- UID
- 3467
- 积分
- 4580
- 精华
- 贡献
-
- 威望
-
- 活跃度
-
- D豆
-
- 在线时间
- 小时
- 注册时间
- 2002-3-31
- 最后登录
- 1970-1-1
|
发表于 2005-5-20 10:11:05
|
显示全部楼层
曾经遭遇过,造成CPU100%占用的家伙,当时不经意的干掉了(不知道有没有消灭干净)。到网上搜了一下,好象ebuy易趣是罪魁祸首,而主要由珊瑚虫QQ为虎作伥助纣为虐。
关于msser.exe文件的说明- -
- 这两天小陌在国内各大反病毒论坛浏览时,不约而同地看到了许多网友在发贴询问msser.exe文件是否为病毒,因为包括AVP在内的一些杀毒软件都将这个文件命名为Trojan-Downloader,小陌在对该文件进行分析后,认为不属木马。从网友反馈的情况来看,这个文件是来自“珊瑚虫3.1.2集成版qq”软件中自带的一个ebay易趣的插件,而且在珊瑚虫论坛也看到了相关说明。所以,在此提醒广大网友不要过于紧张。
- 当你在安装“珊瑚虫3.1.2集成版qq”时,选择安装ebay插件后,则会在系统中生成%System%\appmgmt\msser.exe、% System%\cba\task.exe、%System%\inetsrv\inet.exe、%System%\dllcache\ mstunint.dll、%System%\dllcache\mstunmsr.dll、%System%\dllcache\ mstuntsk.dll,并在注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- "MSSER"="%System%\appmgmt\msser.exe"
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
- "IIS"="%System%\inetsrv\inet.exe"生成以上键值。
- 如果广大网友不想安装此插件,那么在安装时可以不要选择安装。
- - 作者: smallmo 2005年04月26日, 星期二 18:19
- oh-no
- 发表于:2005-04-26 17:32
- 发帖: 36
- 积分: 0
- 注册: 2005-04-08
- 我也中了,估计是装了珊瑚版的QQ,CPU占用率都是100%的,每次启动都要手动结束该进程,这是我在网上找到的,我也不知道有没用。我没试过。。,你试了之后跟我说。。嘻。。。。
- 1、找到其在dllcache库中的关联文件,共有8个,
- 分别是a3d.dll
- drmk.sys ks.sys ksproxy.ax ksuser.dll mstunint.dll mstunmsr.dll mstuntsk.dll portcls.sys portcls.sys
- 并删除,(dllcache库位于system32目录下,正常情况下是隐藏的,需要打开文件夹选项--查看--去掉隐藏受保护文件的前的对号,打开显示所有文件)
- 2、删除system32\cba\task.exe
- system32\appmgmt\msser.exe
- C:\windows\temp\Install\setup.exe
- system32\icon目录
- system32\inetsrv\inet.exe
- 3、最后从注册表中删除msser.exe其相关启动项.
- 再次启动后这些东东就都没有了,另外最好大家都安装防火墙,这样有什么可疑程序想连接网络的时候一目了然.
- oh-no 编辑于 2005-04-26 17:34
- ---
- 我喜欢吃番茄炒蛋,我会褒冬菇鸡汤。
- o ◎ 这个问题是“珊瑚虫QQ”里带的“ebay易趣购物工具”带来的…… 红贝壳 (64478)于2005/05/01(16:34:29)..
- 相关文件:
- C:\windows\temp\Install\setup.exe
- %System%\appmgmt\msser.exe
- %System%\cba\task.exe
- %System%\inetsrv\inet.exe
- %System%\dllcache\mstunint.dll
- %System%\dllcache\mstunmsr.dll
- %System%\dllcache\mstuntsk.dll
- 经过比较发现,其中:
- %System%\appmgmt\msser.exe和%System%\dllcache\mstunmsr.dll一样;
- %System%\cba\task.exe和%System%\dllcache\mstuntsk.dll一样;
- %System%\inetsrv\inet.exe和%System%\dllcache\mstunint.dll一样。
- (从文件名也可以看出它们之间有关联)
- 如果安装“珊瑚虫QQ”时安装了“ebay易趣购物工具”,那么那些东西就会被安装到系统里,大家
- 遇到的这个问题也就出现了……
- C:\windows\temp\Install\setup.exe,运行后释放其它几个文件,并建立启动项:
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
- "MSSER"="%System%\appmgmt\msser.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
- "IIS"="%System%\inetsrv\inet.exe"
- %System%\appmgmt\msser.exe如果运行也会把%System%\cba\task.exe运行起来;
- %System%\inetsrv\inet.exe运行后则会创建%System%\appmgmt\msser.exe的启动项。
- 通过观察,它们会从网络上读取信息并下载文件,可能是用做程序更新的吧。
- 从临时文件中发现download.htm和download.ini,其中有类似“select * from download where
- datetime='日期'”的读取数据库语句。
- 说一下如何除掉它们:
- 如果它们的进程不在进程里,那么就可以直接找到这些文件删除掉:
- C:\windows\temp\Install\setup.exe
- %System%\appmgmt\msser.exe
- %System%\cba\task.exe
- %System%\inetsrv\inet.exe
- %System%\dllcache\mstunint.dll
- %System%\dllcache\mstunmsr.dll
- %System%\dllcache\mstuntsk.dll
- 到注册表编辑器里删除以下两个启动项:
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
- "MSSER"="%System%\appmgmt\msser.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
- "IIS"="%System%\inetsrv\inet.exe"
- 这个位置是它们建立的,也可删除:
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tunl]
|
|
如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】;
如何回报帮助你解决问题的坛友,一个好办法就是给对方加【D豆】,加分不会扣除自己的积分,做一个热心并受欢迎的人!
|申请友链|Archiver|手机版|小黑屋|辽公网安备|晓东CAD家园
( 辽ICP备15016793号 )
窥视卡
雷达卡
发表于 2005-5-20 03:53:53
提升卡
置顶卡
沉默卡
变色卡
千斤顶
