老板机子中毒,打不开网页,但是邮件可以正常接收,杀毒软件、急救箱、系统修复全上阵,找到一些蛛丝马迹,不过并没有彻底解决问题。用SREng查看了下(好久没有用武地了),注册表启动项中有一个svchost.exe,在c:\windows\system\中,而正常的svchost.exe是在c:\windows\system32\,所以在system文件夹中的svchost.exe是个假货(删时要分清楚,别误删了好人);另一个发现在系统驱动中,起了个叫Play Port I/O Driver的名字,位置在c:\windows\system32\drivers\sysdrv32.sys,既不是widnows自带的驱动,也不是另装的正常软件,可疑率极高。
删除这两个文件,为防止恢复,先建两个同名文件夹在那两个地方,预防先,再用杀毒软件扫一下,清除一堆什么06.scr、72.scr等假冒屏保的木马文件,不知道是不是一伙的,还是顺道入住。接着重启电脑,发现关机过程很慢,一直在关闭网络连接的界面上转悠,直接关电源,重新开机,再试了一下,还是打不开网页,显示无法连接,还是只有邮件什么的都正常,就是IE不能用,抓狂,腰都站酸了。
重置IE,清空IE缓存,没用,而且发现杀毒软件的主窗口不能出来,虽然在任务栏通知区域上监控图标是正常显示。再试一下SREng,使用高级修复中的高强度修复,修复完成,重新打开IE,上网正常了!网页可以打开,再重启一下电脑,杀毒软件的主窗口也能正常跳出。没去深究到底修复了什么,估计是一些设置,包括组策略之类的被病毒改了吧,反正搞定了。
网上了找了下sysdrv32.sys,可能是蠕虫(似乎是老品种),利用漏洞传播,所以打好补丁很重要,特别是在局域网的环境里,可以减少蠕虫的扩大传染。
图片来源于网络
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1319.html
