此病毒由某桌面美化秀软件携带,通过下载网站误导用户下载,安装后篡改、劫持IE主页和IE桌面快捷方式,指向恶意网站,还修改了快捷方式的属性为只读,不让用户修复,并且会修改HOSTS文件,在进程中会出现ycmcg.dll文件。其它的如桌面IE快捷方式、IE主页的修复等就不说了,参考以前的修复被劫持、篡改的IE主页和苹果工具条的几篇文章处理(桌面假IE图标的删除还可以看苹果工具条之继续篇 ),这里只说该病毒添加的一个服务的清除。
[Remote Access / Remote Access]
<C:\WINDOWS\system32\rsmsankt.exe runsrv /name:"Remote Access" /prinum:"32" /cmdline:"C:\WINDOWS\system32\setdebugn.exe">
必须删除此服务,可以通过SREng来删除(具体操作见怎样根据SREng日志的分析报告清除病毒),其它工具(如wsyscheck、冰刃)也可以,直接在注册表中删除也行(可能需要先获得完全控制权限),或在控制面板-管理工具-服务中先禁用,这是最简单的方法。然后就可以删除其中的两个文件:
C:\WINDOWS\system32\rsmsankt.exe
C:\WINDOWS\system32\setdebugn.exe
注意有的电脑上生成的服务并与上述相同,文件名也可能有异,如还有这样的:
[COM+ Windows Firewall / COM+ Windows Firewall]
<C:\WINDOWS\system32\asxelv.exe runsrv /name:"COM+ Windows Firewall" /prinum:"32" /cmdline:"C:\WINDOWS\system32\setdebugn.exe">
基本类似,不要被Remote Access或COM+ Windows Firewall这样的名字迷惑了。
那个ycmcg.dll在类似C:\Documents and Settings\Administrator\Application Data\Microsoft\MMC的下路径下。由于这东西是误下载带来的,因此下载安装时一定要看清楚。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/514.html
