此前曾经杀过毒的电脑再次中毒,CPU使用率一直是100%,居高不下,这次在任务管理器中查看进程,发现所有进程(包括explorer.exe)的CPU使用率加起来并未达到100%,可见有隐藏进程占用了CPU,这次即使单独结束exploer.exe进程也不能解决CPU满载的问题。注册表被锁定,IE主页被锁定为某个网址(这个应该不是为了流量,只可能是为了网站挂马再次传染,否则这么卡的电脑还有谁为去访问什么网站)。安全模式试了下,也是一样的100%CPU占用,不过至少没有破坏系统进入安全模式。
先强制删除了临时文件夹TEMP中的所有文件,发现其中有一些exe执行文件,文件名是一些数字的,很可疑,不过机器状况并没有改善。接着运行此前下载在这台电脑上的windows清理助手(真不知道助手是怎么从100%的CPU中挤出道出来的),竟然还能升级,没有映像劫持,也可能是上次我装IFEO权限设置为只读的结果。补充一句,本人可不是为windows清理助手做广告,如果桌面上有360,我也会用的,或者还可以用SREng来检查手动操作处理也行,有什么就用什么,反正已经100%。
由于电脑很卡,CPU100%占用,windows清理助手运行很慢,我没让它全部扫描完,中途就中止了,先处理已经扫描出来的东东。由于windows清理助手要对其中部分清理项进行“内核级”清理需要重启电脑。重启后,在进入系统前,windows清理助手会先跳出来执行新的扫描与自动清理,这时的扫描速度就快过了。清理完成,进入系统,似乎快了一点,不过查看CPU依然100%。
只有使用SREng检查下还有什么遗漏的,果然发现HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下还有一个东东没有被之前的清理助手清理掉。“ShellExecuteHook中文含义是执行挂钩,其本身是操作系统的一个正常的功能,它采用挂钩系统的Explorer的ShellExecute函数,这项功能现在被越来越多的病毒、木马所采用,实现随系统启动”。其实本次中的病毒和之前的那次还是有点象的,很多病毒文件出现在FONTS和TASKS系统文件夹中,当然WINDOWS和SYSTEM32中的也有不少,都是随机字母数字组合,文件名还特长,后缀除了exe和dll,还有inf、idx。自然发现了就删除它,由于FONTS(残留的那个就在这里)普通方法看不到,用WINRAR就行了,由于正在使用,不能直接删除,用POWERRMV强制删除。另外发现以上这些文件夹中还有不少文件创建时间和修改时间很近的文件,按照相同时间创建与修改的标准,再看看文件名,与被删除的病毒文件名一个德性的,都手动删除(这些都没有启动激活,手动干得掉)。这里对于时间,一定要看准,如果一片都是在出问题当天创建的肯定有问题,如果是前一两天创建的,而且时间相同,也是嫌疑最大,再检查文件版本厂商、产品名等信息,不过为防止误删,不放心的,可以对照其它正常电脑上的情况,或备份后删除(如果遇到删除重启后启动不了系统,可以用启动盘启动后恢复备份文件),还可以用杀毒软件检查(如果能查得出来的话,不过这台电脑上是没装杀毒软件的,呵呵)。
除掉残余项后重启电脑,终于CPU使用率下降了,恢复正常状态,终于搞定了。不过还有一点小的地方,如注册表、IE主页的锁定,这个简单,用SREng的系统修复-高级-高强度修复,这将删除所有被改动的策略项及所有已知注册表错误,所有锁定项都将解锁。那个被篡改的IE主页网址不知道是前面的清理助手阶段还是这个高强度修复时给搞定了。最后还是找了个杀毒软件检查了下,不过没有找到更多的病毒,看来我杀得还是很干净的。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/519.html
