后使用快捷导航没有帐号？
只需一步，快速开始
查看: 8970|回复: 6
很多文件夹里突然出现了几个.EXE文件，是否感染病毒？
UID17935在线时间 小时积分19080帖子离线17293 天注册时间
用norton扫描这些文件不是病毒，大小171K-172K，扩展名为大写EXE文件，文件名不定，很多文件夹里有，1个---------6个不等，删到手酸，请问是否中了病毒？
之前装了VC6.0和OFFICE XP 和MSDN，同学用的，所以我没注意，不过有norton防护应该不会轻易感染的，可是突然发现多了很多文件啊，不能确定装这些软件之前没有这些EXE文件！请求帮助，谢谢
UID25102在线时间 小时积分28768帖子离线17293 天注册时间
先看看是那些文件夹了...有些文件夹是不可能生成EXE文件的吧..
要不大胆运行一个试试
估计得重装了..
UID17935在线时间 小时积分19080帖子离线17293 天注册时间
什么文件夹？都有啊，放MP3的，放RM的，软件自己的文件夹。。。。。。
忘了运行看看了，不过我估计一般是一闪而过的那种EXE文件
重装有什么用啊？我文件夹N多啊
UID25102在线时间 小时积分28768帖子离线17293 天注册时间
如果是莫名其妙出来的...那肯定就是病毒了.....看来的格盘了..
也可以看看有什么方法来个批量删除...不知道文件名是不是随机的....要不就麻烦了..
UID17935在线时间 小时积分19080帖子离线17293 天注册时间
难道我80G要全格式化了？靠，不可能！
给点建设性意见拉，我时间到了，明天来看贴，你帮我到病毒网站看看啥个病毒
各位兄弟也帮帮我啊，谢谢谢谢，鞠躬。。。。。。
不好意思，滥用一下职权，顶一下
问题解决或者明天取下
恩。。。。硬盘已经满满的了，不可能格式化，连系统盘都只剩下10M了，呵呵
UID39671在线时间 小时积分292帖子离线17293 天注册时间
中级会员, 积分 292, 距离下一级还需 208 积分
把那些软件一个一个都卸掉看看。
UID31299在线时间 小时积分21989帖子离线17293 天注册时间
如今，网上流传着许多恶意程序，这些恶意程序一般都有解决办法，但对于网络新手来
说，如果不知道解法，那就只有受其摆布，任其恣意破坏了。甚至于有硬盘被格式化或
不得不重装系统的惨剧发生。因此有必要为大家介绍一下流行恶作剧程序的表现症状和
清除方法，使大家对它们能有所防范，减少悲剧的发生。
norun是个恶作剧软件，它只有一个可执行文件，12288字节大小，运行于Win98/ME
下。运行后要求回答三道算数题。虽然题目很简单，但是一旦答错，机器将连续重启动1
2次（每次都有提示）后恢复正常。除此之外，没有其他影响。因此，norun是个真正的
恶作剧软件，对大家的威胁并不大。不过，如果机器真的重新启动12次的话，也够恐怖
的！所以也要掌握应对它的方法。
最直接的方法是你回答对那三道题就可以了。不要担心，是小学二年级的都会做的
如果你回答对了，就会出现对话框，点击“确定”软件运行结束。由于你回答对了
，所以不会出现连续重启动12次这样的现象。
如果你担心自己马虎回答错误（如果这个也回答不正确，那也太……），可以用进
程管理软件终止该进程，这样就可以了。我们以Windows优化大师为例。运行Windows优
化大师，点击“系统安全优化”→“进程管理”，在弹出的窗口中选中norun，点击“终
止”按钮即可终止运行它，从而避免了norun造成的12次重启。
点评：纯粹的恶作剧软件，可以用来跟朋友开玩笑用。
恶毒程度：★
ilr也是个恶作剧程序，文件大小15KB。这么小的程序能干些什么破坏呢？它是个捉
弄人的程序，运行后会把硬盘上所有分区里的文件夹通通变成回收站！使得你无法通过
点击进入该文件夹！天啊，我要是想进入文件夹该怎么办呢？别着急，恢复方法是用以
下格式运行该软件即可：xxxx.exe -recover，要记牢格式哦！
点评：一个很另类的恶作剧软件，不破坏数据，不会让你无法进入系统中，但是它
会让你无法进入文件夹，使你干着急，可以用来跟朋友开玩笑用。
恶毒程度：★★
这是一个垃圾文件生成器，程序运行后会在各磁盘（C:-H:）的每一个根目录、第一
级子目录和第二级子目录生成随机文件名的垃圾文件。很久以前有个软件hdfill.exe有
相似的功能，但是该hdfill需要VB4的运行库才能运行，在没有VB4运行库的机器中不能
运行该程序。而该程序是用VB5编写的，虽然存在运行库的问题，但Win98中已经带有VB5
