电脑蓝屏的原因之一
我是一个超级电影迷,最喜欢在网上看电影,可是最近家中的电脑莫名其妙开始闹脾气,玩起了蓝屏、死机。开始以为是正常的系统蓝屏,可是重启后没过多久情况依旧,不仅如此,过了几天后,我的电脑就几乎半瘫了,杀毒软件和安全软件都不能使用了。我怀疑是病毒造成的,可我不清楚这是什么病毒,这种病毒是怎么进入到我电脑的?
医生:根据你的描述,这应该是近段时间比较流行的“Win32.Troj.DelfT.zy.92215”病毒,又名“蓝屏使者92215”,这种病毒和“AV终结者”、“下载者”等病毒类似,通过恶意网站网页传播感染,只要你浏览了带病毒的网页,它会在用户不知晓的情况下连接http://j**st.y******7.com,在指定的网址下载大量各类其他病毒及木马,你的电脑经常突然蓝屏、死机,应该就是它的“杰作”了。
小提示:在“蓝屏使者”下载的木马中,大部分具备盗号和系统破坏等功能,因此,如果此病毒进入电脑系统,它将带来对系统的严重破坏以及造成用户虚拟财产的损失。
其实这个病毒主要利用你们这些网虫喜欢看大片的心理,在最热闹的电影下载页面利用页面漏洞、跨站攻击、后台管理员破解、数据库路径截获等手段来攻陷网络,并最终达到在其目标中写入木马的效果。在你们平时浏览或下载时无形中在后台直接下载编写好的木马病毒,当病毒被挟带在影视影片中运行时,则自动激活本身原体,导致你们的电脑出现蓝屏、死机。wWw.iTCOMpUTeR.com.Cn
蓝屏是怎么造成的
病人:谢谢医生的解答,我现在知道引起我电脑蓝屏的罪魁祸首是“蓝屏使者”这款病毒了,但是我还想知道它是怎么造成我的电脑蓝屏的?
医生:“蓝屏使者”运行过程较熊猫烧香、AV终结者来说要简单。病毒在运行后首先会在用户电脑中的系统目录“program files\Common Files\Microsoft Shared\MSINFO\”目录下释放临时备份文件System6.tmp及副本System36.jup(图1)。
当以上两个文件生成后,就会再重新释放一个System6.ins文件添加到系统目录ProgramFiles\Internet Explorer\shellexecute hooks\下,而注册表的启动项ShellExecuteHooks中就会显示相对应的键值,蓝屏病毒就是利用此项让病毒自启动的(图2)。
当完成上述释放后,病毒会修改注册表将自身添加到自动启动项目中,然后将它的DLL注入到explorer.exe进程中,实现跟随系统启动的目的。这样当我们这些中毒的网虫每次启动计算机时,该病毒程序就会自动启动。
该病毒本身对用户的操作系统破坏力不大,但中招的计算机却会在用户不知情的情况下下载各种病毒及木马感染用户操作系统,这时系统就会经常蓝屏、死机,除此之外很多木马还趁机盗取用户的游戏账号、网银密码、股市信息及个人隐私,其危害不容小视,也不可不防。
彻底清除“蓝屏使者”
病人:“蓝屏使者”实在太让人头痛了,尤其像我这样喜欢在网上看电影的网虫来说,一个接一个的病毒让我怕到一般的网页都不敢打开了,现在又来了个能把电脑玩死的“蓝屏使者”,那我以后不是连看电影的爱好都要被抹杀了呀!要怎样才能清除“蓝屏使者”病毒呢?
医生:“蓝屏使者”清除的方法比较简单,升级当前计算机中所用的杀毒软件到最新病毒库进行全面查杀即可,也可以利用手工的方式进行查杀。操作步骤如下:
第一步:进入系统目录C:\program files\Common Files\Microsoft Shared\MSINFO\文件夹下,删除System6.tmp及System36.jup两个文件。
第二步:进入系统目录C:\ProgramFiles\Internet Explorer\shellexecutehooks\下,找到System6.ins文件并将它删除。
第三步:利用Procexp软件将系统中陌生(以及除系统本身外)的进程结束掉(还可以利用其他安全软件)(图3)。
小提示:Explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:\Windows”目录,除此之外则为病毒。
第三步:最后用《360安全卫士》配合Ewido来清除系统中剩余下来的病毒以及木马就可以了。
小提示:用户还需要警惕“恐怖鸡感染号”(Win32.LwyMum.h.147456)。这是一个感染型病毒,该病毒运行后会自动删除病毒源文件,下载海量病毒文件,在各盘生成AUTO病毒。
总结
现在的攻击手段都由单一化转为多元化,攻击者利用网站挂”病毒+电影激活病毒+病毒后续下载的方式”进行攻击,单靠杀毒软件已经不能满足安全的需要,所以平时要常备一些安全小工具,并了解及掌握最新病毒的清除方法。
电脑蓝屏代码的意义
读者 廖兵:我使用的XP系统最近经常出现蓝屏,每次只有重启恢复,一直很想知道蓝屏到底提示的是什么问题,到底电脑蓝屏代码的意义?
