同事电脑死机后重启，只能显示桌面背景，而桌面图标、任务栏都不显示。

按ctrl+alt+del调出任务管理器，用“文件”-“新建任务(运行...)”，运行explorer.exe，显示找不到文件，而explorer.exe老老实实得还在原来地方，也没有被修改的迹象。

用SREng检查，发现又是映像劫持，只不过explorer.exe被映射的病毒文件已经被杀毒软件删除了，所以找不到文件。

来看看SREng的分析报告：

                                                                   1、删除以下文件(推荐到安全模式下删除，如果手工删除不了，可以用冰刃或powerrmv等工具来辅助删除)：
 
c:\windows\system32\c1kjg02.dll
c:\windows\system32\wshisu.dll
c:\winnt\system32\netdde32.exe 这个就是那个劫持explorer.exe的文件名(此例中已经被事先删除了)
c:\program files\lmuf\ 这是一个文件夹，应该不是好鸟
c:\winnt\system32\drivers\sgjsbfp.sys
c:\winnt\system32\drivers\ieyk2yb8vg.sys
c:\winnt\system32\e44c1.exe
 
2、删除重启后使用SREng修复下面各项：

 
    启动项目－－注册表之如下项删除：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce]

[c1kjg02]    <%systemroot%\system32\Rundll32.exe %systemroot%\system32\c1kjg02.dll,DllUnregisterServer>

[wshisu]    <%systemroot%\system32\Rundll32.exe %systemroot%\system32\wshisu.dll,DllUnregisterServer>[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVision\Image File Execution Options\Explorer.exe]

[IFEO[Explorer.exe]]    <C:\WINNT\system32\netdde32.exe>映像劫持的注册表项
 
    启动项目－－服务 －－ Win32服务应用程序之如下项删除：
[Windows qrzk RunThem / qrzk]    <C:\WINNT\System32\svchost.exe -k netsvcs-->C:\PROGRA~1\lmuf\vwep.dll>
[Fax 2Client / ms_2fax]    <C:\WINNT\system32\e44c1.exe>这项很可疑，虽然显示是传真，但我到网上查服务名，发现正面的文件名竟然不统一，是随机的，哪里有这种传真软件
 
    启动项目－－服务－－ 驱动程序之如下项删除：
[sgjsbf / sgjsbfp]    <\SystemRoot\System32\DRIVERS\sgjsbfp.sys>
[ieyk2yb8vg / ieyk2yb8vg]    <\??\C:\WINNT\system32\drivers\ieyk2yb8vg.sys>

其实删除映像劫持项后，重启桌面图标、任务栏就可以完整出来了，其它的操作只是顺便处理。

     欢迎访问：http://www.stormcn.cn