当时在退出杀毒软件和安全卫士的情况下。安装了旧版本的在线行为监控软件。打开软件后,系统变慢,CPU资源上升到99%。打开任务管理器查看进程,发现svchost.exe占了99%。进程无法结束,出现了一个由数字和字母组合而成的exe文件。图1
故障重现操作
重启电脑后,刚开始反应速度正常,但是只要点击任何一个应用程序电脑就会变慢,CPU资源耗尽,报错显示内存不可读。所有的安全软件都打不开。EXE文件都无法使用及正常安装(安装jf报错显示内存不可读)。
重装系统不能解决问题
没有别的好解决方案,就重装了操作系统。重装使用后不久马上就重新感染了,电脑又变得很慢(双核CPU资源占用达99%,进程依然是svchost.exe文件),反复重装了2次系统都不能解决问题。当时硬盘上有很多的数据需要保留,不愿意全部清除数据—重分区。
更换硬件内存条
当时怀疑硬件问题又替换了一下内存条,故障仍然不能解决。开机按F8进入安装模式,试图手工删除一些开机启动项文件,但是启动加载一切正常,并没有在run中加入不明启动项。仅在你点击其它应用程序时才激活此病毒,导致CPU资源耗尽。在安全模式下部分软件能安装,但不能正常打开。
最终解决方法(系统急救箱)
解决这类病毒也没有经验可找,在网上搜索之后也没有此类解决方案。这类病毒可能是EXE文件的变种,我直接下载了几个专杀EXE的、U盘auto专杀工具查杀,都没有查出什么异常。因为中过exe病毒的文件大小及外观都没有什么异常,与正常文件差不多。在没有更好的解决办法之时。偶然之间采用“带网络的安全模式”,进入系统(图2)。
进入安装安全卫士时,发现在安装软件前有一个小提示向导,要求我们安装360系统急救箱,当时就在线安装了这个软件,并更新这个软件。于是全面进行查杀病毒,杀出了上千个病毒。其中就有一个在C盘根目录下面的字母与数字组合的exe文件。
杀完病毒之后,重启进入正常模式后其它相关软件都能正常安装并能使用了。故障现象消失,CPU恢复正常的状态。
总结经理教训
这次单机电脑中毒事件并没有大范围的传播,但它可以通过U盘传播,当时有同事从我的电脑拷贝文件,都会携带病毒,杀毒软件会主动提示并杀掉。
同时也提醒我们不要在没有安装杀毒软件情况下(或退出所有安全杀毒软件)的电脑安装不明的软件,除非你是非常有把握的软件(图4为通过u盘传播的exe文件)。
