今天一大早,有个客户端打来电话,说机器没法使用,让我过去看看。
     来到一看,机器一进系统就出来一大堆的对话框,然后系统好象死机,没法运行,打开系统管理器,关掉几个占用CPU大的进程,系统可以使用了。点击杀毒软件,打不开。看来病毒把杀毒软件劫持了。发现许多exe文件也无法使用,看来得手动杀毒了。弄个启动项扫描工具,发现有两个可疑启动项:{54D7CC85-A6FF-11E0-(A84-00C04FD8DBD8}C:\WINDOWS\system32\H4D7CC85.log和HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\Shell Execute Hooks下的H4DCC85.log项。删除掉这两项,眼看着会马上出现。打开进程查看器,竟然发现平常进程explorer.exe不见了,这里面肯定有蹊跷,于是请来喜欢的工具icesword,打开进程查看,好家伙!出来一串6个的隐藏进程,其中explorer.exe明明白白地显示在里面,还有一个常用系统进程svchost.exe,一个陌生进程gdisvc.exe,看来这个是关键病毒进程,余下的几个都跟杀毒有关的进程,将这些进程停用,再去注册表里面将相关项删除,然后去system32下将H4D7CC85.log和gdisvc.exe删除,再重新启动系统,熟悉的explorer.exe等进程出来了,再修复文件关联,将杀毒软件打开杀毒,OK,成功了。
    现在病毒越来越智能化,它们常常会将链接文件插进系统进程,现在已经发展到链接进多个进程,这点查毒时要注意。