HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
INFECTION WARNING! "{D56A1203-1452-EBA1-7294-EE3377770000}" = "Interlinking Memory Support"
-> {CLSID}InProcServer32(Default) = "C:\WINDOWS\System32\param32.dll" [null data]
这就告诉我一个名为c:\windows\system32\param32.dll的文件在计算机中启动了。param32.dll文件不是缺省的Windows配置。要确定这个文件是不是罪魁祸首,我使用Sysinternal软件中的strings.exe程序查看这个文件内部的ASCII字符串。
当在可执行文件中看到列出的字符串时,我们看到了一个HotOffers,我们现在知道我们已经找出了这个问题了。
清除间谍软件第二步:立即行动
安全专家Kevin Beaver:在这种情况下,你应该运行一两种其他反间谍软件扫描工具,看看能否清除间谍软件的感染。遗憾的是,防御间谍软件和广告软件需要多层次的防护措施才能有效。
安全专家Tony Bradley:要防止任何Windows Messenger服务向系统滥发弹出式信息,你需要关闭Windows Messenger服务(不要与MSN Messenger即时消息工具软件相混淆)或者封锁进入UDP端口135、137和138以及TCP端口135、139和445的通信。
用户已经验证,杀毒软件是最新的,并且使用了目前最好的反间谍软件工具之一的“Spybot - Search & Destroy”。 然而,这些反间谍软件工具都不是100%的有效。不要简单地依赖S&D软件的检查结果。用户还应该试一下使用其它的反间谍软件工具,例如Lavasoft公司的Ad-Aware、微软测试版的Windows AntiSpyware和Webroot软件公司的Spy Sweeper。
安全专家Lawrence Abrams:虽然劫持软件不会传播到其它计算机中,但是,这种软件在许多情况下会严重降低IE浏览器的安全设置。因此,在清除这种感染防止进一步感染之前,阻止用户使用被感染的计算机是非常重要的。
网友评论