Storm_Center

病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

被替换的userinit.exe

  还是那台已经中过两次病毒老电脑,同样的现象,CPU100%被占用,在进程表中出现一个随机字母与数字组成文件名的进程,任务管理器中结束不了,然后不断出现一些随机数字组合的进程,没有后缀,结束了又会出现新的,电脑运行缓慢,卡得半死,安全模式下也是如此。

自动加载的winNTsyscpls服务

  这是一个伪装成视频文件的木马,当用户下载想双击打开播放时,文件消失,同时加载一个服务到系统中,每次电脑启动时都会运行,从而控制用户电脑。该木马加载的服务名称:windowssysCPL,假冒系统服务,甚至还有“winNT控制面板管理”的提示文字混淆视线。

清理病毒解决CPU100%

  此前曾经杀过毒的电脑再次中毒,CPU使用率一直是100%,居高不下,这次在任务管理器中查看进程,发现所有进程的CPU使用率加起来并未达到100%,可见有隐藏进程占用了CPU。注册表被锁定,IE主页被锁定为某个网址(这个应该不是为了流量,只可能是为了网站挂马再次传染,否则这么卡的电脑还有谁为去访问什么网站)。安全模式试了下,也是一样的100%CPU占用,不过至少没有破坏系统进入安全模式。

另一例xeex.exe病毒

  可参考之前一篇“清除xeex.exe病毒”,本文可做对照。现象症状不重述,存在文件被感染的情况,可能导致重装系统后重复中毒,而且大量的病毒木马进程出现在进程表中,系统卡死,杀毒软件、防火墙、包括360打不开,给清除工作带来困难。

清除sddinstu.exe、codrmk.drv

  与上一篇“清除rsmsankt.exe、setdebugn.exe”类似,也是桌面美化秀带来的,同样出现ycmcg.dll进程,不过此次建立的服务与其有些不同,不过也是类似的
[Remote Access / Remote Access]
  <C:\WINDOWS\system32\sddinstu.exe runsrv /name:"Remote Access" /prinum:"32" /cmdline:"C:\WINDOWS\system32\codrmk.drv">

清除rsmsankt.exe、setdebugn.exe

  此病毒由某桌面美化秀软件携带,通过下载网站误导用户下载,安装后篡改、劫持IE主页和IE桌面快捷方式,指向恶意网站,还修改了快捷方式的属性为只读,不让用户修复,并且会修改HOSTS文件,在进程中会出现ycmcg.dll文件。其它的如桌面IE快捷方式、IE主页的修复等就不说了,这里只说该病毒添加的一个服务的清除。

henbucuo.com修改IE快捷方式参数

  本例中的“很不错”恶意网站修改IE等浏览器快捷方式属性中的参数以此劫持主页,指向http://1.webete.cn/wenzi15.asp,包括360浏览器,所以所谓360安全浏览器也是使用IE核心,并非真的安全,只要打开浏览器,则会自动转到“很不错”网站。

手动清除comres.dll病毒记

  这次的病毒是在同事的电脑上,进程表中explorer.exe占用大量CPU资源,整个系统的CPU使用率一直是100%,导致其它应用程序都卡得无法运行。同时发现有两个smss.exe进程,后来发现其中一个smss.exe是在windows目录下,很明显是病毒文件。其它情况还有个别应用程序界面上的文字变成竖条,进入安全模式时出现蓝屏。

清除comres.dll、qmgr.dll等木马

  系统遭遇蓝屏,检查发现病毒,同样使用映像劫持,被劫持项目和以前各种映像劫持的程序大同小异,并且都用了ntsd -d,也出现了comres.dll。

修复9348篡改主页

  这应该是第四次收录9348.cn篡改主页的例子了。因为有驱动程序保护,所以《如何修复被劫持、篡改的IE主页》一文中的方法无法简单见效,需要先搞定它的驱动才行。另外此次9348劫持的是世界之窗,而一些防止主页被改的工具,如IE巡警并不起作用。

清除xeex.exe病毒

  任务管理器中出现一个随机数字加 xeex.exe的进程,360及部分知名杀毒软件无法打开,杀毒软件的网页无法访问,并且该病毒能够感染应用程序。

清除em63.dll、syma8d.dll、s.exe等病毒

  此病毒借计划任务定时使用rundll32调用em63.dll,因此一定要先清理计划任务中的定时任务,但删除时别把rundll32.exe删除了,这个是系统文件,同时还有病毒建立的服务与加载的IE插件要清理。

电驴、7999.com和畅游巡警

  有人反映安装了电驴后发现IE主页被改成http://7999.com,而且很难改回来。其实7999.com是VeryCD制作的上网导航网站,这个在安装电驴过程中是有提示的,不需要的在安装程序时一定要去掉该安装组件。

删除ReBootFilmServer清除恶意广告

现象:电脑右下角经常弹出广告,使用瑞星,360清理杀毒均无效。
清除方法:
1.删除以下文件:c:\windows\system32\rebootfilmserver.exe
2.使用SREng删除服务项:[ReBootFilmServer / ReBootFilmServer]  

usp10.dll、comres.dll卷土重来

  这个什么年初出现的猫癣或叫犇牛的病毒最近似乎又冒出来,comres.dll、usp10.dll又频繁出现,新变种来了。这回的comres.dll可就不是被什么给误删了,而是切切实实的病毒文件。

分页:[«][5][6][7][8]9[10][11][12][13][14][15][16][17][18][19][»]
  • 微信订阅号
    微信订阅

文章归档-鼠标滑过查看

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2016 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号