記錄一個由頻發藍屏故障、繼而發現病毒感染的維修案例

記錄一個由頻發藍屏故障、繼而發現病毒感染的維修案例

9 人贊了文章


0:起先

這事是在我辭職的兩天前接手的一個案例。

客戶提到自己的電腦經常在打開網頁/應用軟體時出現無響應、以及頻繁出現藍屏錯誤(0x7E)。

在打發走客戶之後,我開始對這台電腦進行檢查,首先是使用WinDbg工具查詢藍屏Dump文件,很快就發現了問題所在:一個名為NETIO.SYS的驅動程序導致了0x7E錯誤。

上網查詢發現,這個驅動程序和網卡驅動有關,原因是網卡驅動過於老舊。

但在我維修時,我發現一個不對勁的地方:網卡驅動是2016年的驅動,不可能是網卡驅動過於老舊導致的故障。但出於「少一事不如多一事」原則,我還是給它升級到了2017年的網卡驅動。

在我升級完畢它的網卡驅動後並重新啟動後,我習慣性地打開IE瀏覽器,以確認故障已經消除,但這時候我又發現一個不對勁的地方——它的主頁被鎖定成了一個不知名的網頁導航,且360安全衛士並沒有啟動。

我開始懷疑是病毒感染導致的問題,我先把360衛士重新安裝了一次,並調用360急救箱進行查殺。可接下來出現的窗口讓我的神經開始緊張起來。

請問什麼程序會阻斷360急救箱的網路連接呢?

而且,在解壓時我也發現一個不對勁的地方:只要解壓名為superkiller的可執行文件,就會提示解壓失敗。

隨後我打開PCHunter試圖檢查內核,但PCHunter提示無法載入驅動、即便是換成PowerTool也一樣。

可以確定,這台電腦感染了驅動級木馬,正式點的稱呼為:Rootkit(一種深入內核的惡意程序)。

鑒於這台被感染的系統已經無法使用主流的反惡意程序清理感染,於是我啟動到了我的移動硬碟上的系統。在這裡我找到了元兇:一個名為JOMALONE.SYS的驅動文件(數字簽名已經被吊銷),被頒發者為「雙雙 何」(何雙雙)。

到此,整個清理過程已經結束了(PCHunter恢復正常、360沒有再提示被破壞)。本來我想給這台電腦徹底檢查一次,以確定電腦藍屏和這個惡意程序有關。

但店長認為「中毒不會導致藍屏」,不讓繼續檢查下去,然後他去檢查內存故障了(自然,什麼都沒檢查出來)。

本次收到的經驗:

0.只要發現頻繁藍屏,且出現主頁被篡改的。第一懷疑是惡意程序感染。

1.街邊電腦店還是不適合我(悲傷的故事233)。


推薦閱讀:

打開網頁每次自動登錄的密碼如何查看到 電腦維修技術網
[博應用官網]電腦藍屏了該怎麼辦?
蘋果6P耗電快,半天都不夠用,怎麼辦?
萌新必讀文章:台式機、筆記本全新安裝詳解

TAG:藍屏 | 計算機病毒 | 電腦維修 |