的运行库，所以该程序可以在许多电脑中运行成功。也就是说许多朋友都有中招的可能
FUHD压缩包由四个文件组成：
FUHD.exe：大小10752字节，所用图标为VB5的安装程序所用图标。直接在磁盘上生
成垃圾文件，程序在后台运行，全过程没有任何提示。
setup.exe：大小10752字节，所用图标为VB5的安装程序所用图标。运行后在后台生
成垃圾文件。
Undo.exe：大小6656字节。这是作者提供的删除上面两个EXE生成的垃圾文件的文件
，如果你中招了，可以找来该文件，运行后就可以清除那些垃圾文件。
readme.txt：说明文件。
点评：虽然说现在很多人都有大硬盘，但是大量的垃圾文件分布在各个目录中，也
是一件很麻烦的事。而且目录中含有过多的文件，会大大减慢系统的速度。作为恶作剧
软件，它的危害不大。但如果不知道解除方法，也很讨厌。
恶毒程度：★★☆
四、Carem3
Carem3是网络休闲庄（一个黑客网站）技术顾问Carem的作品，这是一个非常狠毒的
恶意攻击软件，运行后如果不知道正确的破解方法，那肯定是要重装系统的。解压后的C
arem3只有一个文件Carem3.exe，这是它所用的图标（左图），大家记住了，轻易不要运
行使用这个图标的软件，因为给你下套的人会给它改名的，所以记住它的文件大小也是
个不错的识别方法，Carem3.exe文件大小321536字节。
此时鼠标被控制在一定范围内，无法点击屏幕上的按钮，按动回车键就会弹出个窗
口警告你不要随意运行可执行程序，说这只是个教训之类的话，然后会自动重新启动电
脑，但你再也无法进入心爱的Windows桌面了！如果你没有按动任何键，Carem3也不会放
过你，它会自动倒记时，从20秒到0就重新启动电脑，使你的系统崩溃！
程序的基本原理是破坏C:\windows\system\下的vmm32.vxd文件。vmm32.vxd是虚拟
设备驱动程序，正常文件大小913413字节，文件修改时间为，就是由于它
被破坏了（文件被替换为同名文件，大小变为81531字节，文件修改时间变为1998－06－
19），导致你的计算机不能进入Windows系统。
作者提供的破解方法是：在开机的时候按F8选择Command prompt only方式进入DOS
下，之后在提示符后执行repair，就可以解决了。另外你事先备份了vmm32.vxd文件，就
可以使用另外一个破解方法：用启动盘从A盘启动计算机，将备份的vmm32.vxd复制到c:\
windows\system\里，重新启动计算机就可以了。如果没有备份，到其他计算机上复制一
除了上面说的那两个方法，还有一个更简便的破解方法。我们在Carem3.exe刚运行
后，倒记时尚未结束前，按住ALT+F4键关闭软件窗口（不要指望能通过按Ctrl+Alt+Del
来终止它，作者早就将这些按键屏蔽了），此时你的鼠标将被锁定在桌面的某个小范围
内（屏幕中央偏右一点），鼠标是无法使用了。但是如果你自己不重新启动电脑的话，C
arem3.exe也不会自动重新启动你的电脑——因为它已经被关闭了。此时的你可以使用键
盘来*作，如果嫌麻烦，直接重新启动电脑即可。不要害怕，我们按ALT+F4时已经将软件
关闭了，在破坏开始前就将它给消灭了，所以这次重新启动电脑和我们平常重新启动电
脑一样，是安全的！顺便说一句如果你的系统是Win2000以下就要小心它了！
点评：比较恶毒，因为一般人想不到它会破坏vmm32.vxd，不过还好，作者提供了破解
的方法，所以还在可控范围内。
恶毒程度：★★★
五、妖之吻
妖之吻是千年老妖的作品。下载解压后大小252KB，只有一个文件名为yzw.exe的可
执行文件，它的外表看起来很友善——图标是两只握在一起的手！如果你被这表面上的
友善所打动，双击运行了这个程序，哈哈，你的恶梦就此开始了！
首先，屏幕上会出现一个不大好看的窗口，上面写着“亲爱的，给你一个关机之吻
”，同时在窗口中显示60、59、58……这样的倒计时数，记时到“0”系统就自动重新启
动。当你再次听到Windows的启动声音，以为没什么事的时候，那个可恶的“亲爱的，给
你一个关机之吻”又出现了，然后再次重启，如此反复，陷入一个死循环中，使你根本
无法进入你的系统。你若想在那个窗口出现时按“Ctrl+Alt+Del”来终止它，根本就不
管用，因为作者将热键屏蔽掉了。呵呵，这深情一“吻”不好受吧？
怎么办？你要删除它的主文件？好吧，假设你是在c盘根目录下运行的yzw.exe，删
除它以后你再进入系统时，会出现对一个话框提示你“装载c:\yzw.exe失败，必须重新
