本文记录了一次解决WinXP系统启动蓝屏的问题过程。通过分析发现,wmiapsrv.exe等系统文件被Win32.Iuhzu.a病毒感染,导致启动异常。采用禁用服务、恢复文件及使用Kaspersky在线扫描等手段最终解决了问题。
wmiapsrv.exe等 感染 Win32.Iuhzu.a 导致Win XP启动时蓝屏?
endurer 原创
2007-10-22 第1版
今天上午一位同事说他的本本昨晚还可以正常使用,今天开机蓝屏,重启故障依旧,让偶帮忙检查。
重启电脑,按住F8键,从显示出来的启动菜单中选择“最后一次正确的配置”
系统顺利启动,进入桌面。
打开卡卡安全助手检查时,瑞星文件监控提示发现病毒:
/---
病毒名称 处理结果 扫描方式 路径 文件
Win32.Iuhzu.a 清除成功 文件监控 C:/WINDOWS/SYSTEM32/WBEM WMIAPSRV.EXE
Win32.Iuhzu.a 清除成功 文件监控 C:/WINDOWS/system32/wbem wmiprvse.exe
---/
这两个文件应该是系统文件嘛~
用 pe_xscan 扫描 log 并分析,发现服务:
/---
pe_xscan 07-08-30 by Purple Endurer
2007-10-22 10:50:49
Windows XP Service Pack 2(5.1.2600)
管理员用户组
O23 - 服务: WmiApSrv (WMI Performance Adapter) - C:/WINDOWS/system32/wbem/wmiapsrv.exe | 2007-10-22 10:3:56 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | WMI Performance Adapter Service | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | WmiApSrv.exe | WmiApSrv.exe(手动)
---/
对应的文件wmiapsrv.exe的刚刚被修改过。难道是被感染了?
禁用瑞星实时监控,把两个文件从隔离区恢复,使用Kaspersky在线扫描,结果如下:
| Scanned file: wmiapsrv.exe - Infected |
| wmiapsrv.exe - infected by Trojan.Win32.Patched.v |
| Scanned file: wmiprvse.exe - Infected |
| wmiprvse.exe - infected by Trojan.Win32.Patched.v |
检查发现本本的中瑞星还是2007,病毒库是10月14日的,帮他升级到2008。
升级完成后按提示重启电脑,可以顺利进入桌面~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
