1、第一反应就是被劫持了,按照以往经验使用三六零等进行杀毒、主页修复什么的,并没有什么卵用,折腾半天宣告失败。
2、经过仔细查看默认浏览器ie打开URL时没有跳转出现,但是其他浏览器例如chrome就会出现跳转至ie打开ie9898,笔者就想通过设置默认程序,将chrome设置成默认后,无论双击打开还是通过URL桌面快捷方式打开都是在默认浏览器上打开ie9898,确认该方式并不可行。
3、找注册表,搜索"ie9898",并没有相关的注册变信息服务项,启动项等常规检查未发现任何可疑
4、接下来进任务管理器,未发现不明进程(现在不排除被注入进程的可能)...查看关联的句柄,模块并没有发现异常,不排除肉眼没有发现
5、我重新安装了一个chrome浏览器,情况依旧一样,不过我在这里找到了一点点灵感。重新安装浏览器后生成了一个chrome-old的执行文件,在点击chrome.exe依旧被劫持的情况下,有些气恼点了一下chrome-old,竟然奇迹般的打开了,然后我将新文件改名为1,打开;改名为browser ,打不开;然后经过实验主流浏览器的执行文件名字可能都被劫持了。基本为同事恢复成可用状态,但那个病毒依旧存在电脑里,下一步就是找到它。
6、通过网上搜索终于在卡饭论坛找到了这个病毒的相关踪迹,并凸鹣沮北把它删除了。“C:\WINDOWS\system32”目录下创建一个名为“MsslnthalEs.dll”的病毒动态链接库,并在注册表中为其创建随机启动的隐藏服务项。然后会在“C:\WINDOWS\AppPatch”目录下创建一个以“Ke”开头后序文件名为6位随机数字组成的“.xsl”文件,并在注册表中为其设置数值数据。最后会在“C:\WINDOWS\system32\drivers”目录下创建一个名为“dump_slnthal.sys”的驱动程序,并在注册表中为其创建随机启动的隐藏服务项。
7、清理方式,重启电脑按“F8”键进入“安全模式”。删除如下病毒程序。C:\WINDOWS\AppPatch\CustomC:\WINDOWS\AppPatch\AcRamIe.sdbC:\WINDOWS\AppPatch\Ke******.xslC:\WINDOWS\system32\MsslnthalEs.dllC:\WINDOWS\system32\drivers\dump_slnthal.sys
8、删除如下病毒注册表项值。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Win颊俄岿髭dows\CurrentVersion\Installer\SecureHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSSLNTHALESHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsslnthalEsHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSSLNTHALESHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsslnthalEsHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSSLNTHALESHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsslnthalEsHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DUMP_SLNTHALHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dump_slnthalHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DUMP_SLNTHALHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dump_slnthalHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DUMP_SLNTHALHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dump_slnthal