wmiapsrv.exe等 感染 Win32.Iuhzu.a 導致Win XP啟動時藍屏?
endurer 原創
2007-10-22 第1版
今天上午一位同事說他的本本昨晚還可以正常使用,今天開機藍屏,重啟故障依舊,讓偶幫忙檢查。
重啟電腦,按住F8鍵,從顯示出來的啟動菜單中選擇“最後一次正確的配置”
系統順利啟動,進入案頭。
開啟卡卡安全助手檢查時,瑞星檔案監控提示發現病毒:
/---
病毒名稱 處理結果 掃描方式 路徑 檔案
Win32.Iuhzu.a 清除成功 檔案監控 C:/WINDOWS/SYSTEM32/WBEM WMIAPSRV.EXE
Win32.Iuhzu.a 清除成功 檔案監控 C:/WINDOWS/system32/wbem wmiprvse.exe
---/
這兩個檔案應該是系統檔案嘛~
用 pe_xscan 掃描 log 並分析,探索服務:
/---
pe_xscan 07-08-30 by Purple Endurer
2007-10-22 10:50:49
Windows XP Service Pack 2(5.1.2600)
管理使用者組
O23 - 服務: WmiApSrv (WMI Performance Adapter) - C:/WINDOWS/system32/wbem/wmiapsrv.exe | 2007-10-22 10:3:56 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | WMI Performance Adapter Service | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | WmiApSrv.exe | WmiApSrv.exe(手動)
---/
對應的檔案wmiapsrv.exe的剛剛被修改過。難道是被感染了?
禁用瑞星即時監控,把兩個檔案從隔離區恢複,使用Kaspersky線上掃描,結果如下:
Scanned file: wmiapsrv.exe - Infected |
wmiapsrv.exe - infected by Trojan.Win32.Patched.v
|
Scanned file: wmiprvse.exe - Infected |
wmiprvse.exe - infected by Trojan.Win32.Patched.v |
先把WmiApSrv服務禁用了。
檢查發現本本的中瑞星還是2007,病毒庫是10月14日的,幫他升級到2008。
升級完成後按提示重啟電腦,可以順利進入案頭~