非主流杀毒 – mshta.exe : iMagical

非主流杀毒 – mshta.exe

 昨天晚上不知道怎么回事电脑居然“中毒”了。上网的时候点太快了，不知道乱点到什么东西。当时的印象就是一黑一闪，然后迅速消失，凭经验知道恶意程序或这木马侵入了电脑。果然，电脑屏幕右侧总是弹出窗口和广告，无论怎么删除和关闭，总是间断的弹出来。进程列表里也总是多了mshta.exe这么个进程。杀了后还是会自己出来，很是烦躁。

mshta.exe是Html程序的宿主进程，可以运行许多Html程序，它本身是没有什么问题的。于是我就根据其进程信息去找所有引用和加载的文件以及dll，清理和删除了不少。手动恢复了不少注册表信息。可是结果是，它还是总跳出来。

于是我想，电脑上是否隐藏了.hta程序来被其运行。搜索了半天，没有。由此可见这些文件都是动态生成的，从弹出的窗口信息可以看到，这2天弹出窗口里的信息居然是更新的，于是可以肯定，它访问了网络，都是下载过来的。于是打开网络监控：

果然如此。可是这样也解决不了，关闭/禁止它的连接，也不是根除的办法。

算了，开始轮番用Avast，SUPERAntiSpyware，Avgs，IObit Security 360，360安全卫士狂杀，居然结果是没一个奏效。开始怀念卡巴斯基了….

其实给我的直觉是，这个肯定不是什么大不了东西，估计不是病毒，就是个恶意的小玩意。什么地方卡壳了？

后来仔细一看，！其实好简单：

Process Explorer里面很清楚，mshta.exe的父进程是Taskeng.exe，即Task Scheduler Engine。这里可以查看当前系统的所有Task的Schedule。

点击查看当前正在跑的Task。很明显Task Name那么怪异的就是有问题，打开它的属性页：



可以编辑这个Task的信息设置。比如编辑它的触发器，这里是每5分钟重复一次。

然后可以添加这个Task的Action:



当然还有其他的许多设置。这样的话，我的电脑每5分钟就会弹出这么一个窗口。

肯定是当我点击了什么东西，运行了一段程序，给我的电脑的Task列表里添加了这么一项。这东西对外的编程接口很良好，要做到这个是非常简单的。我把这个Task删除，一下什么都清净了。

其实系统的Task Scheduler是个很实用的东西，很多程序和应用都在这里注册了Task。比如苹果软件的自动更新：



用户可以对各个Task进行自定义编辑。当然，也可以向上述那样，添加个恶意的或者广告的Task，那就成了恶意程序了~~~~。

所以，有的时候，问题其实并不复杂，其实，很简单….

不要盲目下手，保持思路的清晰。任何时候，不要让自己的思路和思维封闭。