局域网内所有电脑访问网站都提示有病毒,检查发现有一电脑感染arp欺骗。

着手处理,发现该机杀毒软件被关闭。使用任务管理器,发现有异常进程。点结束进程,任务管理器自动关闭,一打开含有杀毒类字眼的网站或目录,IE自动关闭。选择进入安全模式,显示蓝屏。

GHOST重装系统,一启动马上就被感染。

使用msconfig命令查看系统启动时发现两项自启动项:"C:\Program Files\Common Files\System\akpfhtq.exe"与"C:\Program Files\Common Files\Microsoft Shared\dtajxne.exe"。

采取手工删除文件的方法,在WINDOWS下进入启动项目相应的目录,即使显示所有隐藏文件也无法看到对应的文件,运行CMD使用DOS命令进入目录也无法删除。

最终解决方案(按网上方案修订):
1、引导到DOS模式下,进入"C:\Program Files\Common Files\System\"目录,查看隐藏文件会发现akpfhtq.exe文件。修改文件的相关属性:attrib -a -h -s akpfhtq.exe,删除文件:del akpfhtq.exe
同样,进入到"C:\Program Files\Common Files\Microsoft Shared\"目录,删除dtaj3.xne.exe文件。进入到"C:\Program Files"目录下有个木马程序meex.exe文件,同上删除之。
2、通过查看发现,每个硬盘分区的根目录都有"autorun.inf"与"xiwiiuy.exe"文件,将不同分区的两个隐藏文件也删除。
3、进入WINDOWS,注册表:HKEY-MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENT VERSION\IMAGE FILE EXECUTION OPTIONS\指向的程序均为"dtajxne.exe"文件,将其全部删除。
(切记在病毒没有完全查杀前不要插入移动存储介质)
4、此时可以运行杀毒软件了,将硬盘所有分区查杀一遍。
5、运行GPEDIT.MSC组策略--计算机配置---管理模板---系统,关闭自动播放功能。
6、问题解决。

标签: none

评论已关闭