理被病毒“附身”的文件与此相同)。由于文件夹中带KAVICHS数据流文件的文件很多,所以以整个文件夹为单位进行操作。
图1:N多文件被卡巴斯基附加了数据流文件。若用NTFSDataTest,需要一一删除————很辛苦。
