病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« 打印机发出的怪声——吐血系列之十解决“无法找到program.exe”一例 »

清除不断生成的“淘宝”、“美女”等图标

  同事电脑上发现的,运行某个名为“*开房rmvb”的exe文件,然后在桌面、开始菜单、程序菜单、快速启动栏出现一大堆的URL快捷方式:淘宝网购物、淘宝皇冠大全、在线电影、美女视频、妹妹写真馆、两性私房话等,都指向一些恶意推广的网址(别指望真的有美女,不过是诱惑点击),在内存运行,每隔一定的时间就重新生成一次,以防止这些快捷方式和桌面图标被删除。

  电脑上装的360安全卫士可以发现IE快捷方式被改,但修复仅限止删除IE快捷方式中添加的网址链接,而且对其它的URL快捷方式视而不见,系统修复与木马查杀都没有效果。只是在全面检查中发现IE的“链接”里被加入大量上面所说的网址链接,且这些链接的的快捷方式都在c:\windows\system32\下。这部分可先用360清理删除。

  继续检查中发现进程表中出现一个wscript.exe进程,很明显这个病毒利用的是vbs脚本文件。首先停止wscript.exe进程(这是系统文件不要删除),这样桌面上就不再反复生成被篡改过的IE快捷方式。然后进入c:\windows\system32\,按创建时间排个序,就可以发现这些当时新加入的文件(如果你的电脑中毒已久,可能创建时间就不是当天的,可根据下面描述的特征操作),除了url文件(system32下一般不存在这种.url的文件),还有vbs(sla.vbs、bczla.vbs、bgzscr.vbs、btywa.vbs)、bat批处理文件(shwoa.bat、srxxa.bat、srtcb.bat)、reg注册表文件(szrft.reg、blrert.reg)、还有网页文件(svcsa.htm、bbcser.htm)、exe文件(say.exe,还有一个sty.exe是在c:\program files\中)等,这些都是我们要清理的(不限于以上文件名)。为避免误伤,可检查它们的创建时间与修改时间,一般这些恶意文件都是同时间创建或者修改的,或者文件名上都是随机组合的字母或数字,再慎重些就把它们打包备份后再删除原文件。

  该病毒或木马先通过运行vbs脚本,删除桌面、快速启动栏中的正常的IE快捷方式,再把自己的恶意网址的快捷方式替换上去,指向一个钓鱼网站,同时修改注册表(导入上述reg文件),篡改启动项(假冒QQ的启动项),甚至篡改屏幕保护程序指向自己的一个scr文件以达到启动自己的目的。清除方法除按上面说的文件名和时间方法外,建议在删除reg、bat与vbs前,打开它们(右击-编辑,不要用双击,那是运行病毒),看看它们里面有包括哪引起文件名,一并删除(建议先备份)。最后再用杀毒软件或安全工具全盘扫描一遍并清除临时文件等。 


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/879.html

  • 1楼.1米9男装
  • 真是煞费苦心的制作者~

    等哥有钱的,给咱发个美女站,咱去买个vip~
    流风33 于 2011-2-22 20:14:59 回复
    想呢
  • 2011-2-22 16:47:53  [引用
  • 2楼.1米9男装
  • 你一定是守电脑守的,想呢,是啥意思啊?莫非你也想当vip啊!

    俺观察你有几天拉,你这家伙,有时碰出来的词,不符合咱的逻辑啊!!

    咱得出的结论是,你一定是守电脑,守的有点呆掉了,哈哈哈~ 平时和同事聊天么? 说话,不是打字。

    小心变小结巴
  • 2011-2-22 21:27:45  [引用

发表评论(欢迎交流,无须注册 | 如申请友链与本站要求不符,恕不回复,见谅):

验证码

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 收藏文章:
  • 新浪微博:
  • 订阅博客:
  • 腾讯微博:

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2016 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号