昨天一家公司客户急冲冲的打来电话,说电脑启动明显变慢,打开网页也很慢,有时甚至打不开;提示防火墙被关闭;杀毒监控被停止,主程序刚打开即被关闭,无法启动. 连网上银行都无法使用,叫了几家电脑公司弄了几次都没能完全解决问题. 观澜电脑维修接到维修电话后,初步诊断为:系统感染恶性病毒,系统核心程序安全钩子被劫持。鉴于客户情况紧急,于是火速安排人手,不到40分钟就赶往客户公司.
观澜电脑维修-现将详细处理过程与大家分享,望对各客户今后的排查病毒有所帮助. 同时也欢迎与各同行多多交流技术,让客户更省心.
处理过程: 1. 查找病毒:因为杀毒软件已无法启动,所以只能采用手工查找。 先启动msconfig工具,未发现异常启动项; 打开IE浏览器,打开“管理加载项”窗口,也没有发现异常的加载项; 使用“观澜电脑维修-手动专业杀毒工具”软件,扫描后生成报告。打开报告,其中部分内容如下: C:\WINDOWS\SYSTEM32\CTFMON.EXE C:\WINDOWS\SYSTEM32\KMON.DLL C:\WINDOWS\SYSTEM32\fk384kdf.DLL
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM32\KMON.DLL C:\PROGRAM FILES\TENCENT\QQDOWNLOAD\QQIEHELPER02.DLL C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WINDOWSLIVELOGIN.DLL C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\MSIDCRL40.DLL C:\WINDOWS\SYSTEM32\URLFILTER.DLL C:\PROGRAM FILES\RISING\ANTISPYWARE\URLRULE.DLL C:\WINDOWS\SYSTEM32\fk384kdf.DLL
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLLOGINPROXY.EXE C:\WINDOWS\SYSTEM32\KMON.DLL C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\MSIDCRL40.DLL C:\WINDOWS\SYSTEM32\fk384kdf.DLL
C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM32\KMON.DLL C:\WINDOWS\SYSTEM32\fk384kdf.DLL C:\WINDOWS\SYSTEM32\RAVEXT.DLL C:\WINDOWS\SYSTEM32\MSACM32.DRV
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE C:\WINDOWS\SYSTEM32\KMON.DLL C:\WINDOWS\SYSTEM32\fk384kdf.DLL
C:\WINDOWS\SYSTEM32\KMON.DLL C:\WINDOWS\SYSTEM32\fk384kdf.DLL
发现在很多系统进程下挂接了一个异常的文件:C:\WINDOWS\SYSTEM32\fk384kdf.DLL,这个文件名是一串随机的字符,找到这个文件后,发现它没有任何发布公司或版本的信息,可以肯定这是个病毒文件!终于找到它了!
2. 清除病毒 病毒找到了,把它删除即可。点删除,系统提示文件正在使用,删不掉!这时就需要使用另一个利器——IceSword,它可以在系统控制之上,强制删除文件!马上找到它,双击,却没反应!再次双击,还是没反应!你可能以为它被病毒破坏了吧?其实不然,它是被镜像劫持了,当然这也是病毒干的!修改一下文件名(在后面加个’1’即可),再双击,OK!打开了!首先在设置中选中两个选项:禁止进线程创建和禁止协件功能,然后打开文件栏目,找到上面那个病毒文件,击右键,选择强制删除,终于把它删掉了! 3. 清理其他问题 重新启动计算机,发现启动速度明显加快,杀毒监控功能用软件自带的修复功能修复后也能用起来了。看来这两个程序也被镜像劫持了。病毒会把与杀毒有关的程序和对付病毒的工具进行镜像劫持,如果你不懂得这回事,你就打不开它们而无法使用。 启动autoruns工具,提示参数错误(这个工具也是被劫持的对象),同样地,改一下文件名,再启动。打开Image Hijacks标签,看到一大堆的劫持项!在劫持项列表窗口的顶端,有一行注册表项,HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,这就是镜像劫持在注册表中的位置。打开注册表编辑器,找到对应的项,删除即可。
把IceSword和autoruns的文件名改回来,网上银行也能正常启动了。
至此,大功告成!计算机完全恢复正常!
观澜电脑维修-提醒各朋友,在遇到此类问题时,找电脑维修公司时要注意 1. 一定要找专业电脑公司. -->关于我们 2. 在病毒没完全清除时,千万不要使用网银,以免给你造成较大损失. 相关文章: 提醒:ATM自动取款机发现木马盗号信息 3. 平时多看专业电脑公司的实战技术文章,对应付此类问题很有帮助 观澜电脑-病毒安全防护 栏目有大量病毒安全防护经验文章与朋友们分享 |