Storm_Center

病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

清理病毒解决CPU100%

  此前曾经杀过毒的电脑再次中毒,CPU使用率一直是100%,居高不下,这次在任务管理器中查看进程,发现所有进程的CPU使用率加起来并未达到100%,可见有隐藏进程占用了CPU。注册表被锁定,IE主页被锁定为某个网址(这个应该不是为了流量,只可能是为了网站挂马再次传染,否则这么卡的电脑还有谁为去访问什么网站)。安全模式试了下,也是一样的100%CPU占用,不过至少没有破坏系统进入安全模式。

另一例xeex.exe病毒

  可参考之前一篇“清除xeex.exe病毒”,本文可做对照。现象症状不重述,存在文件被感染的情况,可能导致重装系统后重复中毒,而且大量的病毒木马进程出现在进程表中,系统卡死,杀毒软件、防火墙、包括360打不开,给清除工作带来困难。

清除sddinstu.exe、codrmk.drv

  与上一篇“清除rsmsankt.exe、setdebugn.exe”类似,也是桌面美化秀带来的,同样出现ycmcg.dll进程,不过此次建立的服务与其有些不同,不过也是类似的
[Remote Access / Remote Access]
  <C:\WINDOWS\system32\sddinstu.exe runsrv /name:"Remote Access" /prinum:"32" /cmdline:"C:\WINDOWS\system32\codrmk.drv">

清除rsmsankt.exe、setdebugn.exe

  此病毒由某桌面美化秀软件携带,通过下载网站误导用户下载,安装后篡改、劫持IE主页和IE桌面快捷方式,指向恶意网站,还修改了快捷方式的属性为只读,不让用户修复,并且会修改HOSTS文件,在进程中会出现ycmcg.dll文件。其它的如桌面IE快捷方式、IE主页的修复等就不说了,这里只说该病毒添加的一个服务的清除。

henbucuo.com修改IE快捷方式参数

  本例中的“很不错”恶意网站修改IE等浏览器快捷方式属性中的参数以此劫持主页,指向http://1.webete.cn/wenzi15.asp,包括360浏览器,所以所谓360安全浏览器也是使用IE核心,并非真的安全,只要打开浏览器,则会自动转到“很不错”网站。

手动清除comres.dll病毒记

  这次的病毒是在同事的电脑上,进程表中explorer.exe占用大量CPU资源,整个系统的CPU使用率一直是100%,导致其它应用程序都卡得无法运行。同时发现有两个smss.exe进程,后来发现其中一个smss.exe是在windows目录下,很明显是病毒文件。其它情况还有个别应用程序界面上的文字变成竖条,进入安全模式时出现蓝屏。

清除comres.dll、qmgr.dll等木马

  系统遭遇蓝屏,检查发现病毒,同样使用映像劫持,被劫持项目和以前各种映像劫持的程序大同小异,并且都用了ntsd -d,也出现了comres.dll。

修复9348篡改主页

  这应该是第四次收录9348.cn篡改主页的例子了。因为有驱动程序保护,所以《如何修复被劫持、篡改的IE主页》一文中的方法无法简单见效,需要先搞定它的驱动才行。另外此次9348劫持的是世界之窗,而一些防止主页被改的工具,如IE巡警并不起作用。

清除xeex.exe病毒

  任务管理器中出现一个随机数字加 xeex.exe的进程,360及部分知名杀毒软件无法打开,杀毒软件的网页无法访问,并且该病毒能够感染应用程序。

清除em63.dll、syma8d.dll、s.exe等病毒

  此病毒借计划任务定时使用rundll32调用em63.dll,因此一定要先清理计划任务中的定时任务,但删除时别把rundll32.exe删除了,这个是系统文件,同时还有病毒建立的服务与加载的IE插件要清理。

电驴、7999.com和畅游巡警

  有人反映安装了电驴后发现IE主页被改成http://7999.com,而且很难改回来。其实7999.com是VeryCD制作的上网导航网站,这个在安装电驴过程中是有提示的,不需要的在安装程序时一定要去掉该安装组件。

删除ReBootFilmServer清除恶意广告

现象:电脑右下角经常弹出广告,使用瑞星,360清理杀毒均无效。
清除方法:
1.删除以下文件:c:\windows\system32\rebootfilmserver.exe
2.使用SREng删除服务项:[ReBootFilmServer / ReBootFilmServer]  

usp10.dll、comres.dll卷土重来

  这个什么年初出现的猫癣或叫犇牛的病毒最近似乎又冒出来,comres.dll、usp10.dll又频繁出现,新变种来了。这回的comres.dll可就不是被什么给误删了,而是切切实实的病毒文件。

“很不错”网站劫持主页与“Verified”之惑

  原本只是一个IE主页的问题,www.henbucuo.com占据IE死活不走,又是一个“很不错”导航网站劫持浏览器的例子。经检查,也确是如此,IE快捷方式属性中添加了该网址,导致一打开IE就上了那个所谓的“很不错”网站,同样在IE的ACTIVE安装组件中也有添加项……

解决众多rundll32.exe进程

  症状:进程表中出现众多的rundll32.exe进程,数量有上百个,挤占内存资源,即使手动结束rundll32.exe,仍然会很快再次启动。不过似乎这些rundll32.exe只是单纯的自身程序运行,并未调用其它程序。

分页:[«][5][6][7][8]9[10][11][12][13][14][15][16][17][18][19][»]