早上用户报修,一台本本无法使用任何杀毒软件,过去后首先检查注册表,的确,所有杀毒软件被映像劫持了,手动删除,无效,注册表又回来了,System Repair Engineer查看可疑进程,发现下面这5个程序很可疑,文件公司都显示360安全卫士,但nbfile0.exe的描述确实暴风影音组件,而且不能结束进程,一结束又出来了,三个文件还没图标:
百度和谷歌了一下,没结果,应该是新病毒,手动杀吧,找到这些文件的路径后用粉碎抑制再生工具删除,然后用System Repair Engineer删除fonts目录下面的异常fon文件,就是无序字母的fon文件(比如HSYUEIE.fon),再删除system32目录下面文件名是一堆数字的exe文件(比如783893.exe),再修复映像劫持。用这些工具清理的时候记着工具都要改名运行,然后用升级杀毒软件病毒库全盘查杀,所有盘都查。现在正在观察中,不知道还有没有漏网之鱼。
病毒是通过一个服务在开机的时候启动的,服务中有这么一项:“Windows Audio”,描述:系统登录初始界面,终止该服务将导致系统不能正常登录。文件指向:c:\windows\cursors\sever.exe。其他四个文件出现的位置是:c:\windows\cursors\beifen.exe;c:\windows\system32\lssas.exe;c:\windows\system32\wbem\fonts.exe
