看到论坛一求助,现象:开机自动打开三九医疗网,并在桌面上生成两个IE图标:“让性爱更美好了”、“成人网站”,IE主页也被劫持,打开IE也是该网站,使用360查杀未果。
此木马通过在组策略中设置windows登录脚本启动对,从开始-运行-gpedit.msc,打开组策略-用户配置-windows设置-脚本(登录/注销)-登录,在“登录”的窗口中可能看到以下几个文件:如notepa.bat、yici.bat、sys.bat等,通过这些bat批处理文件调用donw.vbs、shijian.vbs等脚本文件。
昨天对一台电脑随意地检查时,在360的“全面诊断”中出现3个可疑的服务项,服务名和相应的文件名我就不说了,都是随机字母的组合而成的,然后使用360安全卫士的修复功能修复,但仍不能消除它们,下次扫描还是出现。
中毒现象:系统的任务计划中莫名多出上百个任务(at1.job、at2.job、at3.job、……at102.job、……),删除后会自动重建;这些任务属性中运行一栏的内容是c:\programe files\ieak\realone player\cuteftp……
病毒通过感染Windows系统文件MSIMG32.dll,绕过杀毒软件及网游保护系统,杀毒软件对病毒进行清除往往直接删除了MSIMG32.dll。MSIMG32.dll是Windows图形设备接口GDI相关模块,用于支持新的API应用程序接口和GDI32相关特性。