【图吧垃圾佬的日常】电脑卡死并出现500M HTML文件的解决办法

本篇教程是图吧垃圾佬日常解决电脑问题的过程，充分阐述了图吧垃圾佬电脑有问题的解决思想

病毒名：Virus.Win32.Nimnul.a

症状：系统严重卡顿、应用程序假死这些常见的病毒感染症状就不用说了，主要特征是本地会出现巨大的500M左右的HTML文件，严重拖慢系统进程的同时还会降低硬盘可用空间和读写寿命

一开始咱没当意，毕竟HTML文件出现了删了就好了，文件资源管理器的搜索功能也很好用搜出来可用直接删

但是到了后来就不太行了，因为毕竟是病毒，进程严重占用系统资源，咱的正常活动都无法进行了，如果各位看过咱最近的视频就知道，系统经常会卡到假死的状态，发展到最后会卡到开关机都无法进行,开机之后甚至会出现此WINDOWS副本不是正版的提示

你看C盘这会儿又11G可用空间，过会儿就剩0K了

病毒动作：全盘感染,病毒通过线程注入，反复感染

样本为感染式病毒，运行后会感染本地可执行程序（EXE、DLL），会感染全盘的网页文件（HTML、HTM），将自身写入到它们内部，当运行可执行程序或加载网页文件时，都会运行该病毒。该样本是在正常程序的尾部添加新的节.rmnet，将程序入口点修改到新增加的节中，通过这种方式进行感染可执行程序。（因此严重占用系统进程，尤其对于运行多个进程的系统更是如此）

该样本感染是通过在正常网页文件中写入一段VBScript脚本来实现的。这段脚本的功能是将WriteData这段内容转为二进制，保存为svchost.exe文件，存放到Temp目录下，并调用该程序执行。使用IE打开被感染的HTML文件，会弹出IE保护信息栏，点击允许之后，再次弹出安全警告是否允许活动的内容，点击是之后，会弹出警告窗口，是否允许这种交互，点击是，此时，在Temp文件夹下就会释放出svchost.exe了。所以被感染的系统都会访问这个已经失效的域名：fget-career.com。

因为该感染式病毒感染网页文件，并可以通过网站传播，所以国内仍有大量网站感染此病毒（至今有效）。

解决方法：

一开始咱想过找杀毒软件，但是想想常见“杀毒软件”干啥啥不行误杀第一名的样子自然的排除了这个选择，而且电脑出了问题就指望用一个软件一招鲜吃遍天完全解决问题是不可能的，也不是图吧垃圾佬的风格。

所以咱的想法就是想办法先根据症状逃出病毒名，然后根据病毒名称直接搜索就可以了，网上都有专门的查杀工具：

这个后缀是.BAT的程序是咱一开始找到的标准查杀工具，能够修复被感染的HTML文件恢复原文件并查杀相关的病毒，执行逻辑其实很简单，都是开始之后停止IE的进程iexplore然后全盘找被感染的EXE和HTML，对于EXE来说可以解除注入恢复原文件

但是真正需要杀毒的时候这个软件却一样没能逃过病毒的攻击，和CHROME和文件资源管理器等软件一样，运行不了多长时间就假死一直画圈了。

所以我们最后重新根据病毒名找到了国人开发的另一款专杀工具：