非主流杀毒 – mshta.exe

Vincent | Apr 23, 2010 | 14 comments

昨天晚上不知道怎么回事电脑居然“中毒”了。上网的时候点太快了,不知道乱点到什么东西。当时的印象就是一黑一闪,然后迅速消失,凭经验知道恶意程序或这木马侵入了电脑。果然,电脑屏幕右侧总是弹出窗口和广告,无论怎么删除和关闭,总是间断的弹出来。进程列表里也总是多了mshta.exe这么个进程。杀了后还是会自己出来,很是烦躁。
mshta.exe是Html程序的宿主进程,可以运行许多Html程序,它本身是没有什么问题的。于是我就根据其进程信息去找所有引用和加载的文件以及dll,清理和删除了不少。手动恢复了不少注册表信息。可是结果是,它还是总跳出来。
于是我想,电脑上是否隐藏了.hta程序来被其运行。搜索了半天,没有。由此可见这些文件都是动态生成的,从弹出的窗口信息可以看到,这2天弹出窗口里的信息居然是更新的,于是可以肯定,它访问了网络,都是下载过来的。于是打开网络监控:

果然如此。可是这样也解决不了,关闭/禁止它的连接,也不是根除的办法。

算了,开始轮番用Avast,SUPERAntiSpyware,Avgs,IObit Security 360,360安全卫士狂杀,居然结果是没一个奏效。开始怀念卡巴斯基了….

其实给我的直觉是,这个肯定不是什么大不了东西,估计不是病毒,就是个恶意的小玩意。什么地方卡壳了?
后来仔细一看,!其实好简单:
Process Explorer里面很清楚,mshta.exe的父进程是Taskeng.exe,即Task Scheduler Engine。这里可以查看当前系统的所有Task的Schedule。


点击查看当前正在跑的Task。很明显Task Name那么怪异的就是有问题,打开它的属性页:

可以编辑这个Task的信息设置。比如编辑它的触发器,这里是每5分钟重复一次。
然后可以添加这个Task的Action:

当然还有其他的许多设置。这样的话,我的电脑每5分钟就会弹出这么一个窗口。
肯定是当我点击了什么东西,运行了一段程序,给我的电脑的Task列表里添加了这么一项。这东西对外的编程接口很良好,要做到这个是非常简单的。我把这个Task删除,一下什么都清净了。

其实系统的Task Scheduler是个很实用的东西,很多程序和应用都在这里注册了Task。比如苹果软件的自动更新:

用户可以对各个Task进行自定义编辑。当然,也可以向上述那样,添加个恶意的或者广告的Task,那就成了恶意程序了~~~~。

所以,有的时候,问题其实并不复杂,其实,很简单….
不要盲目下手,保持思路的清晰。任何时候,不要让自己的思路和思维封闭。

  • Share/Bookmark

Filed Under: ComputerTechnology

Tags: , ,

About the Author

Comments (14)

Trackback URL | Comments RSS Feed

  1. yeyongming says:
    05/04/2010 at 12:49 AM

    你好 我最近也是中了这个恶意程序 我看了你的这篇文章
    但是 我感觉 你操作的流程 我实现不了
    我想 如果方便的话 我们可以再交流
    即时联系方式 QQ:29462523
    MSN:necessaryevil@live.cn
    Email:yeyongming21@yahoo.com.cn

    Reply
    • Vincent says:
      05/04/2010 at 4:57 PM

      好的。我帮你看一下。

      Reply
      • 半醉 says:
        08/27/2010 at 5:51 PM

        你好 我也是遇到了和你一样的问题 但是我不知道怎么打开Taskeng.exe这个程序的窗口啊,点击运行没有窗口弹出,所以也就看不到所有的task,希望楼主指点一下啊。
        联系方式:
        qq:285770865
        msn:xzm11111@yahoo.com.cn
        email:xzm11111@yahoo.com.cn

        Reply
      • dan says:
        09/22/2011 at 12:09 PM

        您好,我也遇到了同样的问题,但是我也不能实现你的进程,能不能详细给我讲讲,我的qq89214510,很着急很感谢

        Reply
  2. Eyan Wang says:
    11/27/2010 at 2:57 PM

    真的非常非常感谢您的这篇文章!我也是遇到了同样的问题,百度了一上午都没找到合适的办法去掉这个mshta导致的跳框问题,就在绝望的边缘我搜到了您的这篇十万火急的技术讲解!!一步步按照你提供的思路,找到任务计划程序然后把问题解决了,多亏您的相助,再次谢谢啊~(这篇文章我收藏了)

    Reply
  3. oulihan says:
    11/28/2010 at 3:06 AM

    你好,情况跟你一模一样,照你的说法做了。删了task.可是5分钟后再次弹出!

    Reply
  4. RB says:
    12/14/2010 at 2:22 AM

    谢谢~问题解决了~

    Reply
  5. 水晶 says:
    12/20/2010 at 12:04 AM

    我也种这个毒.我把mshta删掉.后来冲现在一个新的.但是蓝屏两次.请问能不能把我解决下.请把方法放到我邮箱.

    Reply
  6. xxxxkazu says:
    01/19/2011 at 12:46 PM

    您好!!我現在也碰到這個程式的騷擾(今天早上知道是這個程式)
    但是看完您的解說後還是不大了解意思….所以應該怎麼處理掉這個程式呢??
    這是我的連絡,希望能麻煩您只點一下!!拜託,這網頁真的很煩:(
    即時:kumomizu@yahoo.com.tw
    希望可以盡快跟您連絡!
    非常感謝您m(_ _”)m

    Reply
  7. fever says:
    02/12/2011 at 7:42 PM

    真的要謝謝你, 你一下子便解決了不斷彈出的問題了. 謝謝你. !!!!!

    Reply
  8. HI says:
    04/01/2011 at 6:55 PM

    怎么打开Taskeng.exe
    我的E-mail abc142011@yahoo.com.hk

    Reply
  9. bytore says:
    05/14/2011 at 12:36 PM

    电脑有一个magao软件,优化大师卸载命令为链接,一卸载弹出什么下载病毒链接,无法卸载,任务管理器定位加载文件mshta.exe,我用绝对pe环境,先复制后删除mshta.exe,重启360提示注册表残留,删除。建议删除mshta.exe后清理注册表,有一些陌生程序卸载掉。

    Reply
  10. jacky says:
    08/08/2011 at 1:52 PM

    你的方法是唯一能解的

    Reply
    • jacky says:
      08/08/2011 at 1:54 PM

      Taskeng.exe 就是 “工作排程器”

      按 開始>執行>輸入 “工作排程器” 就可以了

      Reply

Leave a Reply




If you want a picture to show with your comment, go get a Gravatar.