电脑出现avp.exe进程(没装卡巴,这个avp.exe是在c:\下),打开一些应用程序就说不是有效的32位应用程序。
检查了下SREng扫描的日志,除了c:\avp.exe外,只发现两个可疑服务:[Smart Card Helper / SCardDrv] <C:\windows\system32\scardsvr32.exe -v>和[DCOM Service Process Manager / DCOMManager16] <C:\windows\system32\svchost.exe -k netsvcs-->c:\winnt\inf\pcidev32.inf>,明显c:\windows\system32\scardsvr32.exe和c:\windows\inf\pcidev32.inf一定是病毒。
用windows清理助手扫描检查又发现了不少东西(有的可能是注册表中的残余,装在机上的360曾经扫描清除过几次),特别的是有报PE程序文件被感染。
下载了360的伪AVP恶意木马下载器专杀工具killer_ati2evxx.exe查杀,修复了大部分被感染的应用程序(也有个别已经破坏或是修复时破坏的程序只能重新安装,不过幸好比较少),但还是有几个exe文件无法修复,提示正在被系统使用,位置是在C:\WINDOWS\Installer\$PatchCache$\Managed\下的某个文件夹中,即使是在安全模式下也不行。
上网查了下这个installer文件夹的底:Windows Installer 技术制作的安装程序会在Installer 目录里面添加一个备份的安装文件用于今后的配置、补丁安装等操作。备份用的,而且从那个360专杀报的文件名看是office安装文件的几个备份。既然专杀修复不了,我就直接删除了那几个文件。
配合windows清理助手以及上面的SREng日志,加上killer_ati2evxx.exe的查杀,基本搞定了。由于原机上没有安装杀毒软件,顺手装了个驱逐舰,再次全盘后期扫描,竟然又在C:\WINDOWS\Installer\$PatchCache$\Managed\下查出几个被感染的exe文件,这次顺利修复了(我想如果直接上专业杀软,也许前面也不用直接删除360查出而杀不了的被感染文件了)。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/54.html
