一计算机,主页被修改成了www.piaoxue.com,无法恢复设置为空白页面,也无法通过修改注册表恢复,且使用NTregmon监视也不能得到是由什么程序在监控注册表,固怀疑有驱动存在。
仔细检查,发现一驱动gqwujawk.sys,标识为Micirosft,使我们难以正确判断,但它无法通过autoruns的签名验证。如下图:
不过使用autoruns删除这项注册表,一刷新就会恢复。使用ICESWORD,也无法删除文件,也无法使用ICESWORD删除该驱动的注册表。
只好使用引导盘引导,删除文件,重启后恢复正常。