Win32.Hack.LockFile.me病毒无法删除或IE主页被更改为piaoxue.com或feixue.net的情况,经查证,这是一个流氓网站恶意更改用户IE主页的程序。由于该流氓使用了驱动保护,导致目前几乎所有的杀软都无法成功清除该病毒,因此发了这篇手工清除的帖子。由于该病毒目前仍在不断更新,如果发现按照帖子里的办法无法查杀的话请与我联系。同时,为配合毒霸及早解决该病毒,请各位将毒霸无法处理或查不到的sys文件压缩后发到我的邮箱,谢谢!
1、确定驱动(如果毒霸已经报了病毒的话这一步可以跳过)
运行autoruns.exe,在option菜单中分别勾选verify code signatures、hide signed Microsoft Entries后,点击Drivers选项卡,按F5刷新。这时会出现未经数字签名认证的非微软的驱动,如图一。由于该病毒的驱动文件名为随机生成,因此你看到的驱动名与图里的一般是不一样的。这时,注意找一个驱动名为8位随机字母组合,Publisher为(Not verified)Microsoft Corporation,路径在%system%driver目录下的驱动,记下这个驱动的文件名。
2、close handle
运行procexp,按下CTR+H显示handle面板,在find菜单中点击find handle
然后输入刚才记下的驱动名,点search按钮
在搜索到的结果中点一下鼠标,会看到procexp的handle主窗口中已经定位了。在handle窗口中定位处,右键,选择close handle
3、删除驱动及文件
重新回到autoruns,在该驱动上点右键,选择delete,如图五。并在%system%driver目录下删除该文件。
4、重启电脑后,打开IE,更改一下IE主页即可。