为受感染的硬盘进行手术

如果你想要杀除的间谍软件远比你想想的聪明，那该怎么办？ 如果你属于大多数人，那么这种情况可能意味着花费额外的金钱，时间请专业人员来处理。而如果你是我们本文的主角Ravi，情况就完全不同了。

在本周的间谍软件案例中，我们就来看看 Ravi发来的邮件：

硬盘搬家
Published 12/23/07 by: Ravi

我喜欢测试各种反间谍软件程序，因此家人和朋友都当我是怪人。不过有一天，一个朋友的朋友却来找我这个怪人寻求帮助。当我见到了那台被感染的系统，发现这台电脑差不多已经算是病入膏肓了：只进行过一次Windows XP 升级，桌面上经常出现错误提示，反病毒软件早已过期，没有防火墙，注册表编辑器被禁用，任务管理器和“开始|运行”功能也被禁止了。

一开始，我插入带有 McAfee AVERT Stinger 的U盘，打算通过这款软件进行扫描，结果Stinger 报告说已经被感染了。接下来我打算安装 Avast Home Edition ，利用它在启动时的扫描功能来发现并杀除间谍软件。但是这个系统里的流氓软件已经发现了U盘中的Avast ，不但没有安装成功，反而被流氓软件将Avast删除了。接下来Avira Antivir, AVG, 以及 BitDefender Free Edition 都遭遇了同样的命运。于是我打算通过安全模式启动系统。

然而这个聪明的流氓软件又让我碰了钉子，当我进入启动选项菜单后，键盘的方向键就被屏蔽了。开始我以为是键盘有问题，但是换了一个键盘后，问题依旧。实在不行我就打算格式化硬盘了，但现在还没到那一步。我记得GDATA Antivirus Kit可以让用户创建一张急救CD，于是我下载了GDATA Antivirus Kit的试用版，并创建了急救CD。原本以为，通过急救光盘启动就可以成功防止流氓软件运行了，结果我错了。这个流氓软件太聪明了，它成功的禁止了系统从光盘启动的功能，就算我在BIOS里设置了首先以光盘启动，也是无效的。

面对这样一台电脑，我真有点郁闷了。不过灵光一现，我忽然想到了新的解决方案。于是我将这台电脑的硬盘拆下来，装进了一个USB硬盘盒中。接下来我启动我那台带有 McAfee VirusScan 企业版的笔记本，将杀毒软件的防护级别设置为最高，然后连接上了USB硬盘盒。当硬盘被系统识别后，我马上用McAfee VirusScan对这个硬盘进行了全面扫描，结果是总共发现了1768个被感染的文件，以及9种不同的流氓软件。然后我又用BitDefender Free Edition 8 (Free Edition 10 与McAfee有冲突)，又发现了一些流氓软件残留的垃圾文件。现在，基本上能保证这块硬盘是干净的了。
接下来的工作就很轻松了，我通过XP安装盘修复了受损的XP系统，然后安装了全部XP升级补丁，并安装了Avira Antivir 个人经典版, Spyware Terminator， 以及一款免费的防火墙 Online Armor。

-RaviMuzaffarnagar, India

专家的回复：
Response by: Jessica Dolcourt

Ravi使用了一种创新性的方式来解决系统被感染的问题，不过这种方法需要硬件设备的支持，因此不是每个用户都可以实现的。虽然市场上有很多USB移动硬盘，但是本文涉及的台式机硬盘却无法用于这种移动硬盘盒。如果用户希望以Ravi的方式解决系统中的流氓软件，需要一款可以放置台式机硬盘的USB硬盘盒，将被感染硬盘放入硬盘盒中，再将硬盘盒插入一台具有良好安全性能的笔记本/台式机的USB口，这样笔记本/台式机的系统会发现这块被感染的硬盘，并利用本机的杀毒软件进行病毒查杀。

我们也为Ravi的朋友高兴，因为Ravi并没有简单的采取格式化硬盘这种低级的系统修复方式，而是尽量保留了系统中的原有数据。