大家都懂得發(fā)展才是硬道理，病毒當(dāng)然也會(huì)與時(shí)俱進(jìn)，以下所描述的病毒就是一例最難纏的自動(dòng)播放病毒，它不但把自動(dòng)播放病毒的傳統(tǒng)優(yōu)勢(shì)保存了下來(lái)，并且使用了一系列新詭計(jì)，讓以往所用的幾乎戰(zhàn)無(wú)不勝的殺毒絕招幾乎全部失靈，跟這種病毒過(guò)招，讓好事者（包括我）大呼過(guò)癮！

1.中毒后的表現(xiàn)

(1) IE瀏覽器自動(dòng)啟動(dòng)并打開(kāi)一些廣告網(wǎng)頁(yè)，主要有網(wǎng)游廣告，還有一些少兒不宜的廣告；

(2) 組策略不能正常使用，提示“不能在標(biāo)記為刪除的注冊(cè)表項(xiàng)上操作”；或者直接提示不能保存注冊(cè)表；“軟件限制規(guī)則”沒(méi)有了，或者全部項(xiàng)目都沒(méi)有了；先前設(shè)置的組策略通通失效；

(3) 注冊(cè)表不能保存，修改后的參數(shù)在系統(tǒng)重啟后自動(dòng)還原；

(4) 安全模式不能進(jìn)入，啟動(dòng)安全模式時(shí)系統(tǒng)會(huì)自動(dòng)重啟；

(5) 系統(tǒng)的自動(dòng)播放功能被病毒啟動(dòng)，而且無(wú)法禁用，把注冊(cè)表中explorer鍵項(xiàng)的NoDriveTypeAutoRun的數(shù)值數(shù)據(jù)全部改為255（這是十進(jìn)制，十六進(jìn)制是FF），也不能禁用自動(dòng)播放，重啟后自動(dòng)啟用自動(dòng)播放；

(6) 殺毒軟件不能使用，打開(kāi)殺毒軟件后能在任務(wù)管理器中發(fā)現(xiàn)殺毒軟件的進(jìn)程，但是不出現(xiàn)殺毒軟件的窗口；網(wǎng)上在線殺毒也不能啟用。

2.病毒特征

中毒時(shí)，病毒首先進(jìn)入WINDOWS\\system32\\Com目錄，在這個(gè)目錄下增加以下程序：

lsass.exe（大?。?3716 字節(jié) ，文件日期：2002-12-10，具有隱藏、系統(tǒng)、只讀屬性）

smss.exe（大?。?0960 字節(jié)， 文件日期為當(dāng)前日期，具有隱藏、系統(tǒng)、只讀屬性）

netcfg.dll（當(dāng)前日期）

netcfg.000（當(dāng)前日期）

有時(shí)還會(huì)在這個(gè)COM目錄下發(fā)現(xiàn)有explorer病毒，如果這個(gè)病毒得手，系統(tǒng)資源管理器就不正常了。

同時(shí)在分區(qū)根目錄下增加兩個(gè)文件：autorun.inf和pagefile.pif（或pagefile.exe），如果分區(qū)已經(jīng)設(shè)置安全權(quán)限為禁止寫(xiě)入，則不會(huì)寫(xiě)入病毒。

系統(tǒng)重啟后，可能會(huì)在以下目錄寫(xiě)入病毒文件：

C:\\Documents and Settings\\All Users\\「開(kāi)始」\\菜單\\程序\\啟動(dòng) （程序文件名較長(zhǎng)，一般含有兩個(gè)exe后綴）；

C:\\WINDOWS\\system32（寫(xiě)入一個(gè)LOG文件，文件名大概為5位數(shù)的數(shù)字；寫(xiě)入一個(gè)antiTool.exe文件，日期為2004年左右，具有隱藏屬性）；

C:\\WINDOWS\\system32\\drivers（寫(xiě)入一個(gè)alg.exe文件，這個(gè)目錄下所有的exe可執(zhí)行文件都可以刪除）；