安装Windows”，这时你只能点击对话框上的“确定”按钮，点击后这个世界果然清净了
许多——系统自动关机了。你若想通过安全模式进入Windows也是行不通的，它还会出现
上面所说的提示，然后直接关机。那它到底是怎样控制我的系统的呢？我给你一个提示
，看看这句话：“装载c:\yzw.exe失败”，对！它要装载yzw.exe文件，要装载它就可能
从注册表，win.ini，system.ini等入手，那么这个“吻”到底从何处加载的呢？
实际上，妖之吻运行后会修改c:\windows\system.ini文件，将其中的shell=explor
er.exe改为了shell=c:\yzw.exe。当你再次开机时，所中的妖之吻会被自动加载运行。
从这里可以看出，妖之吻用自己的主文件代替了Windows的explorer.exe文件，explorer
.exe是Windows的外壳程序，在Windows启动的时候要加载它，由于yzw.exe和explorer.e
xe的启动运行不一样，因此中了妖之吻之后，改注册表和win.ini没有用。而且你不能删
除yzw.exe，一旦删除它，Windows就会提示报错，要你重新安装Windows。注：这里c:\
代表绝对路径，如你是在d:\aaa下运行的yzw.exe，相应的shell就为d:\aaa\yzw.exe。
解决办法：这里共有五种方法提供给大家，用哪种方法都可以的。
方法1：由于妖之吻是在system.ini中作怪，我们到那里把它消灭就可以破解它了。
具体方法是：机子重启后按Shift+F5进入Command prompt only方式，键入命令edit
system.ini编辑system.ini文件，把其中的shell:=绝对路径\yzw.exe改为shell=Explor
er.exe，存盘退出，再重启机子就可以进入那熟悉的Windows桌面了。
方法2：同理用edit命令编辑system.ini文件，不过这次是将shell这条语句删除，存盘
退出，重启即可破解妖之吻的控制。
方法3：由A盘启动，将其它机子上的explorer.exe文件改名为yzw.exe，并将改名后
的explorer.exe文件拷贝到yzw.exe所在的目录覆盖原来的yzw.exe文件，系统重启后就
可以了。如果你觉得每次加载在Shell后的文件名为yzw.exe不大好，可以再用msconfig.
exe将它该回为explorer.exe这个文件名。
方法4：大家都知道Windows的窗口可以用组合键Alt+F4来关闭，在这里这个组合键
依然有效。在你第一次运行yzw.exe文件，出现倒记时窗口的时候，按Alt+F4键可以关闭
这个窗口，然后点击“开始”→“运行”调出“运行”对话框，键入msconfig.exe回车
，这样就打开了系统配置实用程序，点击system.ini标签，找到[boot]小节，把shell=y
zw.exe(当然前面还有yzw的路径）改成shell=Explorer.exe，这样就彻底解决了妖之吻
方法5：系统中如果有事先备份的System.ini文件，就可以在机子重启后按Shift+F5
进入Command prompt only方式，然后把事先备份的System.ini文件拷贝到C:\Windows下
，覆盖原文件即可。
点评：“老妖出品，必属精品！”“妖之吻”是恶作剧软件中的精品！一个可以促
使菜鸟进步的小软件。并且它在“江湖”中出现的很早，所以对大家的威胁没有它刚出
现时那么大了。
恶毒程度：★★★☆
七、布莱尔之夜
布莱尔之夜也是个恶意程序，如果你不知道解除方法，后果比上面介绍过的两个恶
意程序还要可怕！下载后只有一个文件blair.exe，大小252，416字节，所用图标有闪电
一道(左图)。不小心运行了blair.exe后会出现一个阴暗的画面，画面中间仿佛是中世纪
的一个阴暗城堡，很恐怖哦！如果你想通过按CTRL+ALT+DEL组合键来终止它的运行，那
是不可能成功的！作者早就考虑到了这一招，把热键都给屏蔽掉了！正当你对着这个讨
厌的画面一筹莫展时，电脑自动重新启动了！当可爱的Windows桌面出现时，那个讨厌的
阴暗画面也随之出现了！等5秒种左右，电脑又被重新启动，于是一个循环又开始了！最
可恶的是，作者把ALT+F4也给屏蔽了！这样我们就不能通过关闭窗口，然后再检查注册
表或Win.ini、System.ini等文件，来对付这个恶意程序。
原来，blair.exe被运行后，除了屏蔽了所有热键外，还在C:\Windows下生成syswf.
