小心wmpdrm.dll(广告插件)
浏览器插件中加载了wmpdrm.dll。结束Max.exe 到system32目录下找到wmpdrm.dll,删除,显示无法删除,程序正在使用。
网上查相关资料:
wmpdrm.dll相关文件、目录:
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
有一个启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
是不是和打印差不多,只是路径不一样,打印是在system32下
删除这条启项,可笑的是过几秒钟这个启动项又重新添加到注册表里,那个System32\下的1116文件也是,删掉马上自制一份。看来这样是无法清除的,还有进程没有结束,在explorer进程(windows运行必需进程)也有wmpdrm.dll,看来正常模式下是很难清除。
重启 F8 把上面所说的文件目录全部删除,重启运行浏览器。终于OK。
注:
1、有些恶意程序会有两进程同时运行,他们会互相监控,当你结束一个时,另一个进程马上又会把你结束掉那个进程恢复,所以,当你运用好多工具也搞不定时,不要再浪费时间,进安全模式。
2、不要指望杀毒软件能解决一切,他们重在病毒的防护上,对一些恶意程序无能为力,有些根本都查不出来,别说杀了。所以不要说我有杀毒软件就可以高枕无忧了,即便你经常升级杀毒也不行,还是那句老话,一切还是小心为上,不要安装一些来厉不明白的程序。
先停止系统进程spoolv.exe
然后删除windows/system32/spoolv.exe
然后删除注册表中所有spoolv有关的项目(搜索就行)
这个进程和打印机有关的进程,一般用不到,这个木马就是用了这个漏洞吧。
最后把系统服务里的Print Spooler禁用。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024