星沉碧落

昨晚下载了一个软件，一时大意忘记杀毒了… 导致中了磁碟机这玩意。。汗！很郁闷.. 这个真的比熊猫烧香要恐怖10倍。 在这之前，我曾经写过重装系统还中毒 – 一招搞定autorun.inf病毒感染 那时感染的也是磁碟机。。 只是现在这个是变种的，简单的删除硬盘分区根目录的病毒文件已经没用了。因为它会感染你的文件！ 我硬盘几乎所有的exe文件、html文件都遭殃了！

 首先来鄙视一下病毒作者。你tmd为了自己的利益开发这样的东西来害人。我靠！ 其实作者写这个病毒也有很多sb之处。下面会列举一两处！

 

特征：

1、中了此病毒后，会在每个硬盘分区都生成一个pagefile.pif（病毒程序） 以及autorun.inf（用来运行病毒的）

2、每隔大概30秒，就会弹出病毒设定的广告

3、通过修改注册表，映像劫持主流的安全软件

4、感染大部分.exe文件（安装程序不会被感染） 感染html、htm文件（好像只感染以《html》标签开头的。我硬盘仅仅有几个不是这样开头的html文件没被感染）如果你的rar和zip文件中，压缩的文件类型属于上面的，病毒会帮你自动解压，感染病毒后重新压缩。

5、破坏安全模式（进入安全模式会蓝屏）

6、禁止ghost系统安装程序（即被映像劫持了）

7、通过修改注册表使得系统不能显示隐藏文件

8、关键字过滤 查找带有某些关键字的子窗口名称，并将其关闭 如： “病毒、木马、杀毒软件”

9、病毒会在系统的system32目录及system32/driver目录生成病毒文件。

10、感染U盘 （切记：中病毒后不要插入任何可移动设备）

弱智的病毒作者：

 写此病毒的作者确实很厉害，它不想熊猫烧香那样花哨，如果是新手中了病毒不会马上就察觉。而且每次重装系统后，会自动删除硬盘分区的pegafile.pif文件。让你疏忽大意，以为病毒已经不存在了。但写此病毒的作者也有很多sb的地方。

sb之处1：病毒文件命名为pagefile.pif 。我们都知道pagefile.sys是虚拟内存文件，体积都很大，而且只会出现在一个分区。而且我们可以从后缀名判断这到底是什么文件了！ （pif均为木马） 这就是此地无银三百两吧！

 sb之处2：

仿冒系统进程。 该病毒不会隐藏自己的进程，而是会仿冒你系统的进程、而且不允许结束进程。如图：

smss.exe文件是系统进程。不可能出现在administrator的。出现了则说明是病毒进程了。而且最最最为sb之处的就是出现在administrator里还说是系统进程，不允许结束！ 作者不是一般的sb！

解决方法：

中此病毒不要想着用杀毒软件清除了，最笨最有效的方法就是重装系统了，下面把我昨晚所用到的技巧分享跟大家！

第一步：重装系统（有系统光盘的情况下）
如果你有系统光盘的话，那么直接使用光驱装就好了。 

第二步：重装系统（没系统光盘的情况下）
由于昨晚我没有系统光盘，搞得我很郁闷。ghost又被禁止掉了… 闷了很久终于还是找出了解决的方法、 先去下载一个“深度一键还原工具”（可以去Google搜索）安装。再下载一个ghost系统（推荐下载雨林木风的系统）

第三步：安装系统

安装好深度一键还原工具后，把雨林木风ghost系统中的ylmf.gho文件解压到硬盘任意的一个分区。 打开深度一键还原工具，选择“从硬盘选择gho文件” 选择你的ylmf.gho路径，准备就绪后，开始安装系统！

第四步：清除病毒

安装系统的流程就不多说了。 注意：安装完成后，不要打开任何的硬盘分区。先把每个硬盘分区的autorun.inf清除掉。（记得减去S H R 属性。详细请看重装系统还中毒 – 一招搞定autorun.inf病毒感染）

清除完autroun.inf后，也不要运行你硬盘任何的exe文件。先打开浏览器，去下载一个杀毒软件。（这里推荐使用卡巴斯基，如果你电脑之前有卡巴斯基的安装程序，也可以安装。因为卡巴斯基的安装程序是msi格式的，不会被感染！切记不要使用其他分区的下载工具下载。如果你想使用，请到浏览器重新下载一个。）

下载好杀毒软件后，更新病毒库。一定要启用杀毒软件的主动防御！ 然后进行全盘杀毒！

第五步：删除感染病毒的文件

虽然杀毒软件可以把病毒和文件隔离，但毕竟还是存在一定的风险，如果文件不是十分重要建议还是删除掉，然后重新下载。如果 很重要，请在虚拟机里病毒有没有彻底被隔离！

第六步：一键备份系统

此时要赶快备份C盘的数据，预防再次中病毒！可以用深度一键还原工具备份

第七步：测试没被感染的文件

安装一下没被感染的exe文件，看看有没有什么问题！ 安装前记得也要先查一下毒，一定要开启杀毒软件的主动防御。预防万一！ 文件都没问题，就可以整理一下C盘，再次备份C盘数据！

关于重要文件备份：

这次我硬盘损失了不少重要的数据。 幸好之前把大部分的数据都备份到了skydrive！下面来谈谈关于数据的备份把吧….

为了防止我这样的悲剧发生，平常一定要养成备份数据的习惯。把你重要的文件压缩，加密！因为加密了病毒就无法自解压了，密码最好也弄得复杂点！ 然后刻录到光盘，或者上传到可信任的网盘。 多备份一些对自己总是有好处的！

最后，让我们再次鄙视一下病毒作者

看看我E盘的报告就知道损失有多惨重了！卡巴斯基报告 (39)