exe文件，大小仍为252，416字节，并且在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Micros
oft\Windows\CurrentVersion\Run下建立串值syswf，其键值为C:\Windows\syswf.exe，
这使得syswf.exe在系统启动时被加载，因此造成重启不断，循环不止。
解决办法：有五种方法提供给你，自己选择吧！
方法1：当blair.exe被运行，出现那个阴暗的画面后，赶快按F11键2秒以上，就会
弹出个对话框，上面写着“布莱尔之夜已成功卸载，请重新启动计算机”，按对话框上
的“确定”键机器就会重新启动，这样就成功结锁了！但是C:\Windows下的syswf.exe文
件并没有被删除，还得把它删除才算真正的清除了布莱尔之夜。
方法2：当系统重新启动，桌面出现时，赶紧(动作一定要快)按“开始”→“运行”
菜单，在弹出的“运行”对话框中输入msconfig，回车，然后点击“启动”标签，将复
选框syswf C:\Windows\syswf.exe前面的“√”去掉。如此*作后，机子还会重启(还在s
yswf.exe控制下)，但这是最后一次了。重新进入系统后，将注册表HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的的串值syswf删除就可以了！慢
！那个C:\Windows下的syswf.exe文件还没删除，不能算干净的清除了，赶快删除它吧！
方法3：机子重启后按Shift+F5进入Command prompt only方式进入DOS下，进入C:\W
indows下，找到syswf.exe文件删除，然后重新启动电脑，到注册表中将相应的键值删除
方法4：用A盘启动，拷贝其它电脑上的可执行文件，比方说msconfig.exe，并改名
为syswf.exe，拷贝到C:\Windows下，覆盖原文件。这样就使启动时的文件变为msconfig
.exe，可以解锁了。然后再到注册表中将布莱尔之夜所创键值删除，就成功的摆脱了讨
厌的“布莱尔之夜”了！
方法5：布莱尔之夜由于没有替代windows的外壳，因此可以重启电脑到“安全模式
”下，然后将C:\Windows下的syswf.exe文件和注册表中的串值syswf删除，到此就可以
点评：布莱尔之夜不破坏硬盘数据，只是让你的电脑不断重启，对付它还算容易。
但对于新手它的威胁可一点也不小。
恶毒程度：★★★☆
这也是网络休闲庄的作品。解压缩后有三个文件：limit.exe、limitkill.exe和hel
p.txt。help.txt是说明文件，里面有软件的说明；limit.exe就是为系统攻击程序（WIN
98下），文件大小406528字节，还是让我们来看看它的“面目”认识一下它吧（左图）
。被攻击后的Win98系统不能执行任何应用程序，但不会对系统文件做任何破坏。用来恶
作剧很安全（因为它不破坏数据嘛）；limitkill.exe为清除文件，运行此文件后重新启
动计算机或注销当前用户来重新登录，会使系统恢复到正常！
此程序不属于纯恶作剧的东东，它可以做为一个系统限制工具，用来在自己长时间
不用计算机又怕别人使用时对计算机的限制。
可能有朋友要问了：“该软件运行后能锁住计算机里的所有程序，你将不能运行包
含limitkill.exe文件在内任何应用程序。但要运行limitkill.exe文件该怎么办呢？”
是的，这的确是个问题！不过，我们可以利用一个小窍门嘛。窍门就在这里：打开“我
的电脑”，点击“计划任务”，再点击“添加已计划的任务”，将破解程序limitkill加
入到计划任务里，选择“当启动计算机时”即可，重新启动计算机后就解除封锁了。
点评：如果不知道解法，也很恶毒。如果知道解法则另有它用。
恶毒程度：★★★☆
八、网恋绝招
网恋绝招下载解压后大小323,584字节。只有一个可执行文件lovetty.exe，和大家
常用的软件“追捕”的图标一样，莫非恶意程序都如此^_^？因此如果改名为wry.exe(追
捕的主文件名)，那么就很容易使人上当！如果你不小心执行了lovetty.exe，就会出现
如图所示画面。
并从30开始倒记数，到了0系统就自动重新启动了！系统启动后并不直接进入Window
s，而是又进入网恋绝招的倒计时界面，如此循环下去……程序屏蔽了绝大多数的热键，
你不能通过CTRL+ALT+DEL等热键终止程序运行。想到“安全模式”下？还是不行！会提
示你“装载c:\lovetty.exe失败，必须重新安装Windows”，是不是和“妖之吻”很相像
？其实这个软件本来就是模仿“妖之吻”编制的。
当lovetty.exe被运行后，第一个动作就是将System.ini文件里[boot]下面的第三行
