今天开机,发现桌面上多了一个IE快捷方式,很奇怪,看了一下IE选项发现默认主页是about-bank.cn,以为是自己看错了(空白页应该是about
blank),然后恢复空白页,不顶用。
NOD32,金山清理专家,360扫下来都没有问题,上网GOOGLE了一下,发现也有不少说这个about-bank.cn的,但是现象和自己的都不同,只好手动了。
反复查找比对之后,发现多了一个叫做spsvr.exe的服务,并把自己设置成了自启动,(相当明目张胆.....)
在drivers文件夹多了一个叫做LH的驱动,autoruans显示它指向了c:\program
files\MMS.SYS的文件(从后缀名来看我觉得设计的人可能把它放错了位置......)。
注册表多了一个IFEO,指向了ntsd -d(这个指向很流行啊,但是作者好像做的并不是很成功,因为本该是被映像执行的程序位置显示your path
name......之类的)
清除过程如下:
1.进入安全模式
2.cmd之后运行 sc \\计算机名 delete spsvr,要是我写错了的话麻烦大家看sc的help自己写
3.运行autoruns,找到image hijack里删掉那个映像,然后到driver里删掉LH的项和对应的注册表项
3.到c:\program files下,查看
系统隐藏文件,找到mms.sys和spsvr.exe两个系统隐藏文件并删掉(我的还有ABC.EXE)
4.在注册表删除名为spsvr的所有内容
5.运行系统清理工具清理临时文件,然后把IE主页改回来
之后重启
计算机。
QQ:733304