fontsapcum.dll,aaudstum.sys,HBKernel.sys,Hev32_c.sys,Windows64.Sys等2

fontsapcum.dll,aaudstum.sys,HBKernel.sys,Hev32_c.sys,Windows64.Sys等2

endurer 原创
2008-07-26 第1版

从pe_xscan 的 log 中，我们可以看到恶意程序对输入法管理程序ctfmon.exe进行了映像劫持，即：

 

O26 - IFEO: ctfmon.exe -> SoundMan.exe

所以ctfmon.exe未能运行，输入法图标也就显示不出来了。

 

由于朋友急着用电脑，就不抓样本了，直接用瑞星卡卡安全助手清理启动项。

打开瑞星卡卡安全助手，自动检测出9个恶意软件，清理了。
然后切换到[高级功能]

选择[插件管理及卸载]，把 O2、O24 项卸载掉

切换到[系统启动项管理]，在左边分别点击[服务项]和[驱动]，找到 O23组的对应项，右击，从弹出的菜单中选择删除。

在左边点击[应用程序劫持项]，在右边找到 O26 项对应的项目，右击，从弹出的菜单里选择删除。

用WinRAR删除Windows临时文件夹，IE临时文件夹，c:/windows/prefetch 中可以删除的文件。

到 ​​http://endurer.ys168.com​​ 下载 HijackThis，修复 O11。

检查发现电脑中的 ctfmon.exe 没有了，从另外一台电脑中复制了一个过来，放到c:/windows/system32下，然后开始 -> 运行，输入：ctfmon.exe，确定。输入法图标终于现身了~