C:\\WINDOWS\\Fonts（這里面所有的exe可執(zhí)行文件都可以刪除）；

IE瀏覽器程序目錄C:\\Program Files\\Internet Explorer\\PLUGINS會(huì)被寫(xiě)入病毒文件（日期為最近兩天內(nèi)的文件一般是病毒，可以刪除；幾個(gè)月之前的文件是正常文件，不要?jiǎng)樱?/p>

3.處理方法

在中毒后的windows界面處理這個(gè)病毒，困難重重，主要表現(xiàn)在以下方面：

用于對(duì)付病毒的傳統(tǒng)方式如軟件散列規(guī)則等全部失效；

病毒文件Lsass和smss以及autorun和pagefile很難清除；

用任務(wù)管理器不能終止Lsass和smss病毒的進(jìn)程，提示是系統(tǒng)關(guān)鍵進(jìn)程（進(jìn)程中同時(shí)有正常的Lsass、Smss進(jìn)程和病毒進(jìn)程，名稱一樣，但是用戶名不一樣，病毒的用戶名是登錄系統(tǒng)的用戶名，如administrator等；正常的進(jìn)程使用的是system用戶名）；

在CMD界面中使用tasklist和taskkill命令也不能終止病毒進(jìn)程；或者CMD窗口被禁用；

很難在CMD界面中用attrib命令取消病毒的系統(tǒng)屬性，它會(huì)自動(dòng)恢復(fù)；

注冊(cè)表幾乎沒(méi)用，不能保存修改后的參數(shù)；

用自動(dòng)播放病毒專殺工具，提示autorun.inf是正常文件，不需處理；殺掉Lsass和Smss等病毒，并修復(fù)被篡改的注冊(cè)表后，重啟系統(tǒng)，再次查殺，發(fā)現(xiàn)剛才的殺毒和修復(fù)注冊(cè)表根本沒(méi)起作用！

4.最有效的辦法

用WinPE啟動(dòng)光盤(pán)啟動(dòng)系統(tǒng)，或者啟動(dòng)到DOS模式下：

特別注意刪除smss.exe、Lsass.exe兩個(gè)病毒；同時(shí)刪除autorun.inf文件和pagefile.pif（或pagefile.exe）文件；

刪除“Documents and Settings\\All Users\\「開(kāi)始」\\菜單\\程序\\啟動(dòng)”目錄下的可執(zhí)行exe文件；

刪除上述其他目錄下的幾個(gè)病毒文件，如fonts目錄和drivers目錄下的病毒，如果弄不清楚，這兩個(gè)目錄下的全部exe可執(zhí)行文件都可以刪除，注意不要漏掉隱藏文件；

重啟系統(tǒng)后，系統(tǒng)基本上沒(méi)有問(wèn)題了，可能還有少數(shù)exe程序和Dll文件感染病毒，使用殺毒軟件查殺就可以了（這時(shí)可以正常啟動(dòng)殺毒軟件了，組策略和注冊(cè)表都可以正常使用了）。

注意：

經(jīng)試驗(yàn)，即使系統(tǒng)禁用了所有驅(qū)動(dòng)器的自動(dòng)播放功能，把帶有autorun.inf和pagefile.pif病毒的存儲(chǔ)設(shè)備接入系統(tǒng)后，系統(tǒng)照樣會(huì)立即感染病毒，smss.exe和lsass病毒立即激活。

如果重裝操作系統(tǒng)，一定要格式化系統(tǒng)盤(pán)分區(qū)，安裝成功后先不要進(jìn)D盤(pán)E盤(pán)等分區(qū)，也不要使用帶毒的存儲(chǔ)設(shè)備，先安裝殺毒軟件，升級(jí)病毒庫(kù)，再全盤(pán)殺毒。

中這種病毒后，系統(tǒng)并無(wú)其他異常跡象，日常使用中無(wú)明顯異常感覺(jué)，容易使用戶麻痹大意，然而，種種跡象表明，這種病毒是帶有一定目的的，比如QQ密碼就是它覬覦的對(duì)象！