昨天一家公司客户急冲冲的打来电话，说电脑启动明显变慢，打开网页也很慢，有时甚至打不开；提示防火墙被关闭；杀毒监控被停止，主程序刚打开即被关闭，无法启动.　连网上银行都无法使用，叫了几家电脑公司弄了几次都没能完全解决问题.　观澜电脑维修接到维修电话后，初步诊断为：系统感染恶性病毒，系统核心程序安全钩子被劫持。鉴于客户情况紧急，于是火速安排人手，不到40分钟就赶往客户公司.

    观澜电脑维修－现将详细处理过程与大家分享，望对各客户今后的排查病毒有所帮助.　同时也欢迎与各同行多多交流技术，让客户更省心.

处理过程：
1. 查找病毒：因为杀毒软件已无法启动，所以只能采用手工查找。
先启动msconfig工具，未发现异常启动项；
打开IE浏览器，打开“管理加载项”窗口，也没有发现异常的加载项；
使用“观澜电脑维修－手动专业杀毒工具”软件，扫描后生成报告。打开报告，其中部分内容如下：
C:\WINDOWS\SYSTEM32\CTFMON.EXE
    C:\WINDOWS\SYSTEM32\KMON.DLL
    C:\WINDOWS\SYSTEM32\fk384kdf.DLL

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\WINDOWS\SYSTEM32\KMON.DLL
    C:\PROGRAM FILES\TENCENT\QQDOWNLOAD\QQIEHELPER02.DLL
    C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
    C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS     LIVE\WINDOWSLIVELOGIN.DLL
    C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\MSIDCRL40.DLL
    C:\WINDOWS\SYSTEM32\URLFILTER.DLL
    C:\PROGRAM FILES\RISING\ANTISPYWARE\URLRULE.DLL
    C:\WINDOWS\SYSTEM32\fk384kdf.DLL

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLLOGINPROXY.EXE
    C:\WINDOWS\SYSTEM32\KMON.DLL
    C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\MSIDCRL40.DLL
    C:\WINDOWS\SYSTEM32\fk384kdf.DLL

C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM32\KMON.DLL
    C:\WINDOWS\SYSTEM32\fk384kdf.DLL
    C:\WINDOWS\SYSTEM32\RAVEXT.DLL
    C:\WINDOWS\SYSTEM32\MSACM32.DRV

C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
    C:\WINDOWS\SYSTEM32\KMON.DLL
    C:\WINDOWS\SYSTEM32\fk384kdf.DLL

    C:\WINDOWS\SYSTEM32\KMON.DLL
    C:\WINDOWS\SYSTEM32\fk384kdf.DLL

    发现在很多系统进程下挂接了一个异常的文件：C:\WINDOWS\SYSTEM32\fk384kdf.DLL，这个文件名是一串随机的字符，找到这个文件后，发现它没有任何发布公司或版本的信息，可以肯定这是个病毒文件！终于找到它了！

2. 清除病毒
    病毒找到了，把它删除即可。点删除，系统提示文件正在使用，删不掉！这时就需要使用另一个利器——IceSword，它可以在系统控制之上，强制删除文件！马上找到它，双击，却没反应！再次双击，还是没反应！你可能以为它被病毒破坏了吧？其实不然，它是被镜像劫持了，当然这也是病毒干的！修改一下文件名（在后面加个’1’即可），再双击，OK！打开了！首先在设置中选中两个选项：禁止进线程创建和禁止协件功能，然后打开文件栏目，找到上面那个病毒文件，击右键，选择强制删除，终于把它删掉了！
3. 清理其他问题
    重新启动计算机，发现启动速度明显加快，杀毒监控功能用软件自带的修复功能修复后也能用起来了。看来这两个程序也被镜像劫持了。病毒会把与杀毒有关的程序和对付病毒的工具进行镜像劫持，如果你不懂得这回事，你就打不开它们而无法使用。
启动autoruns工具，提示参数错误（这个工具也是被劫持的对象），同样地，改一下文件名，再启动。打开Image Hijacks标签，看到一大堆的劫持项！在劫持项列表窗口的顶端，有一行注册表项，HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，这就是镜像劫持在注册表中的位置。打开注册表编辑器，找到对应的项，删除即可。

把IceSword和autoruns的文件名改回来，网上银行也能正常启动了。

至此，大功告成！计算机完全恢复正常！

观澜电脑维修－提醒各朋友，在遇到此类问题时，找电脑维修公司时要注意
１.　一定要找专业电脑公司.　－－＞关于我们
２.　在病毒没完全清除时，千万不要使用网银，以免给你造成较大损失.
相关文章: 提醒：ATM自动取款机发现木马盗号信息
３.　平时多看专业电脑公司的实战技术文章，对应付此类问题很有帮助
观澜电脑－病毒安全防护 栏目有大量病毒安全防护经验文章与朋友们分享