http://www.i-magical.com/2010/04/feizhuliu-kill-virus-mshta-exe/

非主流杀毒 – mshta.exe

Vincent | Apr 23, 2010 | 14 comments

昨天晚上不知道怎么回事电脑居然“中毒”了。上网的时候点太快了,不知道乱点到什么东西。当时的印象就是一黑一闪,然后迅速消失,凭经验知道恶意程序或这木马侵入了电脑。果然,电脑屏幕右侧总是弹出窗口和广告,无论怎么删除和关闭,总是间断的弹出来。进程列表里也总是多了mshta.exe这么个进程。杀了后还是会自己出来,很是烦躁。
mshta.exe是Html程序的宿主进程,可以运行许多Html程序,它本身是没有什么问题的。于是我就根据其进程信息去找所有引用和加载的文件以及dll,清理和删除了不少。手动恢复了不少注册表信息。可是结果是,它还是总跳出来。
于是我想,电脑上是否隐藏了.hta程序来被其运行。搜索了半天,没有。由此可见这些文件都是动态生成的,从弹出的窗口信息可以看到,这2天弹出窗口里的信息居然是更新的,于是可以肯定,它访问了网络,都是下载过来的。于是打开网络监控:

果然如此。可是这样也解决不了,关闭/禁止它的连接,也不是根除的办法。

算了,开始轮番用Avast,SUPERAntiSpyware,Avgs,IObit Security 360,360安全卫士狂杀,居然结果是没一个奏效。开始怀念卡巴斯基了….

其实给我的直觉是,这个肯定不是什么大不了东西,估计不是病毒,就是个恶意的小玩意。什么地方卡壳了?
后来仔细一看,!其实好简单:
Process Explorer里面很清楚,mshta.exe的父进程是Taskeng.exe,即Task Scheduler Engine。这里可以查看当前系统的所有Task的Schedule。


点击查看当前正在跑的Task。很明显Task Name那么怪异的就是有问题,打开它的属性页:

可以编辑这个Task的信息设置。比如编辑它的触发器,这里是每5分钟重复一次。
然后可以添加这个Task的Action:

当然还有其他的许多设置。这样的话,我的电脑每5分钟就会弹出这么一个窗口。
肯定是当我点击了什么东西,运行了一段程序,给我的电脑的Task列表里添加了这么一项。这东西对外的编程接口很良好,要做到这个是非常简单的。我把这个Task删除,一下什么都清净了。

其实系统的Task Scheduler是个很实用的东西,很多程序和应用都在这里注册了Task。比如苹果软件的自动更新:

用户可以对各个Task进行自定义编辑。当然,也可以向上述那样,添加个恶意的或者广告的Task,那就成了恶意程序了~~~~。

所以,有的时候,问题其实并不复杂,其实,很简单….
不要盲目下手,保持思路的清晰。任何时候,不要让自己的思路和思维封闭。

相当管用了 mstha插件的更多相关文章

  1. Mac OS X 上编写 ASP.NET vNext (二) IDE配置

    上一篇中介绍了如何在OS X上搭建.Net运行时.不过光有运行时还不够,还需要有一个好用的IDE,有了IDE的支持,OS X上的开发才称为可能. 和上篇类似,这里先列举出具体步骤,个人可以根据自己的情 ...

  2. sublime3 插件

    Sublime Text 3能用支持的插件推荐 从二月份用测试版本build 3012开始用sublime text 3,虽然很多插件在sublime text 3不工作了,因为sublime tex ...

  3. html-webpack-plugin插件的详细介绍和使用

    var webpack = require('webpack'); var HtmlWebpackPlugin = require('html-webpack-plugin'); module.exp ...

  4. 卸载Eclipse安装的插件

    背景:先前安装过Java Decompiler,不知道怎么弄的eclipse出问题之后不能用了,折腾了几次都没弄好,这次准备把这个插件先卸掉再装一次,结果发现,卸也卸不掉,最终是强制删除,以下为试过的 ...

  5. HTML5——摒弃插件和前端框架的异步文件上传

    之前我从来没有体会到HTML5的便利,直到这次需要一个异步上传的功能功能.一开始我以为文件的一些声明必须为HTML5才管用,后来才知道添加了很多以前没有的标签,并可以直接播放视频,音频等.可以不再使用 ...

  6. 解决WordPress后台安装主题、插件图片不显示的问题

    今天搭建wordpress发现现在主题的时候预览图片都没有了,于是搜索了一下,发现下面的这个方法确实管用,于是转载收藏. 有在WordPress后台安装主题.插件的小伙伴可能会遇到主题.插件图片不显示 ...

  7. 网页加载图片问题 插件lazyload

    有些项目的,是满屏的背景图片 ,导致页面加载的速度,有简单处理的方法有两个: 1.将背景分割成几分

  8. Java静态代码分析工具——FindBugs插件的安装与使用

    1 什么是FindBugs FindBugs 是一个静态分析工具,它检查类或者 JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的问题.有了静态分析工具,就可以在不实际运行程序的情况对软件进行分 ...

  9. cordova3.X 运用grunt生成plugin自定义插件骨架

    Cordova提供了一组设备相关的API,通过这组API,移动应用能够以JavaScript访问原生的设备功能,如摄像头.麦克风等.Cordova还提供了一组统一的JavaScript类库,以及为这些 ...

随机推荐

  1. 10+ 最流行的 jQuery Tree 菜单插件

    jstree – jQuery Tree Plugin With HTML & JSON Data jstree is a lightweight and flexible jQuery pl ...

  2. 团体程序设计天梯赛-练习集L2-009. 抢红包

    L2-009. 抢红包 时间限制 300 ms 内存限制 65536 kB 代码长度限制 8000 B 判题程序 Standard 作者 陈越 没有人没抢过红包吧…… 这里给出N个人之间互相发红包.抢 ...

  3. 移动web开发入门级

    http://www.infoq.com/cn/articles/development-of-the-mobile-web-deep-concept/

  4. 网络爬虫-url索引

    网络爬虫-url索引 http://www.cnblogs.com/yuandong/archive/2008/08/28/Web_Spider_Url_Index.html url索引的作用是判断一 ...

  5. C++ 中判断非空的错误指针

    最近在写网络上的东西,程序经过长时间的运行,会出现崩溃的问题,经过DUMP文件的查看,发现在recv的地方接收返回值的时候,数据的长度异常的大差不多16亿多字节.而查看分配后的char指针显示为错误的 ...

  6. HeadFirst设计模式之工厂模式

    一. 1."工厂模式"不是种真正的设计模式,而是一种编程术语 2.The Factory Method Pattern defi nes an interface for crea ...

  7. C#基础精华03(常用类库StringBuilder,List<T>泛型集合,Dictionary<K , V> 键值对集合,装箱拆箱)

    常用类库StringBuilder StringBuilder高效的字符串操作 当大量进行字符串操作的时候,比如,很多次的字符串的拼接操作. String 对象是不可变的. 每次使用 System. ...

  8. SRM 586 DIV1 L1

    可以化简为求n条线段的最大覆盖问题,需要注意的是对于实数而言. #include <iostream> #include <vector> #include <strin ...

  9. Android Editext监听光标位置

    因为项目需要,需要实时监听光标的位置变化,网上提出的用TextWatcher和onTouchListener中调用contentText.getSelectionStart()都是获取的上一次位置. ...

  10. R语言学习笔记:取数据子集

    上文介绍了,如何生成序列,本文介绍一下如何取出其数据子集 取出元素的逻辑值 > x<-c(0,-3,4,-1,45,90,5) > x>0 [1] FALSE FALSE  T ...