电脑发生假死,检查SREng日志,发现如下可疑项目:
启动项目 -- 服务 -- Win32服务应用程序:
[Irmon / Irmon] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\irmon32.dll>
启动项目 -- 服务-- 驱动程序:
[sysHostSvc / sysHostSvc] <\??\C:\WINDOWS\system32\drivers\GuiHelp.sys>
这两个文件:c:\windows\system32\irmon32.dll和c:\windows\system32\drivers\guihelp.sys,明显可疑,删除后电脑正常。
到网上翻查相关信息,发现并不相关,估计(GuiHelp.sys)应该是残余或者是某些病毒的一部分(其余可能先前已经被干掉或阻止)。
而irmon32.dll竟然在360文件库中显示为安全,但只在网上查到irmon.dll(还有一个irmon.exe)是正常微软文件(管理红外连接的),不明白多个32的dll是什么东东,在卡饭论坛样本区发现有irmon32.dll病毒样本,因为没法与本例对照而不能确定是否是同一个文件。