正好也是那台曾经中毒的老电脑(或者叫老中毒的电脑)有问题,顺便过去看看它还没有病毒木马在上面。今天出现的问题很简单,开机自检报内存错误,拆开机箱,重新拔插下内存,再开还是报错,后来才发现这台品牌机的BIOS可能有记忆功能,老是记得上次出现的硬件问题或错误,只有用BIOS的管理员密码(如果之前有设的话)进入BIOS,重新保存一下再退出就正常了。
硬件问题解决,进入系统看看,CPU占用率正常,没有以前出现过的那种CPU100%的现象,运行还算正常,检查下启动项也没问题,没加上什么可疑的东西,难道是装了360安全卫士后防护变好了?可能是吧。不过接下来进入系统文件夹检查,就有问题出现了。首先还是FONTS、TASK文件夹(用WINRAR进入查看),还是有随机字母组合的文件出现,都是近期生成的,在system32、TEMP下也有近期生成和修改过的可疑exe和DLL文件,明显又中木马,不过估计由于没有启动项让其随机启动,因此并未处于激活状态,可以很轻松地直接删除。这也可能是上次清理病毒后,把注册表中AppInit_Dlls和ShellExecuteHook的控制权作了限制的结果。因此建议容易中毒且通常只运行固定应用软件的电脑,也可以把AppInit_Dlls和ShellExecuteHook的完全控制权限给关闭掉(XP就直接右击-权限-去掉其中所有的用户完全控制前的勾,2000可以通过regedt32程序来进行修改限制),一般对运行没什么影响,大不了需要时再打开,也不是所有安装软件都要用到这两个键值。
有木马就要清理,即使没有活动。先用360扫描,那个木马云查杀扫描后,没有发现一个木马,事实再次证明360安全卫士是代替不了杀毒软件的,光装它是没有用的。不过用360修复IE倒是清理修复了包括锁定主页、篡改HOSTS文件等50多项内容,还是辅助工具。接着运行windows清理助手,先升级,再检查,扫描过程比360还长些,不过发现了不少东西及注册表中的残留项,还有刚才我用肉眼没找到的木马文件。清理完成,基本干净了。