一位朋友的电脑最近出现问题:浏览器首页被hxxp://www.i2255.com劫持,无法打开QQ空间,一些安全软件厂商的网站无法打开;桌面上有一个淘宝网图标,用桌面清理向导也无法删除。请偶帮忙处理。

 

  用pe_xscan扫描log并分析,发现如下可疑项:
/---
pe_xscan 10-07-04 by Purple Endurer
2010-12-20 16:17:46
Windows XP Service Pack 3(5.1.2600)
MSIE:6.0.2900.5512
管理员用户组
正常模式
C:/WINDOWS/nat.exe

O29 - HKCU-Default_Page_URL = hxxp://s.suda123.com
O30 - OpenHttp = C:/Program Files/Internet Explorer/IEXPLORE.EXE hxxp://dh.765321.info?1136111(CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command)
--/

 

  Google了一下,nat.exe是鬼影病毒的一个文件。鬼影病毒处理起来比较麻烦。

 

  在电脑中还发现伪装成文件夹的EXE文件,瑞星报为:Worm.Win32.FakeFolder.c

  下载金山卫士试试看。

  直接开IE输入网址是无法打的,换一种方法:开始-运行,输入:hxxp://www.duba.net,打开了,下载安装,体检,果然检测出鬼影病毒,还有一些系统项有浏览器的一些设置被篡改,全部修复。

  按提示重启电脑,故障排除,不过金山卫士不知怎么没有开机自启动~