今天徒弟拿来一个U盘，说感染了win32.virut病毒，让我帮他杀一下。徒弟水平其实很高的，没想到他也会无办法。我正在杀的时候，徒弟告诉我，三楼的师傅也被感染了，因为刚从三楼过来。确实，稍顷，三楼的同事打电话求救说是感染win32.virut病毒，卡巴6.0杀不了，把卡巴自己给杀死了，还把系统也给杀死了。我说你上来吧系统盘拿过去重装一下，下载卡巴7.0升级，你再试试。第二天，见到三楼的同事，他说，你来看看吧，我快崩溃了，新装的系统也被感染，卡巴照旧吧系统杀死，我已经重装两遍了，毒越杀越多。

　　win32.virut病毒是一个感染.EXE文件(网上有不少人说也感染.SRC，但我没有发现)的病毒，网上的win32.virut的说明我这里没有发现症状，也许是变种了。感染virut病毒的计算机同时在每个盘符的根目录生成两个文件autorun.inf和Ravmon.exe，并且在Winxp系统的各个盘符的根目录下System Volume Information隐藏文件夹里生成有*.inf和*.exe文件个一个，这里的*是随机的，并没有严格一致性或者某些可视的规律性。这一点和网络上关于win32.virut的特性一致——每次感染(捆绑)都是随机变异的特征码。

　　在经过上述老兄的重装之后，仍旧能够快速感染，说明win32.virut病毒破坏力之大，当然主要还是两个因素：1、感染的exe文件；2、通过autorun.inf自动引导感染。

　　根据Virut病毒这两个特性我采取了以下措施，供大家借鉴(我们已经成功了)，同时也给那些感染了恶性病毒的朋友一些借鉴，其实方法都是一样的，成功的原理也是一样的：

　　步骤一：使用系统盘重装操作系统。Windows的安装盘，或者光盘引导的Ghost恢复，或者光盘引导的并且在光盘上加载Ghost.exe 运行程序的硬盘Gho恢复。这里有一点说明，如果使用纯光盘的重装，或者纯光盘的ghost恢复，源文件是干净的，所以没有问题，但是不能使用备份在硬盘上的ghost.exe程序来引导，因为win32.virut感染.exe文件，硬盘上的ghost.exe也难逃此劫。同时Winxp本身携带的系统恢复是不行的，因为已经被污染了。

　　步骤二：禁止一切硬盘操作，从网上下载最新的杀毒软件(建议使用卡巴斯基7.0)到桌面，安装，升级。此步骤只允许在桌面操作，不要使用硬盘上原有的任何文件，我们只要打开就极有可能被重新感染，所以我们的一切操作都在桌面，包括软件的下载，安装，升级等一系列的过程。至于为什么要禁止一切硬盘的操作，因为前面所说的win32.virut病毒的第二个重要特征——autorun.inf引导。关于autorun.inf的问题请参照以前的文章：硬盘双击打不开的解决办法。

　　也许有朋友会问，为什么不感染“桌面”，因为病毒感染生成的文件是在其他盘符，系统盘是我们格式化过的，很干净。如果我们没有点击其他硬盘，或者运行其他盘符的程序的话，病毒是不会感染给我们的，这同时也是很多朋友重装之后，二次感染的主要原因。

　　步骤三：杀毒。这个是最慢的过程，因为如果你的硬盘上存放的软件或者备份的软件多的话，会杀到一大堆病毒的。当然了，为了安全期间建议你在杀毒的时候，把这些D、E、F、G等非系统盘符的所有硬盘上的EXE删掉，而不是我们常规说的清除，当然清除也可以，如果不是特别重要的文件，或者我们能从网上或者别处重新拿到就杀了它吧。当然在杀毒完成之前，建议还是不要打开任何硬盘上的东西，哪怕是打开硬盘也不要做，原因如同步骤二。

　　步骤四：重新启动计算机，扫描一遍系统的关键区。这步是验证我们的计算机有没有被重新感染，当然，如果在整个过程中我们严格的执行了“禁止一切硬盘操作”的话，应该没问题。如果发现有问题，尝试清除，或者重新步骤一开始——之所以这样，你一定在我们要求“禁止硬盘一切操作”的时候，你去看硬盘上的东西了，或者运行了硬盘上的程序。

　　以上是win32.virut病毒的清除方法，综合一点说就是：重装系统，网上下载杀毒，一切在桌面操作，最后杀毒。

　　不知道我写的东西大家能否能看懂，或者时候会有什么不当的地方。