爱华网非主流杀毒 – mshta.exe : iMagical svchost.exe杀毒
昨天晚上不知道怎么回事电脑居然“中毒”了。上网的时候点太快了,不知道乱点到什么东西。当时的印象就是一黑一闪,然后迅速消失,凭经验知道恶意程序或这木马侵入了电脑。果然,电脑屏幕右侧总是弹出窗口和广告,无论怎么删除和关闭,总是间断的弹出来。进程列表里也总是多了mshta.exe这么个进程。杀了后还是会自己出来,很是烦躁。
mshta.exe是Html程序的宿主进程,可以运行许多Html程序,它本身是没有什么问题的。于是我就根据其进程信息去找所有引用和加载的文件以及dll,清理和删除了不少。手动恢复了不少注册表信息。可是结果是,它还是总跳出来。
于是我想,电脑上是否隐藏了.hta程序来被其运行。搜索了半天,没有。由此可见这些文件都是动态生成的,从弹出的窗口信息可以看到,这2天弹出窗口里的信息居然是更新的,于是可以肯定,它访问了网络,都是下载过来的。于是打开网络监控:
果然如此。可是这样也解决不了,关闭/禁止它的连接,也不是根除的办法。
算了,开始轮番用Avast,SUPERAntiSpyware,Avgs,IObit Security 360,360安全卫士狂杀,居然结果是没一个奏效。开始怀念卡巴斯基了….
其实给我的直觉是,这个肯定不是什么大不了东西,估计不是病毒,就是个恶意的小玩意。什么地方卡壳了?
后来仔细一看,!其实好简单:
Process Explorer里面很清楚,mshta.exe的父进程是Taskeng.exe,即Task Scheduler Engine。这里可以查看当前系统的所有Task的Schedule。
点击查看当前正在跑的Task。很明显Task Name那么怪异的就是有问题,打开它的属性页:
可以编辑这个Task的信息设置。比如编辑它的触发器,这里是每5分钟重复一次。
然后可以添加这个Task的Action:
当然还有其他的许多设置。这样的话,我的电脑每5分钟就会弹出这么一个窗口。
肯定是当我点击了什么东西,运行了一段程序,给我的电脑的Task列表里添加了这么一项。这东西对外的编程接口很良好,要做到这个是非常简单的。我把这个Task删除,一下什么都清净了。
其实系统的Task Scheduler是个很实用的东西,很多程序和应用都在这里注册了Task。比如苹果软件的自动更新:
用户可以对各个Task进行自定义编辑。当然,也可以向上述那样,添加个恶意的或者广告的Task,那就成了恶意程序了~~~~。
所以,有的时候,问题其实并不复杂,其实,很简单….
不要盲目下手,保持思路的清晰。任何时候,不要让自己的思路和思维封闭。
更多阅读
中国非主流年轻人的十大心态 中国年轻人的末日心态
中国非主流年轻人的十大心态 (李笑天)平时阅读和浏览网络信息,发现当今中国非主流年轻人虽然始终是少数,但是他们的社会影响力非常大,很多主流青年也自觉不自觉地追捧他们的言行,给人一种错觉好像是非主流年轻人一种很吃香的样子。所以
四个字的网名,好听的非主流四个字 好听的四个字网名
大家好,这里的QQ空间登陆的网名大全栏目,上几次这几篇把网名分成字数的网名很受大家欢迎,分别是“二个字网名_非主流二字网名大全与 三个字网名大全_非主流好听三字网名带诗意” 深受大家的喜爱,这次的网名是四字,这篇文章给大家提
非主流网络红人程琳 - 车模美女_网络红人网 非主流程琳
http://www.uotee.com/mm/post/3如今的网络真是四通八达,网络红人程琳 的非主流形象是非常深入人心的。但自从成了网络红人,程琳却莫名其妙的消失了,很多网友以为网络红人程琳被睡了,而最新的一组程琳生活照片也许能够帮我们揭开
||美化教程||51空间非主流---旋转模块制作 - xposed美化模块
美化教程||51空间非主流---旋转模块制作 形象照 51秀 用户:pxw416641962昵称:E族╓詠遠愛伱 彩虹号:1666
宋高宗:朕为什么非要杀岳飞?
宋高宗自白:朕为什么非要杀岳飞?奉天承运,皇帝诏曰:做皇帝累,做有名的皇帝更累,做有名而且名声不好的皇帝那绝对是累得不能再累!看了朕的标题,你们应该不会认不出朕了吧,几百年没见了,知道你们总在惦记着朕,虽然朕并不那么惦记着你们,也不那么惦