一位朋友的电脑最近出现问题:浏览器首页被hxxp://www.i2255.com劫持,无法打开QQ空间,一些安全软件厂商的网站无法打开;桌面上有一个淘宝网图标,用桌面清理向导也无法删除。请偶帮忙处理。
用pe_xscan扫描log并分析,发现如下可疑项:
/--- pe_xscan 10-07-04 by Purple Endurer 2010-12-20 16:17:46 Windows XP Service Pack 3(5.1.2600) MSIE:6.0.2900.5512 管理员用户组 正常模式 C:/WINDOWS/nat.exe O29 - HKCU-Default_Page_URL = hxxp://s.suda123.com O30 - OpenHttp = C:/Program Files/Internet Explorer/IEXPLORE.EXE hxxp://dh.765321.info?1136111(CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command) --/ ----------------------------------- ©著作权归作者所有:来自51CTO博客作者PurpleEndurer的原创作品,请联系作者获取转载授权,否则将追究法律责任 偶遇鬼影病毒nat.exe https://blog.51cto.com/endurer/5902065
Google了一下,nat.exe是鬼影病毒的一个文件。鬼影病毒处理起来比较麻烦。
在电脑中还发现伪装成文件夹的EXE文件,瑞星报为:Worm.Win32.FakeFolder.c
下载金山卫士试试看。
直接开IE输入网址是无法打的,换一种方法:开始-运行,输入:hxxp://www.duba.net,打开了,下载安装,体检,果然检测出鬼影病毒,还有一些系统项有浏览器的一些设置被篡改,全部修复。
按提示重启电脑,故障排除,不过金山卫士不知怎么没有开机自启动~
