同事电脑启动后只出现背景,没有图标、没有任务栏,别说,还剩下一中文输入法状态条(上次漏下的),同时还出现伴随类DOS窗口的"无效指令"的提示框,有关闭和忽略两个按钮,文件路径没记下太多,有指向临时目录的(temp),还有一个是c:\windows\system32\dllcache\explorer.exe,看来这是桌面消失的原因了,不光是windows下的explorer.exe,包括系统备份dllcache中的explorer.exe也全被病毒破坏了。
本想启动任务管理器,按ctrl+alt+del,点选任务管理器,出一黑色类DOS窗口,关闭后就又平静了,看来任务管理器也报销了(被劫持)。
用带WIN PE光盘(这个是深山红叶的PE系统)启动电脑,选择硬盘系统的注册表,进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options(IFEO,映像劫持的大本营),看了下,真不少,从360、各种杀软,到icesword、hijackthis、SREng等都劫持了,劫持项指向svchost.exe(除了输入法ctfmon.exe是劫持到soundman.exe外,其余全是svchost.exe),真节约,用系统文件(确实是系统的svchost.exe)来劫持。把凡带有debugger值为svchost.exe(包括soundman.exe)的全删除(连Image File Execution Options的下面也有debugger)。太多了,只先删除几个等会要用的文件名,如任务管理器(taskmgr.exe)、SREng等,其它的等以后再说。
又检查了下HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下,果然有不少木马的启动项,什么avpsrv.exe、updnd.exe等等,反正留下输入法和杀毒软件全可以干掉。顺手到windows和system32目录下用时间排下序,检查最近生成和修改的文件,对照刚才注册表启动项中的病毒文件名,删除当天生成的几个exe、dll文件,还有几个cfg文件,文件名一看就是随机起的,不象好东西,又是当天生成的,也一起删除。(注:如果你无法判断病毒文件,这个删除文件的步骤可以跳过,先把注册表的启动项去掉)
在退出PE系统前,清理一下临时文件,毕竟刚才"无效指令"提示中有提到临时文件夹中的文件。进入c:\documents and settings\你的用户名\local settings\temp,全删。如果你有心,可以把其中几个exe文件删除后,再做几个同名文件夹放这防止他们再生,正是少了这步,我后面才发生了反复。至于是哪几个exe文件,一个你可以在前面启动弹出"无效指令"时记下文件名,然后进来找相同和相近的文件,就是它们了,或者看文件时间。做同名文件夹这一步手工嫌麻烦的话,可以用xdelbox或powerrmv来做,这两个删除工具都能在删除的同时生成同名的文件夹(工具常备在硬盘上很重要,即使硬盘系统进不去,用PE系统一样能启用硬盘上的常用工具,只要没被劫持)。
退出PE系统重启,还是没桌面,因为explorer.exe没有修复,其实在PE系统中就可以把PE系统的explorer.exe或其它途径找来的正常的explorer.exe拷到windows和dllcache中去了,如果这样做基本可以在桌面系统下进行下面的步骤。由于某些原因我没做上面这步,但任务管理器(taskmgr.exe上面已经删除劫持了)可以用了,点任务管理器的菜单中的"文件"-"新任务",找到原来硬盘上的windows清理助手,运行扫描删除木马病毒。当时运行后出现网络错误、无法升级,马上又运行SREng重置了winsock(其实助手也有修复LSP的功能,我忘了),重启后可以升级。
清理完,再用SREng检查下,修复SREng提示的appinit_dlls项(默认为空值,除非你装了卡助手最新版)删除启动项中的可疑分子,大多已经被清理助手搞掉了,剩下是残余项,还有前面剩下的IFEO劫持项,一起删除。再检查系统文件夹下的文件,还是查当天生成的文件并查看文件属性,不正常的全删(不放心就备份后再删,不过大部分已经被扫掉了)。复制正常的explorer.exe回去,重启,桌面回来。
又用该机上的卡卡和360(原来这两个都有装)检查下,卡卡仍是个文件名检查者,报了几个与病毒文件同名的文件夹,不管了。360新版用安天的木马引擎,速度比原来慢了些,扫了下没发现,继续用它们清理垃圾文件,主要工作已经做完,这些已经是无足轻重的扫尾了。
以上没有刻意去说具体的病毒文件名,也没详细说明怎么用SREng中查找病毒文件,主要是一个方法和思路的说明。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/51.html
