一位朋友说的他的电脑出现了奇怪的故障:一开机就弹出对话框,提示IE是否脱机工作,有时还没处理,就连续弹出3-4个这样的对话框,导致系统失去响应。让偶帮忙处理。
打开任务管理器强行结束这些对话框任务,结果explorer.exe也自动退出了。
在任务管理器中新建任务explorer.exe,这时系统反应速度比较快了,用pe_xscan扫描log并分析,发现系统日期不对,而且存在如下可疑项(进程模块部分有省略):
/--- pe_xscan 07-06-23 by Purple Endurer 2007-7-18 20:40:58 Windows XP Service Pack 2(5.1.2600) 管理员用户组 [System Process] * 0 D:/Program Files/Common Files/Microsoft Shared/MSINFO/NewTemp.dll | 2007-7-18 16:41:2 D:/WINDOWS/explorer.exe * 928 | 2004-8-4 0:52:32 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXE D:/Program Files/Common Files/Microsoft Shared/MSINFO/NewTemp.dll | 2007-7-18 16:18:50 D:/WINDOWS/system32/ctfmon.exe * 1000 | 2004-8-4 0:52:30 | Microsoft? Windows? Operating System | 5.1.2600.2180 | CTF Loader | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | CTFMON | CTFMON.EXE D:/Program Files/Common Files/Microsoft Shared/MSINFO/NewTemp.dll | 2007-7-18 16:41:2 D:/Program Files/Common Files/Microsoft Shared/MSINFO/NewTemp.bak * 1784 | 2007-6-13 8:11:44 D:/Program Files/Common Files/Microsoft Shared/MSINFO/NewTemp.dll | 2007-7-18 16:41:2 O24 - ShlExecHook: [] - {0EA66AD2-CF26-2E23-532B-B292E22F3266} = D:/Program Files/Common Files/Microsoft Shared/MSINFO/NewTemp.dll ---/
到 http://purpleendurer.ys168.com 下载 bat_do,FreeDLL 和 FileInfo。
到 http://tool.ikaka.com 下载安装瑞星卡卡安全助手。
先在任务管理器里终止进程树:NewTemp.bak
然后运行FreeDLL,从所有进程中卸载:D:/Program Files/Common Files/Microsoft Shared/MSINFO/NewTemp.dll
explorer.exe会再次退出。
通过任务管理器运行 FileInfo 提取文件信息,用 bat_do 打包,使用延时删除,再生成删除文件命令并执行。
接着通过任务管理器运行卡卡安全助手,在 高级功能—>插件管理及卸载 里把 那个 O24 项卸载掉。
用 WinRAR 删除 Windows临时文件夹,IE临时文件夹,d:/windows/prefetch 中可以删除的文件。
在任务管理器里再次运行explorer.exe
关闭系统还原功能再开启。
重启电脑,故障不再出现。
