IT外包 观澜电脑维修


 企业邮局 收藏本站
首页 公司简介 资讯中心 产品介绍 招聘信息 联系我们 客户留言 下载中心
企业信息
 
 
 新闻中心
系统文件镜像劫持,杀毒软件打不开

 

    昨天一家公司客户急冲冲的打来电话,说电脑启动明显变慢,打开网页也很慢,有时甚至打不开;提示防火墙被关闭;杀毒监控被停止,主程序刚打开即被关闭,无法启动. 连网上银行都无法使用,叫了几家电脑公司弄了几次都没能完全解决问题. 观澜电脑维修接到维修电话后,初步诊断为:系统感染恶性病毒,系统核心程序安全钩子被劫持。鉴于客户情况紧急,于是火速安排人手,不到40分钟就赶往客户公司.

    观澜电脑维修-现将详细处理过程与大家分享,望对各客户今后的排查病毒有所帮助. 同时也欢迎与各同行多多交流技术,让客户更省心.

处理过程:
1. 查找病毒:因为杀毒软件已无法启动,所以只能采用手工查找。
先启动msconfig工具,未发现异常启动项;
打开IE浏览器,打开“管理加载项”窗口,也没有发现异常的加载项;
使用“观澜电脑维修-手动专业杀毒工具”软件,扫描后生成报告。打开报告,其中部分内容如下:
C:\WINDOWS\SYSTEM32\CTFMON.EXE
    C:\WINDOWS\SYSTEM32\KMON.DLL
    C:\WINDOWS\SYSTEM32\fk384kdf.DLL

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\WINDOWS\SYSTEM32\KMON.DLL
    C:\PROGRAM FILES\TENCENT\QQDOWNLOAD\QQIEHELPER02.DLL
    C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
    C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS     LIVE\WINDOWSLIVELOGIN.DLL
    C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\MSIDCRL40.DLL
    C:\WINDOWS\SYSTEM32\URLFILTER.DLL
    C:\PROGRAM FILES\RISING\ANTISPYWARE\URLRULE.DLL
    C:\WINDOWS\SYSTEM32\fk384kdf.DLL

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLLOGINPROXY.EXE
    C:\WINDOWS\SYSTEM32\KMON.DLL
    C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\MSIDCRL40.DLL
    C:\WINDOWS\SYSTEM32\fk384kdf.DLL

C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM32\KMON.DLL
    C:\WINDOWS\SYSTEM32\fk384kdf.DLL
    C:\WINDOWS\SYSTEM32\RAVEXT.DLL
    C:\WINDOWS\SYSTEM32\MSACM32.DRV

C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
    C:\WINDOWS\SYSTEM32\KMON.DLL
    C:\WINDOWS\SYSTEM32\fk384kdf.DLL

    C:\WINDOWS\SYSTEM32\KMON.DLL
    C:\WINDOWS\SYSTEM32\fk384kdf.DLL

    发现在很多系统进程下挂接了一个异常的文件:C:\WINDOWS\SYSTEM32\fk384kdf.DLL,这个文件名是一串随机的字符,找到这个文件后,发现它没有任何发布公司或版本的信息,可以肯定这是个病毒文件!终于找到它了!


2. 清除病毒
    病毒找到了,把它删除即可。点删除,系统提示文件正在使用,删不掉!这时就需要使用另一个利器——IceSword,它可以在系统控制之上,强制删除文件!马上找到它,双击,却没反应!再次双击,还是没反应!你可能以为它被病毒破坏了吧?其实不然,它是被镜像劫持了,当然这也是病毒干的!修改一下文件名(在后面加个’1’即可),再双击,OK!打开了!首先在设置中选中两个选项:禁止进线程创建和禁止协件功能,然后打开文件栏目,找到上面那个病毒文件,击右键,选择强制删除,终于把它删掉了!
3. 清理其他问题
    重新启动计算机,发现启动速度明显加快,杀毒监控功能用软件自带的修复功能修复后也能用起来了。看来这两个程序也被镜像劫持了。病毒会把与杀毒有关的程序和对付病毒的工具进行镜像劫持,如果你不懂得这回事,你就打不开它们而无法使用。
启动autoruns工具,提示参数错误(这个工具也是被劫持的对象),同样地,改一下文件名,再启动。打开Image Hijacks标签,看到一大堆的劫持项!在劫持项列表窗口的顶端,有一行注册表项,HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,这就是镜像劫持在注册表中的位置。打开注册表编辑器,找到对应的项,删除即可。

把IceSword和autoruns的文件名改回来,网上银行也能正常启动了。

至此,大功告成!计算机完全恢复正常!

观澜电脑维修-提醒各朋友,在遇到此类问题时,找电脑维修公司时要注意
1. 一定要找专业电脑公司. -->关于我们
2. 在病毒没完全清除时,千万不要使用网银,以免给你造成较大损失.
相关文章: 提醒:ATM自动取款机发现木马盗号信息
3. 平时多看专业电脑公司的实战技术文章,对应付此类问题很有帮助
观澜电脑-病毒安全防护 栏目有大量病毒安全防护经验文章与朋友们分享

 
公司简介 | 资讯中心 | 营销业务 | 联系我们 | 客户留言 | 人才招聘 | 下载中心
Copyright©2007-2008 深圳(观澜)腾飞电脑有限公司
业务QQ:190785994 有事找我请点这里!联系电话:13751057178
E-mail:qwqeqrt@tf580.com 粤ICP备08008234号
公司地址:深圳市观澜镇君子布村

观澜电脑维修 IT外包

(WWW.TF580.COM)版权所有