遭遇黑客

一日，感觉电脑系统突然不正常了。先是，发现瑞星杀毒不知何故不能自动在开机时启动，自动监控失效。这时还没想到是黑客，以为是系统或服务错误，没考虑是病毒所为。于是手动打开瑞星查杀病毒。检查发现，的确系统中了病毒，其中之一从病毒名称上看是盗号的木马。如此在太岁头上动土，令我十分恼火。立即更新了病毒库，准备彻底查杀。

杀毒过程中，发现一些病毒程序不能被瑞星处理，知道这是病毒保护的原因。肯定一些病毒已经启动了。运行系统配置实用程序（msconfig），发现启动项加入了数个病毒程序。将启动项清除，确定，发现错误提示。

担心启动项未能清除，就运行注册表编辑器（regedit），发现注册表编辑器被禁用。可恶。试打开组策略编辑器（gpedit.msc），发现还能用。定位到“用户配置”－“管理模板”－“系统”，找到“阻止访问注册表”编辑工具，将注册表恢复。打开注册表，查看自动启动的run子键，发现病毒启动项已经清除。

下面要紧的是结束运行的病毒进程，以便杀毒软件能够处理病毒。运行任务管理器，查看系统进程，发现进程中有多个病毒进程，尤其有一个popo.exe进程无法结束，结束后立即生成。更令人可怕的是，突然间出现了数个cmd.exe进程，自己没有运行这个啊，肯定是黑客启动的程序。试结束该进程，不行。再看运行该程序的用户，不是自己的Administrator，而是一个陌生的叫new1的用户！这时才想到了黑客，显然黑客已经新建了一个登陆帐户，并且正在运行cmd程序。

立即断开Internet，斩断黑客的黑手。找到已经下载的冰刃程序。从冰刃展开系统进程，强行结束popo.exe和其他病毒进程。然后查看那边瑞星杀毒的情况。按照不能处理的病毒程序名称，在冰刃中打开病毒程序目录，强行将病毒程序删除。通过按日期排序，发现病毒程序的创建日期都是2009/3/10这个日期，于是索性将凡是这个日期的文件全部删除。

经过一番努力，按照瑞星提供的病毒线索删除了所有的病毒程序。然后重新全盘扫描一遍病毒，又在D盘的IE临时文件夹里发现了一些病毒。同样利用冰刃将IE临时文件全部删除。自此，整个系统安静了。

重新启动系统。扫描没有安装的系统补丁。想到黑客创建的new1用户，赶紧用tusernew1/del命令删除；又更改了自己的超级管理员密码。至此，这场安全反击战才告结束。

反思这次遭遇，显然是过分相信瑞星了；幸亏及时追查了瑞星监控失效的原因，否则后果严重。如果让一个黑客知道自己竟然攻进了一个电脑高手的电脑，他会乐翻天的。最后警告自己，以后警醒些，发现系统异常，立即检查，不要等黑客侵入了才发现，经历这场无谓的战斗。