神马品牌网蒸汽烘房加热器:msibm.dll怎么删掉?
来源:百度文库 编辑:神马品牌网 时间:2024/04/29 07:08:46
C:\WINDOWS\system32\msicn\123.exe 怀疑为qq木马
C:\WINDOWS\system32\msicn\123.exe 怀疑为baidu广告
C:\WINDOWS\system32\msicn\m123.dll 怀疑为qq木马
C:\WINDOWS\system32\msicn\m123.dll 怀疑为baidu广告
C:\WINDOWS\system32\msicn\msibm.dll 怀疑为qq木马
C:\WINDOWS\system32\msicn\msibm.dll 怀疑为baidu广告
C:\WINDOWS\system32\msicn\msibm.dll.exe 怀疑为qq木马
C:\WINDOWS\system32\msicn\msibm.dll.exe 怀疑为baidu广告
C:\WINDOWS\system32\msicn\msibm.exe 怀疑为qq木马
C:\WINDOWS\system32\msicn\msibm.exe 怀疑为baidu广告
C:\WINDOWS\system32\msicn\bingdu\123.exe 怀疑为qq木马
C:\WINDOWS\system32\msicn\bingdu\123.exe 怀疑为baidu广告
C:\WINDOWS\system32\msicn\bingdu\msibm.dll.exe 怀疑为qq木马
C:\WINDOWS\system32\msicn\bingdu\msibm.dll.exe 怀疑为baidu广告
C:\WINDOWS\system32\msicn\bingdu\msibm.exe 怀疑为qq木马
C:\WINDOWS\system32\msicn\bingdu\msibm.exe 怀疑为baidu广告
C:\WINDOWS\system32\msicn 扫描完成.
删不掉.怎么办?
手动在注册表去掉键值:
从开始->运行,
输入
regedit
打开窗口上,点菜单栏文件,导出命名先备份一次你的注册表。
然后点击编辑->查看
输入
msicn
把找到的键值删除
按F3继续,直到完成。
重启。
再到C:\WINDOWS\system32\目录下把msicn子目录直接删除。
用微点主动防御软件试试,该软件对这种木马病毒清除的很彻底。www.micropoint.com.cn
http://www.tingyue.com/Dir2/Page_2A0B.htm,用killbox删
用QQ尾巴专杀工具查杀就可以了,记得查杀时候关闭当前运行的QQ哦!
下载地址
http://download.rising.com.cn/zsgj/RavQQMsender.exe
至于那BAIDU广告的,去控制面板-添加删除程序--把跟百度相关的 卸载就可以了
看到 XV流量动力 老大说的好所以想收藏起来这个问题
相关文件、目录:
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe,有一个启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
运行后会调用%System%\msicn\msibm.dll,创建%System%\1116\目录,备份用。
%System%\1116\目录是备份目录,里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。
%System%\msicn\msibm.dll,会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%\1116\目录)和注册表信息(启动项、BHO):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32]
@="%System%\wmpdrm.dll"
注:"spoolsv"的数据不会被监视,所以修改它的数据也不会被恢复,只有删除"spoolsv"才会被恢复。
还可能会从远程服务器下载文件:
http://liveupdate.ourxin.com/secp.exe
secp.exe是个安装程序,安装以下文件:
%System%\wmpdrm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\(目录里4个dll文件)
%System%\wmpdrm.dll是一个BHO,%System%\msicn\ube.exe像是卸载程序。
另外,在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件,比如:
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%\wmpdrm.dll作为BHO被调用后,会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。
注:如果%System%\spoolsv\spoolsv.exe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。
另外……
在“开始菜单”>>“程序”里会有一项“NavAngel”,里面有个快捷方式NavAngel.lnk,指向:
%System%\spoolsv\spoolsv.exe -ctrlfun:4,3
“添加/删除程序”里有一项“NavAngel”,对应命令是:
%System%\spoolsv\spoolsv.exe -ctrlfun:4,2
还有一项“WinDirected 2.0”,对应命令是:
%System%\spoolsv\spoolsv.exe -uninst
还可能会有mscache\目录,从名字看像是存放临时缓存文件的。
BHO相关注册表信息:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}]