前一段时间我们曾经为一个名“万能搜索”的流氓软件头痛不已,网上关于这个恶意软件的清理方法很多,但许多都对其行为做了分析。就是会在什么目录产生什么文件等等。
我今天不想讲这个,这个软件之所以让人头痛,是因为它采用了驱动保护技术,就是你删除它所产生的文件,它又会自动生成。这样我们退一步,站到编程员的角度分析,如果他发现他的文件不存在,他就会在程序里指定一个目录来再产生他的文件,(就拿“万能搜索”来说,就会在%systemroot%/system32/drivers下产生front.sys与roreg.sys两个驱动;同时在x:/pro~1/com~/下产生一个RGGZS文件夹)。所以解决办法很简单:按F8进入安全模式,在安全模式下common file可以改名,修改之,之后进去删除文件夹RGGZS,发现什么了?病毒不能回来了,此时它就乖乖的呆在垃圾箱了,还等什么?删除啊!~最后再把common files这个文件名改回来就是.(删除驱动文件思想同之),
其实说到这里我们发现手动清除病毒时好好分析是很必要的,要了解恶意软件的行为。程序是百变的,但思想是永恒的。说不定我写完这个文章作者就已经更新程序了,就是发现我们改变了文件名,他就在别的地方来了createfiles呵呵。