与上一篇“清除rsmsankt.exe、setdebugn.exe”类似,也是桌面美化秀带来的,同样出现ycmcg.dll进程,不过此次建立的服务与其有些不同,不过也是类似的
[Remote Access / Remote Access]
<C:\WINDOWS\system32\sddinstu.exe runsrv /name:"Remote Access" /prinum:"32" /cmdline:"C:\WINDOWS\system32\codrmk.drv">
与上一篇“清除rsmsankt.exe、setdebugn.exe”类似,也是桌面美化秀带来的,同样出现ycmcg.dll进程,不过此次建立的服务与其有些不同,不过也是类似的
[Remote Access / Remote Access]
<C:\WINDOWS\system32\sddinstu.exe runsrv /name:"Remote Access" /prinum:"32" /cmdline:"C:\WINDOWS\system32\codrmk.drv">
此病毒由某桌面美化秀软件携带,通过下载网站误导用户下载,安装后篡改、劫持IE主页和IE桌面快捷方式,指向恶意网站,还修改了快捷方式的属性为只读,不让用户修复,并且会修改HOSTS文件,在进程中会出现ycmcg.dll文件。其它的如桌面IE快捷方式、IE主页的修复等就不说了,这里只说该病毒添加的一个服务的清除。
本例中的“很不错”恶意网站修改IE等浏览器快捷方式属性中的参数以此劫持主页,指向http://1.webete.cn/wenzi15.asp,包括360浏览器,所以所谓360安全浏览器也是使用IE核心,并非真的安全,只要打开浏览器,则会自动转到“很不错”网站。
给WINDOWS XP安装IIS时出现提示:“安装程序无法复制文件staxmem.dl_”,试了几个文件也无法成功。到网上一找,原来是Secedit.sdb的问题,Secedit.sdb是本地安全组策略数据库,需要运行esentutl命令修复Secedit.sdb数据库。
微软10月补丁已经发布,可以使用windows的自动更新,或漏洞扫描工具安装。但由于某些原因,可能导致补丁安装失败,特别是office的更新补丁,对于大量使用所谓精简版office或删除过office留在硬盘上的安装备份文件的用户,安装失败基本上是必然的。因此需要下载补丁安装文件手动安装。
朋友的笔记本突然不能看在线视频,但是用火狐却可以,而用遨游就不行,遨游用的是IE核心,同样IE也不能看在线视频,浏览器上原本应该播放视频的地方只显示空白,试了好几个在线视频和播客网站都是如此。折腾一番,原来是IE缓存文件夹的原因。
这次的病毒是在同事的电脑上,进程表中explorer.exe占用大量CPU资源,整个系统的CPU使用率一直是100%,导致其它应用程序都卡得无法运行。同时发现有两个smss.exe进程,后来发现其中一个smss.exe是在windows目录下,很明显是病毒文件。其它情况还有个别应用程序界面上的文字变成竖条,进入安全模式时出现蓝屏。
这应该是第四次收录9348.cn篡改主页的例子了。因为有驱动程序保护,所以《如何修复被劫持、篡改的IE主页》一文中的方法无法简单见效,需要先搞定它的驱动才行。另外此次9348劫持的是世界之窗,而一些防止主页被改的工具,如IE巡警并不起作用。