与reader_s.exe病毒共舞的时代 6Ilj7m*
{"*_++|
机器中招了,感染了一个叫reader_s.exe的病毒。从网上的资料看,目前所有杀毒软件都不能清除它,网上的高手都是重装系统甚至格式化硬盘。 u4'B
U;M! jj
还不想重装系统,太麻烦了;更不可能格式化硬盘,我的机器还从来没有这样做过。先保守疗法吧!开机直接加载一个Process Explorer(超级进程管理器,SystemInternal出的,现在已经被收到微软旗下了),把独立的病毒进程全部删除后,带毒工作吧! j=c< Lo`
2cwJ);Eg2
自DOS时代以后,已经很少见到这么有水平的病毒了。Windows时代的病毒一般不会直接感染系统的可执行文件,通常是在注册表中把自己设置为自动运行的程序,再高明一点的病毒也就是设置多个独立进程互相保护,一旦一个被程被删除,它会在0.1秒钟内被其它进程重新激活,但是它们都不会把病毒写入其它的可执行文件。 >*\yEH9"
Ya-GDB;L
这个叫reader_s.exe的病毒则不同,它的内部开发名字就叫PE Explorer,它具有传统Windows病毒的所有感染特征,如进程保护,但它并不实时地监测注册表改动(因为它并不需要一定从通过注册表的Run项目加载,所以注册表对它而言并不是那么重要,也太小儿科了)。它很可能直接感染了Winlogon和UserInit两个系统登录的关键进程。 5=b6B=\*~
nW`] =
我机器上装的UltraEdit也被感染不能用了,金山公司发给我的一个SREng压缩包,一旦被解压成可执行文件,就立刻增加了几KB,然后在运行时报告文件被修改过并退出。 h+S]C#X,}
?J-D6;
这个病毒在安全模式下也仍然可以启动,这一点也是少见的。但既然能够感染系统关键进程,也就不足为奇了。 |pBvy1e4)
1~E;@eK'
它与国内的前几年水平最高的病毒相比,唯一不足是没有自动禁止流行的杀毒软件,如金山毒霸和瑞星。可能是因为这个病毒是国外的家伙搞出来的吧! AW'$5NF>
>Bu_NoM