变为shell=绝对路径\lovetty.exe，目的是将自身写进System.ini文件里，替代Windows
系统的外壳程序explorer.exe，然后开始以下循环：进入到计时→关闭WINDOWS系统→重
新启动系统。只要系统运行到shell=绝对路径\lovetty.exe这一项时，就会重新执行网
恋绝招，从而使系统进入上述恶性循环。“网恋”看来很“苦”哦！
解决办法：由于网恋绝招与妖之吻的实现原理一样，因此清除方法也大致相同。
方法1：作者其实留了个“后门”。仔细看上图中所示画面，找到屏幕下端最后一行
字：“解法就一种，本界面上就有出口，你慢慢找吧！”哈哈，“后门”就在这行文字
中，确切的说就在那个“解”字上。用鼠标点击那个“解”字，就解除了恶性循环，也
就安全的解除了网恋绝招的控制！
方法2：其它解除控制的方法可参照妖之吻解决办法！
点评：与“妖之吻”太相像了，又出现在“妖之吻”之后，“既生渝，何生亮”恐
怕是其真实处境的写照，但对广大网友而言它的威胁还是瞒大的。
恶毒程度：★ ★ ★ ☆
九、恶作剧之王
“不要摸我的左眼，否则你会后悔的！”，当你看到右眼被黑眼罩蒙住的克林顿在
屏幕上说这句话时，你就要小心了，鼠标千万不能碰到他的眼睛！如果你不小心碰到了
头像的左眼，机器会立刻重启，你的所有硬盘都将被格式化！怎么回事？哈哈，你碰到
了大名鼎鼎的“恶作剧之王”了！
恶作剧之王是个恶意程序，前面提到的几个恶意程序和它相比，简直是小巫见大巫
！前面介绍的那几个程序有一点好处，它们都不破坏硬盘数据。但恶作剧之王就不同了
，如果你处理不当，它就会格式化你的硬盘，使你所有的资料都被删除！恐怖吧？
下载解压后只有一个文件Sex.exe，图标是一个MM的头像，如果你想入非非，用鼠标双击
运行了这个程序，它会让你大失所望——屏幕上出现了克林顿的头像！此时你一定得加
倍小心，千万不要去碰他的左睛，只要一碰他的左眼，就会弹出来一个窗口，上面写着
“你一定想按回车键吧。”如果你按了回车键，系统将会重新启动，并格式化所有的硬
盘。如果没碰到头像的左眼就不会有事。
这到底是怎么回事呢？原来，当你的鼠标指向那个左眼后，程序就向C:\Windows\te
mp\Vbe下复制一个副本文件Sex.exe，然后向Autoexec.bat中写入快速格式化命令，从最
后一个盘格起，然后锁定你的鼠标，只要你按回车，便立刻重启并切换到DOS格式（主要
是因为在Windows下无法格式化C盘)。在程序退出之前，自动执行一次Autoexec.bat，此
时已经开始格盘了！当到了系统所在分区，就重新启动机器。重新启动后，开始在纯DOS
下再一次格盘，由于使用了快速格式化命令，很快你的硬盘就开始洗澡了，呵呵。即便
你的系统中的早已被你删除也没有用，作者在程序中采用了文件流的方法，
检测是否存在，如果不存在就生成一个(恶毒呀)。程序在运行后就锁定了系
统功能键和鼠标，同时修改了msdos.sys文件，加入了BootKeys=0这一行，目的是使启动
功能键无效，也就是使 F4，F5，F8这些功能键无效。如果没碰到头像的眼睛，就不会激
活格式化功能，因此就不会有什么事了。
解决办法：给你提供了四个方法，你自己选择其中的某一个吧！
方法1：如果你的鼠标没有点在头像的左眼上，此时千万不要乱动，赶快运行进程管
理软件，终止进程sex.exe即可。大家常用的软件如windwos优化大师中就有进程管理功
能，点“系统安全优化”－&“进程管理”，就可以看到sex.exe这个进程，选中它，点
击“终止”即可终止sex.exe的运行。好了，那个讨厌的家伙从屏幕上消失了，可以松一
方法2：如果你的鼠标已经点在它的左眼上了，那就立即关机(1秒钟都不要犹豫)，
由A盘启动，并检查C盘是否被格掉了，如果没有被格掉，可以删除Autoexec.bat和C:\Wi
ndows\Temp\Vbe下的SEX.EXE，然后进入Win98，使用RecoverNT恢复后面的分区。如果你
的动作像蜗牛，那你的硬盘肯定全被格掉了！此时可以试一下UNformAT，不过，只能恢
复FAT16的硬盘哦。
方法3：如果不幸中弹，赶快到软件作者的主页下载
恢复工具，用恢复工具可以恢复硬盘中的数据。
方法4：再不然，重装系统，然后使用RecoverNT恢复后面的分区。
点评：非常恶毒！是个可怕的家伙，大家要小心它。
恶毒程度：★★★★★
十、江 民炸弹
江民炸弹是个更厉害更恐怖的恶意程序，是我见过的最狠毒的硬盘炸弹之一。为什
么叫“江民”炸弹，我想大家也都知道吧？毕竟用过KV系列软件的人有很多，如果当年
你曾中过KV杀毒软件的逻辑炸弹，那么对这个“江 民”炸弹你也不会陌生——会有熟悉
的感觉哦^_^！
软件解压缩后有4个文件，一个是说明文件readme.exe，一个是制作解锁盘用的文件
，还有两个文件就是江 民炸弹了。它们的名字分别为Jmbs.arj、JMBOS.
