话说前几天研究蓝光，所以要用Nero9，其实本来有SONY DRX-S50U附赠的Nero7的，只是Vista下就不能用，而且不支持蓝光。。。祸源便这样开始了。。。

在网上找Nero9的注册机，因为Nero8开始用盗版据说会刻坏碟。要知道国外的BT是很流行的，连注册机都是用torrent的。。下载了一个，我的正版Rinsing查出了一个毒，当时没太在意，反正成功清除了。于是…因为历史上很多注册机都是被杀软放在病毒库里，其实没有问题的，我也就直接运行了。然后，Rinsing提示我有程序在修改一些重要系统文件和hosts，我想可能是在破解，所以就允许了。。。

最终也没破解成功，也不打算用了。但是第二天重新启动，我马上意识到中病毒了。动不动就修改一些重要文件，hosts文件中多出一行：

127.0.0.1 jL.chura.pl/rc

我想，如果是破解Nero不可能用这个地址。于是Baidu，没有任何记录；Google中文，没有任何记录。。Google英文站才发现这个病毒的纪录。而且连我的QQ也开始修改那些文件，我便怀疑这个病毒感染了部分exe文件。我的一些软件提示文件损坏，我自己用.NET编的一些软件根本无法运行。。于是，在远景看到新出的Win7 Pre-RC 7057，刚好也需要重装，于是就下载，周五就格式化重新安装了。

没想到，装完以后安装程序，在庄杀毒软件的时候提示我安装包损坏。我意识到情况不妙了。。。打开hosts一看，赫然一句jL.chura.pl/rc。其实，在重新安装之前我检查过文件的修改日期，是没有变化的。原来这也可以感染的。。

这是病毒的特性：

The Virut family of viruses uses polymorphism to hide from all anti-virus protection, it infects executable files. File infection makes it very hard to repair a system that has been infected. W32/Vitro injects code in running processes and hooks the following functions in ntdll.dll which transfers control to the virus every time any of these function calls are made. * NtCreateFile
* NtCreateProcess
* NtCreateProcessEx
* NtOpenFile
* NtQueryInformationProcess

只好把exe文件删除了。把除了系统分区的所有分区内的exe全部删除了。为了保险起见而已。。反正一些软件还是可以下载的，大多数我都是用ISO档保存的。至于自己编写的，重新编译就可以了~

这里提供一个用过感觉比较好的专杀工具，不过用完之后还是最好删除exe，因为大部分应该已经不能用了。重新安装Windows是必须的了。注意：要在安全模式下运行才可以。两个文件放在一个目录里再运行程序就可以。

文件下载：rmvirut.exe, rmvirut.nt

在做完这一切以后算是弄好了~ 其实Win7的安全性已经很好了，因为之前流行的Autorun病毒在Win7下根本没有作用，没想到还有那么厉害的病毒，从98时代的htt病毒，到XP的Autorun，第一次那么艰难地研究、清除阿。。原来都很方便的。。。

最后附一句：Win7 7057还是没有解决SiS集成显卡的驱动问题，如果停在Starting Windows界面就重新启动，开机按F8，采用最后一次正确的配置这一项。在设备管理器里面把不兼容的硬件卸载，同时选中删除驱动。那样就可以用了，虽然显卡驱动没有，但是还是可以正常使用，只是不能够Sleep了，Hibernate还是可以的，不过应该没多少人用吧。。还是Sleep好阿~

这个应该是国内第一篇介绍这个病毒的日志哦~庆祝一下~（原创文章，转载请注明！）

相关文章：

1. 今天真是不错哈哈~~~~
2. 7/13，疯狂了。。。
3. Win7 RC 光盘照片~~炫耀一下
4. Win7 7068体验记，感觉非常好~
5. 还是换回Vista了…

该文章发布于2009年3月14日 星期六 11:29，归类为电脑日记。 您可以通过RSS 2.0来订阅该文章的留言。 您可以选择留言，或从你的网站发送Trackback。若无特别说明，则文章为原创，转载时务必保留来源信息。