董师傅:蓝屏一直是困扰Windows系统用户的问题。目前有两种方式可以知道蓝屏代码提示到底是什么意思,具体内容请看下面的文章。
对于使用Windows操作系统的用户来说,最讨厌的是什么?相信绝大部分都会异口同声地说:蓝屏!的确如此,即使是Windows Vista,有时也会出现尴尬的蓝屏问题。
在出现蓝屏的情况时,很多朋友首先想到的就是重启系统,这对于防止再次出现蓝屏,并没有什么作用。其实,我们可以对某次出现的蓝屏现象进行相应的分析,这样就可以做到心中有数了。
方法一:查阅微软知识库
记下出现蓝屏故障屏幕上显示的代码,例如“0x0000006F”,打开浏览器访问http://www.microsoft.com/china/suppout,这是微软帮助和支持的中文主页,在页面顶端的搜索框中输入以上错误代码,按下回车键,稍后即可搜索出与这个错误代码有关的文章,如图1所示,很快就可以找到产生问题的原因,虽然是机器翻译的结果(如图1),但至少可以从中获得解决错误的思路,这样就不用走弯路了。
方法二:分析.dmp转存文件
从Windows 2000开始,以及后续发布的Windows XP、Windows Server 2003、Windows Vista,都允许将调试信息写入内存转储文件,我们可以通过对这个文件的分析判断蓝屏故障的产生原因,不过对于普通用户来说,分析这个文件似乎是一个比较困难的任务。
这里需要用到一个名为Debugging Tools的分析工具,可以从微软官方下载,页面地址为http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx。安装后运行程序,按下“Ctrl+D”组合键,或者依次选择“File→Open Crash Dump”,从系统目录的“Minidump”文件夹下打开最近日期的.dmp文件,Debugging Tools会自动分析这个文件,并给出一份相应的报告,如图2所示,从最后一行中可以发现产生错误的罪魁祸首,原来是npkcusb.sys这个文件,用此为关键字到Google或百度网站进行搜索就可以了。
电脑自动倒计时关机
读者来信:这两天我的系统不知道是什么原因,常常会不定时地弹出一个Limit计时器,倒数15分钟就自动关机。其间任务管理器和注册表编辑器都打不开,杀毒软件也查不出是什么病毒。冲击波、震荡波的专杀工具我也用了,同样没有解决问题。
最后没有办法了,只得重装操作系统。可是每次重装后又出现倒计时,请问《电脑报》的安全专家,是什么原因造成15分钟倒计时关机的?为什么重装系统后又很快出现了?
安全专家:从读者来信中我们知道,他碰到了15分钟倒计时关机的情况,这是因为操作系统受到了“五月莉娜”计算机病毒的侵害。“五月莉娜”病毒因为很多人对它都不甚了解,网上也只有很少的介绍,所以用户很难找到它的清除方法,更不用说有什么专杀工具可以使用。
一旦中了“五月莉娜”病毒,系统目录中的一些重要文件就会被替换,比如任务管理器、注册表管理器、系统配置程序,以及命令提示符等等。其实该病毒还是属于现在非常流行的闪存盘病毒这一个大类,通过闪存、移动硬盘等移动设备来进行传播。
不过本报第31期讲的闪存盘病毒通用解决方案在这里就不完全有用了,因为该病毒除了可以利用移动设备进行传播外,还可以利用网页木马等其他方式来进行传播。再加上其他磁盘目录里面“五月莉娜”残留的病毒存在,因此用户很容易在重新安装系统后再次被感染。
另外,“五月莉娜”病毒和其他的闪存盘病毒还有所差别的是,该病毒并不会在右键菜单多出一个“Auto”命令,因此也很难让用户发现隐藏在该目录下的病毒文件。正是这样的原因造成了上面那位读者多次重装系统,才勉强将病毒从系统成功清除。
“五月莉娜”完全清除方案
方法一:菜鸟清除法
首先重新安装系统,完成后不要立即打开任何磁盘。点击开始菜单中的“运行”命令输入“CMD”,然后在弹出的命令提示符窗口中执行“attrib autorun.inf -s -h -r”,这样做是为了去除该文件的隐藏等属性内容。
最后再在窗口中执行“del autorun.inf”和“del limit.exe”就可以了(图1)。需要特别注意的是,对所有的磁盘分区都要这样操作,要不然病毒又会自动感染其他的磁盘分区。
方法二:老鸟操作法
首先重新启动系统(该方法不用重装系统),并按F8进入安全模式。接着利用《冰刃》等安全工具删除所有磁盘分区下的autorun.inf和Limit.exe等病毒文件,删除c:\windows下的regedit.exe文件夹和图标为批处理的一个可执行文件MSCONFIG.EXE(图2)。
删除c:\windows\system32下的cmd.exe文件夹、command.exe文件夹、taskmgr.exe文件夹,删除c:\windows\system32\dllcache下生成的cmd.com、cmd.exe、regedit.com、regedit.exe、command.com、command.exe等文件夹,这种对系统重要文件进行替换正是很多系统工具无法使用的原因。
再打开注册表编辑器,先在启动项中删除空白的项目MSCONFIG.EXE,接着在注册表中分别搜索msconfig、Limit等关键字,然后将查找到的所有可疑的注册表项目和它对应键值统统删除。
然后从其他干净的操作系统中复制regedit.exe、taskmgr.exe、msconfig.exe、cmd.exe等文件到系统中,再利用Copy命令复制到以前的位置,例如copy c:\cmd.exe c:\winedows\system32。
最后重新正常启动后发现系统已经恢复正常,有时系统会跳出Windows修复程序,将系统安装盘插入到光驱后即可自动修复。
编辑观点:安装闪存病毒防御软件
由于“五月莉娜”病毒清理起来还是比较棘手的,所以这里用户可以根据自己的实际情况来选择一种清除方法。如果你对系统操作不熟,就通过第一种方法来解决;如果你对系统操作很熟练,第二种方法应该更适合你。
此外,还需要为操作系统安装MS06014和MS07017两个漏洞补丁。建议安装闪存病毒防御安全工具。例如《Autorun病毒防御者》(下载地址:http://www.cpcw.com/bzsoft/),具体工具选择可以参考《电脑报》第32期《4款闪存杀毒软件综合能力测试》。