記錄一個由頻發藍屏故障、繼而發現病毒感染的維修案例

9 人贊了文章

0：起先

這事是在我辭職的兩天前接手的一個案例。

客戶提到自己的電腦經常在打開網頁/應用軟體時出現無響應、以及頻繁出現藍屏錯誤（0x7E）。

在打發走客戶之後，我開始對這台電腦進行檢查，首先是使用WinDbg工具查詢藍屏Dump文件，很快就發現了問題所在：一個名為NETIO.SYS的驅動程序導致了0x7E錯誤。

上網查詢發現，這個驅動程序和網卡驅動有關，原因是網卡驅動過於老舊。

但在我維修時，我發現一個不對勁的地方：網卡驅動是2016年的驅動，不可能是網卡驅動過於老舊導致的故障。但出於「少一事不如多一事」原則，我還是給它升級到了2017年的網卡驅動。

在我升級完畢它的網卡驅動後並重新啟動後，我習慣性地打開IE瀏覽器，以確認故障已經消除，但這時候我又發現一個不對勁的地方——它的主頁被鎖定成了一個不知名的網頁導航，且360安全衛士並沒有啟動。

我開始懷疑是病毒感染導致的問題，我先把360衛士重新安裝了一次，並調用360急救箱進行查殺。可接下來出現的窗口讓我的神經開始緊張起來。

請問什麼程序會阻斷360急救箱的網路連接呢？

而且，在解壓時我也發現一個不對勁的地方：只要解壓名為superkiller的可執行文件，就會提示解壓失敗。

隨後我打開PCHunter試圖檢查內核，但PCHunter提示無法載入驅動、即便是換成PowerTool也一樣。

可以確定，這台電腦感染了驅動級木馬，正式點的稱呼為：Rootkit（一種深入內核的惡意程序）。

鑒於這台被感染的系統已經無法使用主流的反惡意程序清理感染，於是我啟動到了我的移動硬碟上的系統。在這裡我找到了元兇：一個名為JOMALONE.SYS的驅動文件（數字簽名已經被吊銷），被頒發者為「雙雙 何」（何雙雙）。

到此，整個清理過程已經結束了（PCHunter恢復正常、360沒有再提示被破壞）。本來我想給這台電腦徹底檢查一次，以確定電腦藍屏和這個惡意程序有關。

但店長認為「中毒不會導致藍屏」，不讓繼續檢查下去，然後他去檢查內存故障了（自然，什麼都沒檢查出來）。

本次收到的經驗：

0.只要發現頻繁藍屏，且出現主頁被篡改的。第一懷疑是惡意程序感染。

1.街邊電腦店還是不適合我（悲傷的故事233）。