“广外女生”的查杀过程

这两天，自己在公司的一台Win2000服务器老是出现一些怪现象，不知怎么了，运行程序总是比较缓慢，而且经常出现死机的现象，金山毒霸和天网防火墙也无法正常运行了。

而且使用任务管理器察看系统性能时，CPU的使用率总是100%。仔细察看了一下进程，老是有一个“DIAGFG.EXE”的陌生程序在运行，并且此程序对CPU的使用率总是在0%~98%之间变化，也不知道这个进程是不是导致我的服务器出现问题的原因，如果是，那么它对我的系统究竟做了什么？出现的这一大堆问题，真是让我手足无措，无奈，只得抱者这些问题到网上去寻求一些帮助了。

经过一段时间的查找与分析，终于发现了原来是一个叫“广外女生”病毒在我的服务器上作怪。这种病毒类似著名的特洛依木马病毒，能够远程监控及修改视窗系统的注册表，而且是专门冲着国内软件“金山毒霸”和“天网防火墙”而来，可以让这两者失去作用。“广外女生”原名为Trojan.GWGirls10A.192000，是广东外语外贸大学网络小组的“杰作”。它能运行于Win98/WinME/WinNT/Win2000系统中，除了可以让发出者操控受害者的计算机，还可以利用视窗系统的漏洞，破坏金山毒霸及天网防火墙的文件。该木马程序运行后，将会在系统的SYSTEM目录下生成一份自己的拷贝，名称为DIAGCFG.EXE，并关联.EXE文件的打开方式，如果直接删除了该文件，将可能会导致视窗系统所有.EXE文件无法打开。

病毒清除方法：
注意：这个步骤的次序不能颠倒，否则可能无法完全清除掉此木马。
1.按“开始”菜单，选择“运行”，输入regedit，按确定。打开下面键值：
HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand，但是先不要修改，因为如果这时就修改注册表的话，DIAGCFG.EXE进程仍然会立刻把它改回来的。
2.打开“任务管理器”，找到DIAGCFG.EXE这个进程，选中它，按“结束进程”来关掉这个进程。注意，一定也不要先关进程再打开注册表管理器，否则执行regedit.exe时， 就又会启动DIAGCFG.EXE。
3.把HKEY_LOCAL_MACHINESOFTWAREClassesexefileshell
opencommand的键值由原来的C:WINNTSystem32DIAGCFG.EXE "%1" %*改为"%1" %*。
4.这时就可以删除C:WINNTSystem32目录下的DIAGCFG.EXE了。切记万万不可首先删除这个文件，否则的话就无法再系统中运行任何可执行文件了。

经过上面的一系列操作步骤之后，我的服务器恢复正常了。不过这时自己也是虚惊一场，如果一开始武断的认为那个陌生的DIAGFG.EXE程序是非法程序，而就把它直接删除的话，那后果将不堪设想。看来在做类似这样操作的时候，建议大家一定先要了解原因，并通过各种途径获知解决问题的办法，经过详细的分析后，再决定因该做些什么。不然，很有可能会导致整个系统的瘫痪。

作者:许永超