周二下午麻烦就来了,同事说她电脑上的卡卡助手打不开。真是的,卡卡简直成了探毒器了,先倒下的怎么总是它。
到了地方一看,SREng运行起来扫描不了日志,扫一下到最后就出错,根本保存不了日志。不过其它功能还能用。又运行下windows清理助手(现在总是用它和SREng搭档),发现运行不了,怀疑有映像劫持(IFEO)。
启动到安全模式下(竟然没被破坏),运行regedit打开注册表(竟然也安然进入),找IFEO(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options),果然发现有劫持,不光有SREng,也有windows清理助手(Arswp.exe)。先删除这两项,结果SREng还是扫描不了日志,但其它功能能用了,清理助手经过捣鼓(捣鼓过程不记的了)也开始工作。
处理到最后发现一个注册表项删除不了(文件已经干掉了),HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run下的,进入注册表删除,发现不让删。运行regedt32,这是一个高级的注册表模式(如果是xp,可以直接在regedit中改权限,而该机为2000,只有到regedt32中去改注册表权限),找到该项,改为完全控制,然后就可以删除了。
卡卡由于被彻底破坏了,只有重新下载重装。总的说来,一个是映像劫持,还有一个病毒文件识别(这个下一篇一起说),删除文件在清理助手活过来之前,用powerrmv来删除并抵制再生,还有win.ini被修改了(下次说),IE主页被改成about.blank.la/?g(这个在SREng的浏览器加载项中可以看到并删除,然后再修正IE主页,注意正确的是about:blank)。更多内容见下一篇(周三),因为有一些相似的地方,也因为实在想不起什么了(没日志记录),而周三遭遇的麻烦更大。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/61.html