????????①病毒表現(xiàn)

????????6月中旬發(fā)現(xiàn)臺(tái)式機(jī)直播很卡，沒(méi)太注意。6月14日直播pdf時(shí)cpu一直占用近100%，bilibili直播姬則占用50%以上，如圖1所示，正常直播夜神模擬器時(shí)cpu都沒(méi)有那么高占用率，才懷疑中病毒了。進(jìn)一步調(diào)查發(fā)現(xiàn)，電腦開(kāi)機(jī)時(shí)必然有一進(jìn)程占用cpu 50%以上，關(guān)掉這個(gè)進(jìn)程則不久另一進(jìn)程又會(huì)占用cpu50%以上。所有磁盤(pán)和一個(gè)移動(dòng)硬盤(pán)根目錄下出現(xiàn)autorun.inf文件和隨機(jī)命名的exe（或pif）文件。exe文件刪除后會(huì)重新生成，autorun.inf無(wú)法刪除。開(kāi)機(jī)時(shí)文件顯示模式自動(dòng)修改為“不顯示隱藏文件”。由于電腦沒(méi)裝任何殺毒軟件，防火墻一直關(guān)閉，基本可以斷定感染病毒了，途徑為6月初u盤(pán)在打印店打印時(shí)傳入，autorun文件生成時(shí)間證實(shí)了這一點(diǎn)。因此，應(yīng)該為Autorun病毒。

????????②USB killer殺毒

????????6月15日，下載USB killer，殺毒后，autorun.inf文件仍然自動(dòng)生成，無(wú)法進(jìn)行病毒免疫。切換到安全模式下殺毒，磁盤(pán)內(nèi)autorun.inf文件不再自動(dòng)生成，但移動(dòng)硬盤(pán)仍然自動(dòng)生成。經(jīng)檢查，確認(rèn)筆記本沒(méi)有感染病毒，于是在筆記本上運(yùn)行USB?killer，插入移動(dòng)硬盤(pán)，殺毒后可以進(jìn)行免疫，且移動(dòng)硬盤(pán)在筆記本取消免疫后不會(huì)自動(dòng)生成病毒文件，說(shuō)明移動(dòng)設(shè)備只要用USB?killer可以完全殺毒，磁盤(pán)因?yàn)橛胁僮飨到y(tǒng)所以無(wú)法完全殺毒。殺毒后之后，臺(tái)式機(jī)不再有autorun.inf文件和exe文件，但仍然會(huì)有進(jìn)程占用cpu 50%以上，且取消病毒免疫后會(huì)立即重新生成autorun.inf和exe或pif文件。因此可以斷定，病毒開(kāi)機(jī)時(shí)已經(jīng)自動(dòng)加載進(jìn)內(nèi)存。還需要繼續(xù)殺毒。

????????③電腦管家殺毒、360殺毒、資料備份

????????6月15日，安裝電腦管家，無(wú)法掃描出病毒，安裝其自帶的急救箱，安全模式下仍然無(wú)法檢測(cè)到病毒。由于電腦是雙系統(tǒng)，另一系統(tǒng)本來(lái)裝有360安全衛(wèi)士和360殺毒，于是切換到另一操作系統(tǒng)，但360提示“已阻止360Tray修改360自啟動(dòng)”，其他exe文件也有提示，看來(lái)360也被感染了，無(wú)法殺毒。于是準(zhǔn)備先備份資料，重新分區(qū)并安裝系統(tǒng)（這倒不止是病毒原因，本來(lái)就想重裝），結(jié)果發(fā)現(xiàn)，移動(dòng)硬盤(pán)exe文件和另一備份移動(dòng)硬盤(pán)exe文件大小不同，進(jìn)一步調(diào)查發(fā)現(xiàn)，臺(tái)式機(jī)大多exe文件大小都變大了，這應(yīng)該是被注入病毒了，于是在筆記本先將移動(dòng)硬盤(pán)和備份移動(dòng)硬盤(pán)進(jìn)行比對(duì)，刪除移動(dòng)硬盤(pán)所有病毒文件，并將備份移動(dòng)硬盤(pán)中資料重新拷入移動(dòng)硬盤(pán)。為試試重裝系統(tǒng)，將U盤(pán)殺毒后制作Win7安裝盤(pán)，電腦關(guān)機(jī)，插入U(xiǎn)盤(pán)，開(kāi)機(jī)，到安裝頁(yè)面，然后拔出U盤(pán)，查到筆記本，發(fā)現(xiàn)也感染病毒了，所以更加斷定病毒開(kāi)機(jī)就常駐內(nèi)存。

????????④卡巴斯基殺毒

????????6月16日，進(jìn)一步調(diào)查發(fā)現(xiàn)，USB killer的exe文件也感染病毒了，大小變大，于是將沒(méi)病毒和有病毒的exe文件壓縮上傳至virscan，檢查結(jié)果如圖3所示。將另一列車(chē)時(shí)刻表exe病毒文件和原文件壓縮后上傳殺毒，發(fā)現(xiàn)360無(wú)法檢測(cè)出，而卡巴斯基可以檢測(cè)出，病毒為Virus.Win32.Sality.Gen，是一種蠕蟲(chóng)病毒，簡(jiǎn)介如圖4所示。?于是決定先下載卡巴斯基殺毒（之所以用卡巴斯基還有個(gè)原因是很久以前我的筆記本病毒也是用卡巴斯基消滅的）。下載卡巴斯基2020免費(fèi)版，安裝后升級(jí)為1個(gè)月正式版試用版，開(kāi)始?xì)⒍?，?span id="s0sssss00s" class="color-blue-02">圖5所示。殺毒時(shí)檢測(cè)出內(nèi)存有病毒，但無(wú)法清除，選擇重新啟動(dòng)，之后就可以清除了。這樣，花了一天時(shí)間，所有病毒都消滅了，之后電腦就正常了，不免疫病毒也不會(huì)生成autorun文件了，cpu也正常了。此外，一個(gè)數(shù)碼相機(jī)的SD卡也有autorun病毒，清除了。手機(jī)和平板的TF卡則沒(méi)有病毒。

????????

by?讓人微笑的光景

200620