病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« henbucuo.com修改IE快捷方式参数清除sddinstu.exe、codrmk.drv »

清除rsmsankt.exe、setdebugn.exe

  此病毒由某桌面美化秀软件携带,通过下载网站误导用户下载,安装后篡改、劫持IE主页和IE桌面快捷方式,指向恶意网站,还修改了快捷方式的属性为只读,不让用户修复,并且会修改HOSTS文件,在进程中会出现ycmcg.dll文件。其它的如桌面IE快捷方式、IE主页的修复等就不说了,参考以前的修复被劫持、篡改的IE主页苹果工具条的几篇文章处理(桌面假IE图标的删除还可以看苹果工具条之继续篇 ),这里只说该病毒添加的一个服务的清除。

[Remote Access / Remote Access]
  <C:\WINDOWS\system32\rsmsankt.exe runsrv /name:"Remote Access" /prinum:"32" /cmdline:"C:\WINDOWS\system32\setdebugn.exe">
必须删除此服务,可以通过SREng来删除(具体操作见怎样根据SREng日志的分析报告清除病毒),其它工具(如wsyscheck、冰刃)也可以,直接在注册表中删除也行(可能需要先获得完全控制权限),或在控制面板-管理工具-服务中先禁用,这是最简单的方法。然后就可以删除其中的两个文件:
C:\WINDOWS\system32\rsmsankt.exe
C:\WINDOWS\system32\setdebugn.exe

  注意有的电脑上生成的服务并与上述相同,文件名也可能有异,如还有这样的:
[COM+ Windows Firewall / COM+ Windows Firewall]
<C:\WINDOWS\system32\asxelv.exe runsrv /name:"COM+ Windows Firewall" /prinum:"32" /cmdline:"C:\WINDOWS\system32\setdebugn.exe">
基本类似,不要被Remote Access或COM+ Windows Firewall这样的名字迷惑了。

  那个ycmcg.dll在类似C:\Documents and Settings\Administrator\Application Data\Microsoft\MMC的下路径下。由于这东西是误下载带来的,因此下载安装时一定要看清楚。 


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/514.html

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号