昨天不小心中招，跟大家分享一下查毒经历（本人比较菜，还在学习的阶段）

yzhil

昨晚睡觉前想从网上找点东西，用百度和GOOGLE搜索了一下，打开了很多个网页，突然跳出提示：“正常运行的Windows所需文件已被替换成无法识别的版本。要保持系统稳定，Windows必须还原这些文件原有版本，现在插入您的Windows XP CD—ROM”
当时没有想到中毒，但是过了一会就发现不对劲，右下角显示的时间变为0点，再打开仔细一看，成了2000年，然后卡巴的图标也跟着消失，这时候我才意识到，中毒了。。。想再次打开卡巴，却发现没有任何反应，试了试360,也是打不开。打开任务管理器，比平常多了几个进程：craoek.exe，wmnet.exe，TASKMAN.EXE，重启进入安全模式，还是打不开卡巴及360,于是决定关机先睡觉。
今天开机后，病毒依旧还在，无计可施，想到以前用过的微点主动防御软件，觉得可以试试，于是下了个试用版，装上后，果然微点马上提示发现未知木马，是否删除？（程序：C:\PROGRAM FILES\INTERNET EXPLORER\VITNNT64.987是否删除木马程序及其衍生物？）
不过这个时候卡巴还是打不开，想到以前从网上看过“映像劫持”，怀疑这次很可能是映像劫持，于是打开注册表，根据网上找到的办法，找到：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\
取消administrator和system用户的写权限。
卡巴果然可以打开了，然后扫描了一下，发现一大堆的毒，其中几个保存了下来，有兴趣的网友可以看看。现在毒虽然杀了，但最初那个让卡巴停止工作的病毒还不清楚是哪一个。

[ 本帖最后由 yzhil 于 2008-12-7 23:34 编辑 ]

wangjay1980

起码也换个不怕修改时间的卡巴版本吧

yzhil

请问楼上，哪个版本不怕修改时间？

wangjay1980

卡7 325以及以上的所有版本

yzhil

难怪了，我的是KIS7.0.125

fireworld

C:\PROGRAM FILES\INTERNET EXPLORER\VITNNT64.987

这个就是某盗QQ病毒的残留～

hifigecko

我也出现过类似的提示，可是没有发现这些进程唉，这是为什么呢？

fan17011

有值得学习的。。。地方

loveema

我也学习学习

taoyuan237

LA的卡巴也太...
不过这病毒还真老居然连微点也放过了