一个奇怪现象的分析过程
今天一开机,发现windbg,procexp.exe等都无法运行了,第一感觉,中毒了。
还好,XueTr还可以打开,打开一看,果然被镜像劫持了。
如图所示:
罪魁祸首源自于netmeeting.exe,它是无恶之源,它依次创建了wuauctl.exe,update_temp.exe,msxmlr.exe,vmnetdhcp.exe,ntldr.exe。理清了这些,接下来就是清除。
先用XueTr将所有的映像劫持删除,然后可以运行procexp.exe,此时,在procexp.exe的进程列表中,查找到C:\Program Files\Common Files\Installations\wuauctl.exe,将此进程关闭(流氓软件主程序)。
然后将如下的命令,令存为一个del.bat,
attrib -s -h -r C:\WINDOWS\system32\netmeeting.exe
del C:\WINDOWS\system32\netmeeting.exe /q
attrib -s -h -r "C:\Program Files\Update files\update_temp.exe"
del "C:\Program Files\Update files\update_temp.exe" /q
attrib -s -h -r "C:\Program Files\Common Files\Installations\wuauctl.exe"
del "C:\Program Files\Common Files\Installations\wuauctl.exe" /q
attrib -s -h -r "C:\Program Files\VMware files\vmnetdhcp.exe"
del "C:\Program Files\VMware files\vmnetdhcp.exe" /q
attrib -s -h -r d:\ntldr.exe
del d:\ntldr.exe
attrib -s -h -r d:\autorun.inf
del d:\autorun.inf
然后双击此bat;
另外,在注册表中,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
有两个键值分别为
C:\Program Files\Update files\update_temp.exe 和
C:\Program Files\Common Files\Installations\wuauctl.exe的两个字符串变量,
一并删除之。
至此,流氓软件清除了。
转载于:https://www.cnblogs.com/stabber/archive/2013/04/13/3017912.html
一个奇怪现象的分析过程相关推荐
- 字符编码应用的一个奇怪现象
[概述] 在Windows操作系统中使用记事本新建一个文本文件,在文件里面写入"联通"两个字并保存.当再次打开这个文本文件时候,在记事本中看到得却不是刚刚输入的"联通&q ...
- go语言slice使用的时候遇到的奇怪现象以及分析
先看底层流程图 看如下代码: package mainimport "fmt"func main() {//第一个现象a := make([]int, 0)b := []int{1 ...
- STM32下载程序时的一个奇怪现象
有时候发现用jlink下载程序进去,没有报错,却自动进入运行状态,程序执行异常,退出,重新编译程序,下载进去后又正常了.程序并没有修改,有点奇怪,先记录一下.
- python输入一个自然数n如果n为奇数_日本数学家谷角静夫在研究自然数时发现了一个奇怪现象(“谷角猜想”):对于任意一个自然数...
[单选题]以下选项中能用作Python程序变量名的是____________.(2.5分) [单选题]执行下列程序段,输入数值10,输出的结果是___________. x = input() y = ...
- SAP Fiori应用没能从Fiori Launchpad启动的一个可能原因及分析过程
Issue: There are two ABAP systems which host CRM "My Opportunity" application. In system A ...
- 验证谷角猜想。日本数学家谷角静夫在研究自然数时发现了一个奇怪现象:对于任意一个自然数 n ,若 n 为偶数,则将其除以 2 ;若 n 为奇数,则将其乘以 3 ,然后再加 1。如此经过有限次运算后,总可
#include<stdio.h> //用户输入值n //判断n是否为1 // 如果是偶数除以2,是奇数乘3加1 int main() {int n; scanf("%d&quo ...
- 汇编语言:实验8分析一个奇怪的程序
实验介绍 实验8 分析一个奇怪的程序 分析下面的程序,在运行前思考:这个程序可以正确返回吗? 运行后再思考:为什么是这种结果? 实验代码 ;实验8 分析一个奇怪的程序 ;分析下面的程序,在运行前思考: ...
- unique_ptr失效后的奇怪现象
C++11 提供的unique_ptr非常好用,但是在使用过程中发现一个奇怪现象:失效后任然可以使用. 奇怪现象例子 下面代码是例子, #include <iostream> #inclu ...
- SAP MM 并非奇怪现象之MB5B报表里期初库存余额或者期末库存余额为负数?
SAP MM 并非奇怪现象之MB5B报表里期初库存余额或者期末库存余额为负数? 笔者在做某个项目的进销存报表优化的的时候,发现了一个奇怪现象:MB5B查某个日期或某个期间的库存的时候,发现有负的库存余 ...
- linux pmap 内存泄露,一个驱动导致的内存泄漏问题的分析过程(meminfo-pmap-slabtop-alloc_calls)...
关键词:sqllite.meminfo.slabinfo.alloc_calls.nand.SUnreclaim等等. 下面记录一个由于驱动导致的内存泄漏问题分析过程. 首先介绍问题背景,在一款嵌入式 ...
最新文章
- 学习python一开始枯燥_编程零基础应当怎样开始学python?他说,看这三个经典方法...
- Orecle基本概述(2)
- android root 恢复出厂设置,Android系统 免root 卸载预置应用
- c++ 4.变量名规则
- 分布式定时任务框架选型,写得太好了!
- mc1.8.1怎么局域网java_同一台电脑同时装jdk1.8和jdk1.7
- mysql基础之mariadb集群主从架构
- 宋宝华:深入理解cache对写好代码至关重要(上)
- 百度云网盘批量复制文件,在线复制到每个文件夹中PC版
- 打开图片时提示windows照片查看器无法显示图片内存不足该如何解决
- 大数据bi工具有哪些
- 架构 - 关于三种编程范式
- 云集品以共享经济为幌子因涉及传销被关闭,做社交电商防止误入
- sql server 帐户当前被锁定,所以用户 sa 登录失败。系统管理员无法将该帐户解锁 解决方法
- Docker MSSQL 添加读取 MDF 文件
- Python 检测PE所启用保护方式
- orcad capture 快速制作原理图库
- linux运维是做什么工作的?有哪些岗位?
- PMOS管/NMOS管控制供电电路
- angular 学习资源
热门文章
- 个人博客系统的设计与实现_一个标星近 10k 的现代化的个人独立博客系统,程序员值得拥有...
- 【POJ1804】Brainman 【求逆序数】
- 非参数假设性检验 Wilcoxon秩和检验 matlab
- MemCached存储原理
- 第2.2节 Python的语句
- 绘图QPainter-字体
- 2015年热恋的肉肉们
- 【BZOJ1703】【usaco2007margold】ranking the cows 奶牛的魅力排名
- imageNamed、imageWithContentsOfFile、imageWithData
- [Android]Android TraceView工具使用