通宵夜战“磁碟机病毒”昨晚电脑系统出了问题，老是罢工，多次莫名其妙地自动关机重启。欲打开工具软件，所有的文件关联被修改禁用了，任务管理器也无法调用，注册表更无法打开，狂晕！我意识到是被木马病毒感染修改了！重启电脑，也无法进入安全模式，出现蓝屏，这病毒太厉害了！没办法，只好重装系统，这是对付病毒的最有效办法了。十分钟后，克隆了系统，可以进入桌面，系统正常，暗喜。重新安装系统后，需要安装常用的软件，可是一安装软件后，系统又出现问题了！真是晕！国产的杀毒软件我不放心，于是想进入网站下载伟大的无所不能的卡巴斯基反病毒软件。一进入下载页面，浏览器自动关闭，开始我怀疑是所用的世界之窗浏览器有问题，换了几个浏览器，包括IE，所有页面都可以正常打开，就是一进入卡巴斯基反病毒软件下载的页面，浏览器便自动关闭。屡试屡败，进入360安全卫士也同样遇到同一情况！看来这病毒对网页的内容有敏感的监视，这病毒可真是狠毒，不是一般的厉害啊！通过反复观察发现：该病毒具有具有映象劫持功能，可以对一些安全工具和调试分析软件进行拦截，并不断改写注册表破坏安全安全模式，阻止用户修复系统。病毒自己不在注册表创建 RUN，却把RUN 项删的干干净净，使得一些的常用软件和安全工具等不能开机自启动，也无法加载清除。病毒会将自己拷贝到 %system32%\Com下，更名为 LSASS.EXE，并释放SMSS.EXE 和 ALG.EXE ，最后运行LSASS.EXE，SMSS.EXE 和 ALG.EXE。 由于病毒的进程名和系统的 LSASS，SMSS 进程名相同，使任务管理器无法结束它，只有眼瞪瞪的看，却束手无策！更可恶的是，该病毒会远程注入 dnsq.dll 到其它进程中，在其它进程中启动一个线程来不断监视病毒的进程是否被关闭。若检测到被关闭，就自动再启动病毒进程。如果被一些杀毒软件和安全工具阻止创建了，被注入的其它进程就会调用 SYSTEM32 目录下的 SHUTDOWN.EXE 来关闭计算机。病毒会模拟资源管理器的右键菜单，使用户不易察觉病毒被自动运行，当用户利用资源管理器打开分区时，无论是直接运行或右键打开都会运行病毒；该病毒会生成多个组件，并注册为 IE 插件. 它的行为特征属恶意软件，会利用 REGSVR32.EXE 为 netcfg.dll 注册多个的CLASSSID， 杀毒软件通常不能清除干净，会有大量残留。无奈，只好在另一台电脑下载软件，在另一台电脑下载成功后，再传过我的电脑，一打开进行安装，没进行安装就自动退出了，连源文件也被删除了！我这个被人称为“电脑高手”的人，征战病毒多年，为人修理过无数的电脑，从没有遇到这么厉害的病毒！气得我目瞪口呆，这病毒太牛了！I服YOU！通过反复观察其发作特征，这样，我被折腾到了零时三点多……去年的“熊猫烧香”病毒，我也中招了，在不知原因的情况下我搞了一两个小时也都搞定了，那时我也叹服这病毒厉害，而“熊猫烧香”比起这个病毒，真是小巫见大巫了！这个病毒要比“熊猫烧香”病毒强百倍！强在反清除，反修复，强在对安全软件的敏感禁用，使你的枪弹无法发挥！看来知名的反病毒木马软件都会受到监视禁用被自动关闭，我便用了几个不知名的小软件，结果查出了病毒！在系统目录下有几个文件：%system32%\Com\LSASS.EXE%system32%\Com\SMSS.EXE%system32%\dnsq.dll%system32%\drivers\alg.exe%system32%\com\netcfg.dll%system32%\com\netcfg.000并且在每个盘根目录下生成自己的副本 pagefile.pif 及 AUTORUN.INF 文件，只要你打开任何一个盘，都会感染中招！上网一查，是最近暴发流行的virus.win32.xorer病毒！这病毒又称“磁碟机病毒”，还有不同的变种，发作症状和我所遇到的基本一致。幸好，已经有了这病毒的专杀工具了，下载进行清除，免得自己再慢慢折腾了。经过近一小时的清除，最后证实再也查不到了，才放心的关了电脑。此时，已闻到远处有鸡啼声，听到楼下清洁工人扫街的唰唰声，一看时钟，已五点多了……