zip，其实它们都是一个文件压缩而成，只不过扩展名不同而已。如果你把它们解压会看
到jmbs.exe文件，大小为1809字节。这个jmbs.exe就是江 民炸弹了。如果你不小心运行
了它，机器的硬盘将会被死锁住，无论你用软驱还是光驱，都不能启动计算机，硬盘和
报废了没什么区别！如果不懂得解法，基本上就只有买硬盘了！哈哈，恭喜恭喜，可以
升级了(谁拿臭鸡蛋丢我)！
软件原理：计算机在引导DOS系统时将会搜索所有逻辑盘的顺序，当DOS被引导时，
首先要去找主引导扇区的分区表信息，位于硬盘的零头零柱面的第一个扇区的OBEH地址
开始的地方，当分区信息开始的地方为80H时表示是主引导分区，其他的为扩展分区，主
引导分区被定义为逻辑盘C盘，然后查找扩展分区的逻辑盘，被定义为D盘，以此类推找
到E，F，G.....“逻辑锁”就是在此下手，修改了正常的主引导分区记录将扩展分区的
第一个逻辑盘指向自己，DOS在启动时查找到第一个逻辑盘后，查找下个逻辑盘总是找到
是自己，这样一来就形成了死循环，这就是使用软驱，光驱，双硬盘都不能正常启动的
原因。实际上这“逻辑锁”只是利用了DOS在启动时的一个小小缺陷，便令不少高手都束
手无策。知道了“逻辑锁”的“上锁”原理，要解锁也就比较容易了。
解决办法：
方法一：把rescue.exe拷贝到一张空白的1.44MB软盘上，插入软驱，然后运行。显
示“OK”之类的提示信息后，你就有了一张江 民炸弹的解锁盘，如果你发现里面一个文
件也没有，不要惊讶，你没有做错什么，就是这个样子的。快试试吧，用这张恢复盘启
动机子，如果出现unlock的字样，那就恭喜你，成功地解锁了！想当年，我用这张解锁
盘给朋友解锁，可没少美餐啊！她们是怎么中的就不用我说了吧，嘻嘻^_^！
方法二：修改DOS启动文件
首先准备一张DOS6.22的系统盘，带上debug、pctools5.0、fdisk等工具。然后在一
台正常的机器上，使用你熟悉的二进制编辑工具（debug、pctools5.0，或者是运行在Wi
ndows下的Ultraedit都行）修改软盘上的IO.SYS文件（修改前记住改该文件的属性为正
常），具体是在这个文件里面搜索第一个“55aa”字符串，找到以后修改为任意其他数
值即可。用这张修改过的系统软盘你就可以顺利地带着被锁的硬盘启动了。不过这时由
于该硬盘正常的分区表已经被逻辑炸弹给恶意修改了，你无法用FDISK来删除和修改分区
，而且仍无法用正常的启动盘启动系统，这时你可以用DEBUG来手工恢复。使用DEBUG手
工修复硬盘步骤如下：
-xxxx:100 mov ax,0201 读一个扇区的内容
-xxxx:103 mov bx,500设置一个缓存地址
-xxxx:106 mov cx,0001 设置第一个硬盘的硬盘指针
-xxxx:109 mov dx,0080 读零磁头
-xxxx:10c int 13硬盘中断
-xxxx:10e int 20
-xxxx:0110退出程序返回到指示符
-d500查看运行后500地址的内容
这时候会发现地址6be开始的内容是硬盘分区的信息，发现此硬盘的扩展分区指向自
己，这就使DOS或Windows启动时查找硬盘逻辑盘进去死循环，在DEBUG指示符下用E命令
修改内存数据 具体如下：
xx.0 xx.0 xx.0...............
.............................
.......................55 AA
55 AA表示硬盘有效的标记，不要修改，xx0表示把以前的数据“xx”改成0，再用硬
盘中断13把修改好的数据写入硬盘就可以了，具体如下：
a 100 表示修改100地址的汇编指令
-xxxx:100 mov ax,0301 写硬盘一个扇区
-xxxx: 这里直接按回车
然后运行FDISK/MBR（重置硬盘引导扇区的引导程序)，再重新启动电脑就行了。
怎么样？用这种方法处理够简单的吧？而且这种方法还有一个好处就是可以保住盘
上的数据！如果你不需要保数据的话，还有更加简单的处理方法：
方法三：巧设BIOS，用DM解锁
大家知道DM软件是不依赖于主板BIOS的硬盘识别安装软件（所以在不能识别大硬盘
的老主板上也可用DM来安装使用大容量硬盘）。就算在BIOS中将硬盘设为“NONE”，DM
也可识别并处理硬盘。
首先你要找到和硬盘配套的DM软件（找JS要或去网上荡），然后把DM拷到一张系统
盘上。接上被锁硬盘，开机，按住DEL键，进CMOS设置，将所有IDE硬盘设为“NONE”（
这是关键所在！），保存设置，重启动，这时系统即可 “带锁”启动。启动后运行DM，
你会发现DM可以绕过BIOS，识别出硬盘，选中该硬盘，分区格式化，就OK了。这么简单
