s1005t

8天近150个小时的经历使我不得不写下这篇文章，目的只有一个——奉献给正在网络中求助和即将经历病毒折磨的各位朋友。

一、发现病毒

2006年11年30日晚上在经历了前几天电脑牛一般运行之后，终于发现自己中毒了。之前的几天电脑运行速度比较慢，便以种种借口安慰自己：网速低、配置低、上网人多、进程多等等。由于基本24小时挂驴，所以造成发现的晚了，直到当时因为别的原因并没有挂驴，但突然发现路由灯狂闪，引起了警觉。在网络连接中发现上传数据量惊人的大，知道一定是中了木马，被远程控制了。

二、病毒特征

当时因为自己的电脑装了卡巴6.0所以并不以为然，无非是运行卡巴而已。不过卡巴对中毒的文件仅仅只是报警，并不能清除。经过一系列的探索我把中毒的症状告诉大家：
瑞星2006将此病毒命名为：Worm.Vadar.c。此病毒感染所有硬盘分区中一般为小于10M的可执行程序（后缀为.exe文件），一旦执行这些程序文件，立即在c:\windows\system32目录中复制一个epower.exe文件，并运行，然后不断的复制病毒文件在C盘中，分别是1.exe、2.exe等等类似的文件，直到占据你所有的因盘空间，并感染所有其他分区的执行文件，据网上资料称，1小时的复制量可以达到2G，虽然有卡巴的阻挡，可以抑制1、2、2执行文件在C盘的复制，但还是会感染所有分区中的可执行文件，卡巴在这上面无能为力，所以将会损失惨重。确认是否感染最好的办法就是在“任务栏”中打开“任务管理器”查看是否有一个power.exe文件在执行，要是有那你就被我这篇文章不幸言中。另外还可以在“我的电脑”或“资源管理器”中用“查看”——“详细信息”查看可执行文件的图标，要是图标没有了，变成一个快捷方式的小箭头，也可以判断中了此病毒。

三、初步的上网求助和尝试

上网查找病毒资料发现这是一个新型的病毒，并且12月以前的各种杀毒软件无法清除，有的把这个病毒称作木马，有的称作儒虫，还有其他的叫法，但经过比较本人认为还是儒虫病毒，而且在后面的杀毒中也确实如此。之所以有的称作木马，可能是因为病毒感染以后令木马病毒比较容易入侵，我的路由上传量巨大，也是如此。网上epower病毒的资料并不多，且大都是转贴内容，可借鉴的方法基本上过于复杂，从网友的反馈来看并不保证有效性，且这几天中了此病毒的网友并不在少数。不管怎样先按照帖子中的操作，下载各种杀毒和查木马软件，一一尝试。
瑞星装了2006版并升级，又下载安装了2007试用版，但不管用，根本查不到。
卡巴6.0升级后也不行，但可以报执行文件中的病毒，并隔离。
木马克星、超级兔子据说可以查杀，但基本上是天方夜谭。尤其是木马克星，炒作什么1.8版可以，又升级1.9、2.0，其实全是忽悠，在系统带毒情况下，根本就查不出来。
特别要提的是别相信什么修改“组策略”、“文件分区表”之类的，没有什么用处。
唯一可以用的就是在system32下建立一个epower的文本文件，这个我后面会讲到。
在无奈的等待中，实在不舍得删除多年来的程序，有些东西删除了估计再也找不到了，后悔以前没有刻盘。

四、自己动手最后一搏

先告诉大家不更改分区，装多少编系统都没用。
把一线希望寄托在瑞星上面，因为有前车之鉴。
重做系统，装上瑞星2006，上网升级，杀毒，结果大失所望，根本查不出来。
看来不彻底对硬盘动手是不行了。好在我有三块硬盘，要是各位网友只有一块硬盘的就不要在白费功夫了。
下面是万念俱灰之后成功杀毒的步骤：
1、将系统所在的第一块物理硬盘中的保留数据，备份到其他的物理硬盘中。特别提一句，这个病毒甚至感染ghost文件——TMD。
2、拆机箱，拔除其他硬盘，只保留要装系统的物理硬盘。
3、重新设定分区、全面格式化所有分区，用光盘装XP或ghost都可以，我用的是装机版的ghost，然后安装正版瑞星2006，什么都不要做，直接上网进行升级到18.56.21以上。最好也装上瑞星各人防火墙、卡卡上网安全助手。
4、在windows\system32下建立一个名字为：“epower”的文本文件，在“工具”——“文件夹选项”——“查看”中选择“显示系统文件夹的内容”、“显示所有文件和文件夹”，去掉“隐藏受保护的操作系统文件”和“隐藏已知文件类型的扩展名”选项。将epower文本文件的后缀名“txt”，改成“exe”文件，不要管提示内容，选择确认。并将这个文件在属性中设定为“只读”。此举目的是为了防止病毒写入此system32文件夹，并感染其他文件。
5、最好在“组策略中”设定禁止运行epower.exe文件，这样以后就不会在XP中运行这个文件了。
6、“4”和“5”步骤大家可以视情况选择，这样做的目的只是为了进一步的保险。但后面的杀毒程序中一定要打开隐藏的文件夹，这一点我亲自尝试了，不打开的系统隐藏文件夹瑞星是查杀不到的。
7、升级完瑞星2006后首先查杀此系统所在的物理硬盘中的所有分区，以确保在完全无毒的情况下运行后面的工作。
8、杀完后关机，连接其他的物理硬盘，三块以上的硬盘要逐一连接，不要全联上。
9、开机设定硬盘，系统启动后打开瑞星2006，除第一块刚才查杀的不用选择以外，都选上进行查杀病毒，这时瑞星会报很多病毒，并一步步的杀毒。原来病毒感染的可执行文件的日期也会更改成当前的日期，图标恢复正常。
10、经过进一步测试发现，原来被感染的文件除一小部分被病毒感染不能使用以外，基本都正常使用。不能正常使用的都是一些电子书之类的单一文件，好在还可以上网再下载。

五、一些感受

虽然本人并不喜欢瑞星，但在这次病毒中确实瑞星帮了很大的忙，看来瑞星的工程师及时捕捉到了epower的病毒样本，并进行了升级，使得18.56.21以上版本可以清除这个病毒。我去过瑞星公司在中关村的总部，感觉并不是太好，很乱，对客户的正版问题比病毒本身更感兴趣。后来一直用的是卡巴，对卡巴工程师的敬业精神深感佩服，不管你用的是正版还是D版都会相同的对待，尤其值得称道的是卡巴的工程师对你的问题，都会给你回信，这也是我一直用卡巴的原因。
对这个病毒卡巴可能是基于本身的设计思路，虽然预报并阻断了病毒的传播，但并没有给已经感染病毒的网友，清除的方案。这是一贯卡巴的作风，希望以后卡巴可以设计的更中国本土化一点。卡巴这些日子在中国的学校赠送正版的杀毒软件，还需要学校的公章才可以，要不然真想下载一张表格，自己用软件设计一个北大的公章邮寄过去了。哈哈！

经过8天日夜的摸索、失败，终于战胜了病毒的折磨，我的台式机、笔记本、移动硬盘、U盘得以回生，我单位的机子看来也有救了