system.dll appwinproc.dll wiaservc.dll恶意程序

故障现象：

         1、双击“我的电脑”打开极慢，甚至打不开。通过“资源管理器”打开，除C盘外的其它硬盘分区很久才可以看到。

         2、有网络攻击行为，同子网的其它电脑受其影响，不能正常访问网络。

         3、各分区根目录下，有隐藏属性的autorun.inf和system.dll文件。

         4、360安全卫士等软件不能安装和运行。

 

故障原因：

         经初步检查，是一个未知的恶意程序所致。

 

处理方法：

         使用SRENG系统修复工具（下载地址附后）

         1、双击运行SRENG，点击左侧的“系统修复”-》文件关联-》修复。先把错误的文件关联修复，以免后面不小心双击某类型文件时，重新安装（激活）恶意程序。

         2、点击左侧的“系统修复”-》HOSTS文件-》如果看到一堆 “127.0.0.1”字样的内容，那就点下边的“重置”-》保存。恶意程序通过修改该文件，使该电脑不能访问一些知名的安全网站，无法下载或更新相关工具软件。

         3、点击左侧的“启动项目”-》注册表。会看到巨多的启动加载项，特别是一些用特殊颜色表示的行。先别急着删，这个恶意程序有保护，你删，它就恢复。所以，先到“服务”标签下。点击“WIN32服务应用程序”，在弹出的“WIN32服务应用程序窗口”中选中“隐藏已认证的微软项目”，按下面的清单找到相应的服务，然后选中“删除服务”，再点击设置，再点击“否”（注意软件的提示，一定要点“否”，点“是”反而不是删除。），重复以上动作，将找到的清单中的服务都删除掉。（注1）

        需删除掉的服务清单：

        Application Management

        Task Scheduler

        System Restore Service

        Windows Image Acquisition

        Windows Time

        4、在“服务”标签下，继续点击“驱动程序”，在弹出的“驱动程序”窗口中选中“隐藏已认证的微软项目”后，将服务名中含有“NSPASS”和“NSKHELPER”字样的记录依次删除。方法同上一步中删除服务的操作。

        5、重新启动电脑。

        6、重新启动后，再次进入SRENG工具。启动项目-》注册表-》将有“IFEO”字样的记录删除。如果嫌记录太多，可以打开注册表编辑器（REGEDIT）（注2），找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]项，将其改名。比如改成 Bak Image File Execution Options。该注册表项，是为了兼容早期的程序，进行一些特殊的环境设定。对于一般的用户基本上没用。至少从我这边试验的结果看，没有发现更改该项后，有什么异常。虽然“没用”，但最好还是保留，万一想用时，把名字改回来就可以用了。

             有关WINDOWS映像劫持（IFEO）技术的介绍，大家可参考该文《详解WINDOWS映像劫持技术 》 [url]http://bfc99.blog.51cto.com/265386/116734[/url]

         7、用资源管理器打开各硬盘分区，将根目录下的autorun.inf和system.dll文件删除。

         8、删除所有系统还原点数据，以彻底清除隐藏于此的恶意程序。可以通过用鼠标右键单击“我的电脑”-》属性-》系统还原-》选中“在所有驱动器上关闭系统还原”并点击确定，然后再通过同样的操作来取消选中。经过这么处理后，系统中的还原点数据就被清除掉了。

          9、再次重新启动电脑后，用其它恶意软件清理工具，比如恶意软件清理助手2008、360安全卫士（下载地址附后）等，清除本机的临时文件，全面查杀恶意（评）软件和木马。然后再用杀毒软件全面查杀病毒。以免有漏网之鱼。

 

另：以上根据回忆处理过程而写，可能有错漏之处。又因暂时无第二台电脑出现同样的情况，没有机会验证以上方法的正确性。仅供大家参考。更欢迎大家修正和补充。谢谢。

 

上文中涉及工具软件下载地址

   1、    SRENG系统修复工具

             [url]http://www.kztechs.com/sreng/download.html[/url]

             注：绿色软件，无需安装，解压后直接运行。

     2、360安全卫士

             [url]http://down.360safe.com/setup.exe[/url]

      3、、恶意软件清理助手2008

             [url]http://www.tommsoft.com/Products.aspx?pid=2[/url]

 

注1：列在这里的这些服务不一定有，也不一定全有。有的就删除，没有就跳过此步。

 

注2：此时可能会出现打不开regedit.exe的情况。原因是该程序名已经被映像劫持，造成不能正常打开。此时，可以将regedit.exe 改名为regedit.com，再次运行就可以打开了。