？不过这种方法的弱点是硬盘上的数据将全部丢失。
方法四：对硬盘进行热拔插
在加电热拔插之前应该先做好了一切的准备，并尽可能想一下会出现的问题，把硬
盘的电源线先给拔松了一点，防止在热拔插时拔不出来，那就遭了，不过也不能太松不
然会找不到硬盘的，找一张软盘启动盘，并插到软驱里，加电开机，看着熟悉的画面，
心中尽管有些激动，但你的手可千万不要抖啊，不然硬盘烧掉就惨了！眼睛牢牢盯住你
的显示器，软驱灯亮之前（就是要在DOS自举之前并且装入硬盘驱动后，）按下键盘上的
“PAUSE”！再把硬盘上的电源线的给拔掉，然后就恢复暂定，一直到DOS启动完成出现D
OS提示符的时候，这时你再把电源线给插到硬盘上去，这时如果硬盘没坏的话，就会发
现已经可以用磁盘分区工具FDISK命令来查看硬盘的分区表了，不过没有这么简单，里面
的分区表已经被逻辑炸弹给恶意修改了，只能查看不能修改也不能删除而且一团糟，用
普通的办法还是不能解决的，此时只有用DEBUG来手工恢复了！具体方法同方法二。不过
只能修复C盘也就是主引导分区，因为扩展分区已经修改了。恢复了以后，硬盘就可以用
FDISK把主引导分区的其它空间分成扩展分区与逻辑盘了。一切OK！
方法五：利用分区表备份恢复
这是最简单的方法，在平时将硬盘的分区表备份一个(没有的话，找一个与之相同型
号的硬盘的分区表也可以)，万一硬盘被逻辑炸弹干掉了，用软盘都起不动的话，可以在
BIOS里将硬盘设为“NONE”，启动后，将分区表的备份恢复回去，然后将硬盘的设置改
回来，从新启动fdisk就可以了。以上的工作，不需要找什么特别的软件，一般的杀毒软
件，如瑞星，KV3000都可以的。还有，如果有条件，最好装一块硬盘保护卡，可以对付
绝大部分的病毒，至少，系统不会被破坏——出了问题，冷启一下就可以了。像CIH这样
直接修改BIOS数据的都可以恢复。
方法六：用硬盘逻辑锁解锁程序
如果硬盘被锁死的症结根源在于DOS中的IO.SYS文件，它包含LOADER、IO1、IO2、IO
3四个模块，其中IO1中包含有一个很关键的程序SysInt_I，它在启动中很固执，非要去
读分区表，而且不把分区表读完誓不罢休。如果碰上分区表是循环的，它就只有死机了
（通常硬盘分区表被锁住以后，形成一个闭合的循环链，IO.SYS从链头读起，试图读取
所有分区的信息，从而形成死循环。如果修改IO.SYS文件，这样读的第十个扇区结尾处
不是55 AA，就认为不是一个逻辑分区的主引导记录，停止读盘，跳出死循环链。我们用
UltraEdit打开C:\IO.SYS，查找“b9 01 00 cd 13”(MS Dos6.22只有一处，Win98有2处
要修改)，改为“b9 10 00 cd 13”。不过，这样*作后，这样即使硬盘分区表是完好的
，启动后也不认硬盘。所以修改IO.SYS以后，如果要正常访问硬盘还要将IO.SYS恢复原
状。）。很明显，这是DOS的脆弱性和不完备性。其实这也不能怪DOS，因为DOS为了获得
硬盘使用权，就必需读分区表参数，而且DOS还约定驱动器号不能超过26，只不过没有考
虑到此等循环分区表情形。一句话，机子不能启动不过是DOS*作系统造成的，如果另写
一个*作系统，或许就能启动机子。当然这只是说个笑话。
明白了病因在于DOS，问题就好办了。DOS启动中不是要读硬盘分区表吗？我不让你
读分区表甚至连硬盘都不让你读，不就可以顺利启动了。的确是这样的，开硬盘锁的程
序实现方法就是基于这个思想形成的。当然，这只有从软盘启动着手了。
我们当然不用自己去动手编制这样的程序了，因为已经有好心的网友提供了这样的
程序，以下为某网友编制的硬盘逻辑锁解锁程序，对付硬盘逻辑锁非常有用，下载地址
，含源代码及目标程序，共1020字节。
使用方法：如果你的硬盘被老王的逻辑锁给锁住了，把这个小工具复制到你的引导
盘上，运行它Modify一下，然后用它来引导被锁的机器。一切OK。注意修复硬盘后Resto
re回来。当然你运行它时，软驱要打开写保护啦。
好了，有了上面这些方法你就不用再害怕逻辑炸弹了。如果你不小心“中弹”，就试试
上面这些方法吧。
点评：对我来说，它应该是个毁誉参半的家伙，一方面它的确很恶毒，可以破坏硬
盘数据；另一方面它为我嬴得了许多美餐，所以对它有一定的感情（是谁拿臭鸡蛋丢我
恶毒程度：★★★★★
十一、Diskboom
如果你的屏幕无端出现一个DOS框，并有一行英文“your system is now locked
by diskboom,please reset”那就证明你中了最无耻的Diskboom了！这时候你千万不要
按屏幕上的提示去重新启动计算机，因为那样的话，你就再也找不到你的硬盘了，就算
光盘引导，软盘引导都无效！
