同事说她的电脑打不开网页了,但是QQ能上。到电脑上一检查,就觉得桌面的IE图标很可疑,当时一共有两个,都是正常时的IE图标的样子,不带快捷方式的小箭头,但是右击它们出现的菜单显示两个图标都不是原来的IE图标。
同事说她的电脑打不开网页了,但是QQ能上。到电脑上一检查,就觉得桌面的IE图标很可疑,当时一共有两个,都是正常时的IE图标的样子,不带快捷方式的小箭头,但是右击它们出现的菜单显示两个图标都不是原来的IE图标。
今年8月底量子统计被诺顿、麦咖啡误报infostealer病毒,而11月19日卡巴斯基又对其报毒。本次事件中,卡巴斯基认为量子统计代码中的网页链接目的是窃取密码、信用卡号等数据。这次量子统计的反应比上次快,很快就发表了误报声明。
所谓桌面丢失,即桌面上原有的图标、任务栏不显示,只剩下光光的桌面背景图片,这种情况一般是explorer.exe损坏或被病毒替换、甚至是explorer.exe文件被删除或丢失造成的,修复方法就是拷贝正常的explorer.exe到windows目录下。
还是那台已经中过两次病毒老电脑,同样的现象,CPU100%被占用,在进程表中出现一个随机字母与数字组成文件名的进程,任务管理器中结束不了,然后不断出现一些随机数字组合的进程,没有后缀,结束了又会出现新的,电脑运行缓慢,卡得半死,安全模式下也是如此。
这是一个伪装成视频文件的木马,当用户下载想双击打开播放时,文件消失,同时加载一个服务到系统中,每次电脑启动时都会运行,从而控制用户电脑。该木马加载的服务名称:windowssysCPL,假冒系统服务,甚至还有“winNT控制面板管理”的提示文字混淆视线。
此前曾经杀过毒的电脑再次中毒,CPU使用率一直是100%,居高不下,这次在任务管理器中查看进程,发现所有进程的CPU使用率加起来并未达到100%,可见有隐藏进程占用了CPU。注册表被锁定,IE主页被锁定为某个网址(这个应该不是为了流量,只可能是为了网站挂马再次传染,否则这么卡的电脑还有谁为去访问什么网站)。安全模式试了下,也是一样的100%CPU占用,不过至少没有破坏系统进入安全模式。
可参考之前一篇“清除xeex.exe病毒”,本文可做对照。现象症状不重述,存在文件被感染的情况,可能导致重装系统后重复中毒,而且大量的病毒木马进程出现在进程表中,系统卡死,杀毒软件、防火墙、包括360打不开,给清除工作带来困难。
与上一篇“清除rsmsankt.exe、setdebugn.exe”类似,也是桌面美化秀带来的,同样出现ycmcg.dll进程,不过此次建立的服务与其有些不同,不过也是类似的
[Remote Access / Remote Access]
<C:\WINDOWS\system32\sddinstu.exe runsrv /name:"Remote Access" /prinum:"32" /cmdline:"C:\WINDOWS\system32\codrmk.drv">
此病毒由某桌面美化秀软件携带,通过下载网站误导用户下载,安装后篡改、劫持IE主页和IE桌面快捷方式,指向恶意网站,还修改了快捷方式的属性为只读,不让用户修复,并且会修改HOSTS文件,在进程中会出现ycmcg.dll文件。其它的如桌面IE快捷方式、IE主页的修复等就不说了,这里只说该病毒添加的一个服务的清除。