裸奔中招，提醒兄弟们还是装个把病毒监控吧

allheated

上上周在教室电脑里用过U盘，又去研究所电脑上拷了些东西，回家之后倒到自己电脑上。

原本装有360杀毒的，但是因其对360系列产品防护甚严，以至于R&R 4.0备份时总要提示某某文件不能复制的对话框，而且都是R&R默认必须备份，无法跳过的文件。360保险箱、360安全中心自我保护等也引起这个问题。一怒，将360杀毒、360保险箱彻底卸了。把360自我保护关闭。R&R备份终于省心了。

但是这次却有麻烦了。点击U盘某文件夹图标的时候，不知不觉间小小木马就进驻我的windows\system32了。后来不知因为什么原因，切换了显示隐藏文件选项，再看U盘，所有的文件夹都是一对，一个隐藏的，是正牌的文件夹，一个显示的，却是同名、图标是文件夹试样的小程序——不问而知，是病毒或木马了。看到了就不手软，该备份备份，格式化U盘。360也没有报警，估计没引起什么问题。

但是晚上开始就不正常了。emule、灵格斯词典等常用软件不是无法运行，就是莫名其妙自己关闭。很久没有中毒中马，所以开始竟然没想到是中木马了，以为是新换上的内存条兼容性的问题。但后来想想不对，内存条换上也有半个多月了，这些软件也没有更新过，要有兼容性问题早就发作了。

打开任务管理器，看见了两个面生的进程。看来这个木马还不是很狡猾，没有用隐身术等高端手法。按图索骥，终于把它在system32下搜出来了，是两个字母数字组合名的文件夹，关闭有关进程后用unlocker删除。终于还是有一个需要重新启动之后才能彻底删除。如此一番折腾，总算没事了，使用上也都正常。

经过这个事情之后再看，有几个教训：

1. 360这个东西还是不尽可靠。这样说当然有些责备求全：原理上所有的杀软、防火墙都是千日防贼，或者有杀错无放过，被动、笨拙且神经质。病毒木马则永远处于主动的进攻位置。但是从这次经历看，文件夹同名病毒不算新，已经是小case了，但自始至终360没有报警，看来其监防机制大有漏洞。
2. 没有可靠的报警，难免乱怀疑，举止失措。有的同学出于各种顾虑，不愿用杀软、防火墙，而是采取原教旨主义安全策略——时时备份+裸奔+风吹草动之下即重新覆盖系统。但是人的思考是发散性的，会犯错，不象软件这种东西是一根筋。防毒的弦谁都不会绷得象软件这种死东西那么紧。如我开始怀疑到内存条上那样，一个犹豫，一个失误，就会招来不必要的麻烦，造成无谓的二次损失。至少多耽误很多时间，影响工作效率和心情。
3. 可靠的防火墙+系统备份，一主内一主外，二者搭配，大可有备无患。但应注意二者有无冲突。从安全角度讲，为了备份而强制关闭防火墙的自我防护功能得不偿失，那么备份软件就应当提供方便的排除功能。但R&R4.0的排除策略非常保守，文件夹下如有.exe、.dll等默认必须备份的文件，设置排除时点选了文件夹本身是没有效果的。可能这个问题暂时还不突出，将来应该逐渐有更方便稳健的解决方案。当然也可能是我孤陋寡闻，还请了解这方面的同学不吝赐教。