你应该去黑客网站去下载一个Diskboom(如果不幸重起了，那么去朋友家或者网吧下
一个，千万不要扔掉硬盘哦^_^)，然后把压缩包里面的恢复程序复制到一张系统盘，在
盘上建立一个Autoexec.bat文件，第一行输入&恢复程序.exe&，目的是自动执行恢复程
序，这一点是最关键的，readme里面没有说明。最后，拿这张盘引导系统，如果你看到
屏幕上出现“unlocked”提示，就说明你的硬盘又“活”了，赶快感谢上帝吧！
点评：非常狠毒，如果知道解法则另有它用——比方说给朋友下套后，让其请客吃
饭，不过，被朋友发现了你就惨了！
恶毒程度：★★★★
十二、硬盘终结者
硬盘终结者是蔬菜工作室的作品，作者蔬菜就是著名的反弹端口木马网络神偷的作
者（注：作者已经开发出网络神偷XP版，大家要小心喽），所以即便是不运行硬盘终结
者也能猜测出它有多厉害。硬盘终结者共有两个版本1.0和1.1，两者的区别是1.0版由两
个文件组成：Sector.vxd和HDBreak.exe，而1.1版作者将Sector.vxd与主程序HDBreak.e
xe合并为一个文件：HDBreaker.exe。因此它非常适合和其它文件捆绑在一起，对众多的
电脑用户的威胁非常大！由于此程序太过危险，作者已经停止开发新版本。
由于使用了VxD技术，所以硬盘终结者能在Windows环境中直接写硬盘扇区，和其它
同类软件不同，硬盘终结者不必等待电脑重启就可以对硬盘进行破坏。运行后立即进行
破坏，不会显示任何界面，它会从硬盘第一物理扇区(0柱0面1扇区)开始，向其中写入内
存垃圾数据，与CIH病毒发作时的表现相似，据作者说就是从CIH那里学来的。
说句心里话，在硬盘终结者的主文件HDBreaker.exe之前，我心里也直犯嘀咕，对于
到底是否运行该程序也犹豫不决。毕竟它是会破坏数据的恶意程序呀。但为了得到第一
手资料，我就豁出去了。不过，为了稳妥起见我是在单位上的没有有用资料的电脑上运
行的，事实证明我这个决定是正确的、英明的！如果我在本机上运行该软件，那我的硬
盘数据恐怕就会荡然无存了，也就不会有此文了。
症状表现：运行HDBreaker.exe后，在该目录下出现一个名为Sector.vxd的VXD文件
，紧接着机箱上的硬盘灯狂闪不止，鼠标略有凝滞感，看来是大事不好！连忙按Ctrl+Al
t+Del想重启电脑，没有用！看来作者早就把Ctrl+Alt+Del给屏蔽了。试着运行一些应用
程序，有些可以正常运行，而有一些应用程序则无法运行，点击图标，显示“非法*作”
信息。后来，连复制、粘贴等常用*作也无法进行！为了得到确切的数据，我对其进行了
多次测试，结果每一次的后果都不同，有两分钟后蓝屏死机的，还有运行十多秒后死机
的，也有不断蓝屏但不死机这种情况出现……最终的表现为重启电脑后引导失败，用A盘
引导，同样无法找到硬盘分区。试图进入C盘，出现RETRY? ABORT? FAIL?这样的提示信
息；D盘和E盘则为“INVALID DRIVE SPECIFICATION”这样的提示信息。
被硬盘终结者破坏的硬盘其C盘的数据是无法完全恢复的！其它分区中的数据能否恢
复要看你的本事了。如果软盘上有主引导区(分区表)的备份，只需将它恢复后再重启电
脑就可以看到C盘以外的其它分区了。在此基础上，如果其它分区上有C盘的Ghost映象的
话，将C盘格式化以后再将其还原，可将损失降到最小。
　　如果使用软件恢复硬盘数据，只有江民公司的KVW3000和金山毒霸2001能成功修复
除C盘以外的硬盘数据，其它杀毒软件无法恢复被硬盘终结者破坏后的硬盘数据。不过，
令人遗憾的是KVW3000和金山毒霸2001创建的恢复盘也无法恢复C盘数据。
说明：硬盘终结者只能运行于Windows95/98/Me下，所以对Win2000和WinXP用户没有
任何威胁。另外，被硬盘终结者破坏后，硬盘能低级格式化，硬盘还能使用，所以如果
一旦中招可以想办法恢复硬盘数据，即便是恢复不成功，也不要把硬盘仍了，至少你可
以重新格式化硬盘呀。如果你真要仍了你的硬盘，最好仍给我。
点评：硬盘终结者实在是太…太…厉害了！个人认为它是本篇中所有恶作剧软件中
恶毒的一个！事实上，硬盘终结者超出了一般恶意玩笑程序的范畴，它是一款极其恶性
的硬盘炸弹程序。千万不要在本机或朋友的机子中运行它，如果你和朋友的系统是Win20
00或WinXP除外。防范方法只有一个——不去运行它！
恶毒程度：★★★★★
上面介绍的恶意程序，除了江民炸弹、FUHD、硬盘终结者等少数几个程序外，其它
程序用杀毒软件都查不出来，因此要记住上面的方法哦。最重要的是，不要随意运行来
历不明的程序，如果你不运行它们，它们又能怎么样呢？这是防范恶作剧软件的最好的
Powered by}