最近使用公司电脑的时候,发现C盘下面存在两个网址的快捷方式,以为是安装软件的时候让其复制过来的,随手删除它,并没有在意,第二在次开机的时候发现C盘下面又生成了这两个快捷方式,这下明白,让人摆道了,上网查了一下查关资料,发现有法可解。
快捷方式里面的内容是这样的:
http://www。newyx.net
单机游戏下载,最新最热门的单机游戏本地http下载.lnk
http://www。
就去天空 软件下载站 - office photoshop 绿色软件下载.lnk
这两个站本身还算正常,只是用这种传播推广的方式比较让人难以接受,前几天在使用的时候发现启动项里面有一个msconfig.exe启动项,当时就觉得很奇怪,怎么这个进程被放到启动项里面了,现在想来,原来是利用这个系统配置程序迷惑人的,当时看不顺眼就清掉了,没想到它的启动除了以msconfig.exe这个文件加载以外,还在系统的服务里面加载了启动项,难怪每次清除以后还会生成。下面说清除方法。
我在网上查到这个系统配置程序有两种说法,一种说位置在:C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe 里面,另一说法是在c:\windows\system32\msconfig.exe下面,我也有点迷惑不解了,因为我的这个程序是在SYSTEM32下面,但是看来其他的一些系统,有的一些还是在C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe.对比系统,原版系统的大部分是在c:\windows\system32\msconfig.exe下面,而雨林木风和深度的一些经过修改的系统经常会在SYSTEM32下面发现,可能是经过的修改吧,但不知道有没有利用这个程序干点别的东西。这个以后多核查一下再讨论。值得讨论一下的是文件的大小,我用的是SP3的深度系统,这个文件大小为159 KB (163,328 字节),占用空间为160 KB (163,840 字节),但是网上有另一说法,这个程序为148K(151,552字节),正常的MSCONFIG.EXE这个文件应当是148K大小,深度系统的可能是经过了修改,肥了一点吧,下面的正常文件的大小截图。
如果发现你的系统启动项里面存在这个启动项,说明很有可可着人道了,最好是严查一下系统SYSTEM32下面的文件,扫扫毒,看下启动项之类的,经过查毒以后,还需要你在计算机管理里面的服务里面看一下有没有不正确的一些进程。很多恶意程序都是利加载服务启动来进行,他们把服务的名字和内容都改成和系统文件一样的,如果你运气好发现你的服务里面有两个相同的服务,而且内容全部相同,恭喜你了,你也着道了,如果对系统服务不是太清楚的呢,可以利用第三方工具,比如360之类的,查看一下服务进程,看的时候隐藏系统安全服务,剩下的,找找有没有不正常的服务,如果发现,并且确认它有问题,直接灭之,有时候某些服务你可能会无法删除,只能禁止自动启动,在360里面也没有提供删除的功能,只能禁用,因为删除服务毕竟不是小事,而我们则可以利用系统自带的一个小工具进行删除服务,打开一个CMD窗口,输入sc delete "你要删除的服务名" ,如果提示SUCCESS,说明就删除成功了,要注意一下,如果你的服务名比较长,而且中间有空格,一定要加上双引号,否则会出错,如果你的服务名比较短且没没有空间在中间,双引号也可以不要,具体的SC使用方法请找GOOGLE问一下。
经过这几些改动。基本上问题差不多解决了,可能我没有具体说出详细的步骤,只能提供一种思路的方法,具体操作还得看个人喜好了。完!
