今天搜索到《英雄》的拍摄花絮的在线观看链接,点击进去后弹出一个对话框说是要下载安装某个播放插件,噩梦就在下载安装后产生。不定时的弹出security alert对话框说是机器被侦测到有人远程攻击,开始的时候以为是真正的安全性检测,于是按照对话框的提示点击确定,于是桌面利马变成了一个网页链接的桌面,同时任务管理器被禁用,组管理器无法运行。
开始的时候我想到首先要将任务管理器恢复使用,这样才能结束掉可疑的进程。所以马上搜索网络看看如何能将任务管理恢复使用,在HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System\DisableTaskMgr的值改为“0”。这样任务管理器马上就可以通过ctrl+alt+del触发了。可是列表中那么多进程,天知道是哪个进程?于是我先把我有把握怀疑是病毒的进程禁止掉,没把握的就google一下,看看是否是系统进程。可是似乎这样并没有多大作用,所以我怀疑很可能是病毒进程是附加在某个系统进程上面的,一般是svchost或者rundll32.exe,经过排查,排除这两个文件的嫌疑。
于是我继续搜索本文标题那几个特殊词组,找到某人说是系统文件夹中windows文件夹下以msm开头的几个dll劫持了explore进程,从而才能一直运行着,所以我马上进入到windows文件夹下查找目标文件结果没有具备这个特征的dll,不过3个修改日期为不久的时间的dll引起我的怀疑,我大胆的猜测这是病毒源。所以我先停掉explore进程,然后文件/新建任务出现的对话框中点击浏览按钮,定位到windows文件夹下,找到那几个可疑dll,一一删除掉(开始的时候删除不了,禁止explore后就可以删除了,这更加使我坚信这几个dll就是病毒源)然后使用适用杀国外流氓软件的SmitFraudFix扫描清理了一下。重启后,机器恢复正常。
希望本文能帮遇到类似问题的xd解决问题。同时也劝大家运行国外网站上面的插件(exe等东东)一定要先杀毒!
开始的时候我想到首先要将任务管理器恢复使用,这样才能结束掉可疑的进程。所以马上搜索网络看看如何能将任务管理恢复使用,在HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System\DisableTaskMgr的值改为“0”。这样任务管理器马上就可以通过ctrl+alt+del触发了。可是列表中那么多进程,天知道是哪个进程?于是我先把我有把握怀疑是病毒的进程禁止掉,没把握的就google一下,看看是否是系统进程。可是似乎这样并没有多大作用,所以我怀疑很可能是病毒进程是附加在某个系统进程上面的,一般是svchost或者rundll32.exe,经过排查,排除这两个文件的嫌疑。
于是我继续搜索本文标题那几个特殊词组,找到某人说是系统文件夹中windows文件夹下以msm开头的几个dll劫持了explore进程,从而才能一直运行着,所以我马上进入到windows文件夹下查找目标文件结果没有具备这个特征的dll,不过3个修改日期为不久的时间的dll引起我的怀疑,我大胆的猜测这是病毒源。所以我先停掉explore进程,然后文件/新建任务出现的对话框中点击浏览按钮,定位到windows文件夹下,找到那几个可疑dll,一一删除掉(开始的时候删除不了,禁止explore后就可以删除了,这更加使我坚信这几个dll就是病毒源)然后使用适用杀国外流氓软件的SmitFraudFix扫描清理了一下。重启后,机器恢复正常。
希望本文能帮遇到类似问题的xd解决问题。同时也劝大家运行国外网站上面的插件(exe等东东)一定要先杀毒!
