昨天一朋友说他电脑OVER了,启动不起来,就叫我去看看
我以前做过一键GHOST,想想也应该没什么,就空手而去了
系统是XP SP2,具体现象是,启动到进度条走完的黑屏时,就自动重启了.
于是先尝试进安全模式,照样重启.
然后按F8,选中了"禁用失败时自动重启",看了看提示,貌似是"win32k.sys"这个文件损坏了.
没办法,使用一键还原吧.
进入GHOST,竟提示"找不到文件"?!
使用工具看了一下各盘的根目录下都有些什么.....
C盘,有个AutoRun.exe,SHR,AutoRun.inf,同样是SHR属性.
除了F盘没有外,CDE都有.
然后再找F盘下,没有发现一键GHOST生成的GHO文件...
真够狠啊....
没办法了,只能装系统了....
问朋友,他那里只有一张GHOST版的番茄花园XP,而我又什么也没带,就装它吧!
在确认了C盘里面没有数据外,开始进行GHOST安装.
很快,只几分钟,就好了.
启动后,首先是看进程.
发现有不少以如下规律命名的可执行文件:
[常见后缀,如rar,ppt,wmv等][随机4到N位长度字母].EXE
结束之,无果......杀一个,起来一双-___-b
哎,先把AutoRun搞定再说吧....一个一个来....
在C盘上点右键,选"打开".....进入文件夹.....没看到东西..
然后设置"显示所有文件"及取消"隐藏系统文件",看到了~~删之~~
接着是这病毒问题;
我需要杀毒软件,于是就到网上邻居属性里新建一个ADSL连接,发现防火墙也无法启用...
就算设置了"启用",下次打开时,还是"禁用"...
算,先不理了,下载个瑞星再说>_<
于是杀毒软件OK了,再下载了一个卡卡助手.....
仔细检查了一下,有不少流氓:
先是搜狗,然后是番茄自己的插件,接着还有一个网络实名...... 
杀之~~
然后发现IE的插件里,有N多删除不了的插件.删,一刷新就回来了.
想了想,无非是进程插入及驱动这两种办法....
反正各个EXE里面也插入了一大堆如前面那种方式命名的DLL,它们都有这功能吧?
那就先来个"带命令行的安全模式",看你咋插....
重启进入命令行安全模式后,由命令行启动卡卡一看,插入的那些DLL果然没有了~~ 
然后删除IE的插件,嘿,能删了,回不来了~~
只是有一个,仍然是删不了,真顽固!
在安全模式下还能工作....那应该只能是驱动了吧...?
马上查查驱动,发现一个叫"SafeDisc.sys"的东东有些可疑....
把这文件的安全里设置一下,删除所有用户的访问权;
然后再删除那个插件:嘿,OK啦,就是它!
至此,已经发现的"神"都送回老家了~~
重启到正常模式,防火墙能打开了;进程也正常了;插件也没再回来;
同样是刚启动起来,内存占用从273M下降到了175M左右,我还开了瑞星和卡卡呢~~
看来这番茄,要么本来就是有虫子,要么是一拿出来时就被虫子钻了进去.....
朋友吓得是QQ都不敢上,直叫我还是找个原版来装....这个用着不太放心.
哎~~看来现在真的好难相信别人....
这番茄,方便是方便,但我可不想吃了之后拉肚子....
|
可怕的补丁