遭遇MBR引导区感染+替换系统文件病毒——sfc_os.dll
这天刚吃完晚饭,同事跟我说她电脑这些天时不时蓝屏,要我帮她看看,没想到,一场与无比恶心的病毒之间的拉锯战就此展开。这场拉锯战历时两天,期间还重装了系统。然而这个病毒将硬盘上的MBR引导区感染了,重装系统也没有用。整个杀毒过程中,我重启电脑不下于五十次,这个病毒真是恶心到毫无节操了。
整个过程中我使用了金山毒霸、金山卫士以及360杀毒和360急救箱四套杀毒工具,在杀完毒后,我发现这两家工具确实各有优劣:
1.金山卫士:因为病毒限制了杀毒软件运行,所以最开始我只能用金山卫士,但金山卫士杀毒后,导致了系统无法启动。原因可能是金山卫士将被感染的MBR清除后未能恢复。坊间传言金山卫士不如360卫士,看来所言非虚,不然金山何以报QQ电脑管家的大腿。
2.金山毒霸与360杀毒:金山毒霸的杀毒能力与速度的确优于360杀毒。这两者均不能扫除MBR病毒,但对于被病毒替换了的系统文件sfc_os.dll,金山毒霸可以杀掉,但360却无能为力。金山毒霸的扫盘能力更快,而且扫到的东西也更多。
然而,在对付病毒关闭杀毒软件的能力上,360却更胜一筹。在sfc_os.dll未能控制住之前,金山毒霸每次运行,只闪一下就被结束了,而360在被闪没之后,马上又闪现了。看来,恶心病毒遇到流氓祖师360,还是让步了。不过闪现后的360扫毒时提示:程序运行受限,建议使用360急救箱。
3.360急救箱真是个好东西,这次能成功杀灭病毒,就是靠它。话说我使用了各种MBR修复手段,包括fdisk /mbr和mbrfix.exe修复好了mbr之后,用金山毒霸扫完全盘,再一重启,病毒又把mbr改回去了,没过多久,被修复的sfc_os.dll也被病毒重新替换回去。按道理说,我使用mbrfix修复了mbr后,再用金山毒霸扫完全盘,这个时候应该控制了所有病毒,但这个时候即使未重启,过几分钟,又可以发现mbr被替换。金山毒霸扫完全盘后提示重启,即使马上重启,病毒也反写入了mbr,因为重启后再扫,病毒又被扫出来。虽然这个过程中,金山毒霸已经可以运行无碍,但它还是未能把病毒负责写mbr的那部分揪出来。
而这一点,360急救箱办到了。
其实,我很早就用了360急救箱,但失败了,究其原因,我想是因为我没有选择进程管制和拔掉网线。正确的方法如下:
0.拔掉网线,使用金山毒霸扫描,将sfc_os.dll修复。在金山毒霸提示重启时,选择不重启,最小化即可。
1.继续保持拔掉网线,运行360急救箱,勾选进程管制和深度扫描。在扫描的过程中,会看到MBR被感染并被修复的提示,在过一会儿,就会提示遭遇恶性病毒,按照提示重启。
2.按提示重启电脑,等待360急救箱自动弹出来,选择继续扫描,仍然要勾选进程管制。这个时候会提示恢复网络。如果没有这个提示,就不要插网线。
3.按提示插上网线,继续360急救箱的扫描,这时又会扫出几个病毒。处理后按提示重启。
4.再次重启电脑,360急救箱会让你选择是继续扫描还是问题已经解决停止扫描。这时候为了安全起见,再扫描一次。我这里又扫出来一些东西。再次重启,再扫描,这次终于干净了。我又用金山毒霸扫描全盘一次,也没有任何病毒提示。
5.为了安心起见,我自己重启电脑一次,并再次扫描,确认病毒已经清除。
最后,我将同事电脑的360杀毒的开机自动启动取消,只保留金山毒霸的开机启动。因为同时运行两个杀毒软件,我总担心它们会打架,影响系统性能。360里的360急救箱则是必须保留以备不时之需的东西,因而没有卸载360,当然我知道,虽然360未能开机自动启动,但它仍然一堆进程正运行着,谁叫金山不争气呢?