检查SREng日志,发现注册表中userinit.exe、explorer.exe都没有通过微软的验证(Verified),怀疑被病毒替换,从进程中发现除了有C:\WINDOWS\explorer.exe这个进程外,还有C:\WINDOWS\system32\dllcache\explorer.exe,明显后者才是真正的explorer.exe,否则桌面的shell就出不来了。
注册表启动项中还有一项:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{2f32e793-9263-4aa5-862f-da2480554715}><C:\WINDOWS\system32\JAA-JAA-1032.dll>,查了下JAA-JAA-1032.dll,说是机器狗的一个变种中的,不过没有找到机器狗传统施加的驱动文件,可能是还没放入,或已经被安全工具阻止或删除了。
另外还有个进程c:\program files\internet explorer\plugins\nvsys_55.sys,也是病毒成员,一块处理吧。
删除上面各项及文件,并将正常的explorer.exe和userinit.exe拷回去覆盖就可以了。explorer.exe倒简单,从C:\WINDOWS\system32\dllcache下拷出来就可以,userinit.exe也可以,就是不知道病毒有没有同时干掉C:\WINDOWS\system32\dllcache下的userinit.exe这个备份(可能性很大),反正大不了从其它正常的电脑上找就是。由于这两都是系统重要文件,可能直接覆盖不成功,解决方法很多,最简单的是用win pe光盘启动到PE系统后拷贝恢复(这种带win pe的工具盘很多,从网上下一个刻成光盘或做成启动U盘,是不错的工具),其他的不多说了。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/42.html
