首页
社区
课程
招聘
木马为什么要删除verclsid.exe?
发表于: 2009-12-7 16:02 14771

木马为什么要删除verclsid.exe?

2009-12-7 16:02
14771
看到好多木马,尤其是游戏盗号木马,都会去删除%system32/verclsid.exe这个文件,哪位知道删除这个文件有什么作用啊?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 243
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
verclsid.exe  verclsid.exe这个进程出现于06年4月MICROSOFT发布的KB908531这个补丁,当你下载安装补丁以后,发现在桌面空白处点右键有死机现象,打开进程查看,多出一个“verclsid.exe”进程,结束该进程,死机现象解除。同时在开启任务管理器的情况下不会出现点右键死机现象。
  关于这个补丁,MS的最初的说明是:
  Microsoft XP 安全更新程序 (KB908531): 现已确认 Windows 资源管理器中有一个安全问题,攻击者可能会利用此问题危及基于 Windows 的系统的安全并获取对系统的控制权。您可通过安装此 Microsoft 更新程序来保护计算机不受侵害。安装本更新程序之后,可能需要重新启动计算机。而后MS发现了其中的问题,发布了如下消息:KB908531”更新有关,微软也已经表明此更新有可能给用户造成不便,正在更换此更新程序。 
  解决办法:打开我的电脑----- 控制面板----- 添加和删除程序 -----把 “显示更新” 前面的勾上,(否则不会显示“KB908531”) .然后在更新补丁列表 找到KB908531这个补丁, 然后再点击“ 更改/删除” 卸载它,重起电脑问题即可解决。
  找不到kb908531,可以先在任务管理器中结束verclsid.exe进程,然后注销,再登陆,可以暂时解决,也可以在c:\windows\system32 文件夹中找到verclsid.exe文件,直接删除。
2009-12-8 01:06
0
雪    币: 242
活跃值: (453)
能力值: ( LV11,RANK:188 )
在线值:
发帖
回帖
粉丝
3
http://blogs.msdn.com/oldnewthing/archive/2007/05/04/2402028.aspx
verclsid.exe用来把DLL作为explorer的插件加载前验证对应CLSID的,但有很严重的bug,因此一直没被推荐使用。到现在还有不少自启动是用 explorer插件搞的。
2009-12-8 03:14
0
雪    币: 88
活跃值: (156)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4
谢谢楼上的回复,楼上两位的资料我在网上也搜到过,但是这些内容跟木马本身好像没什么关系,我猜这个程序跟木马本身的功能有什么冲突,不知道具体是怎么回事
2009-12-8 09:42
0
雪    币: 113
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
因为做木马的太好心.还帮你删除那东西- -
(大误)......
2009-12-8 15:37
0
雪    币: 393
活跃值: (100)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
6
还好, 我的verclsid.exe还在
2009-12-9 00:40
0
雪    币: 107
活跃值: (404)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
非常感谢该类木马见义勇为的行为。。。
2009-12-9 16:23
0
雪    币: 82
活跃值: (521)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
为了绕过验证来加载。不过删除就有点XX了
2009-12-10 09:45
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
自己删了吧
2009-12-11 00:51
0
雪    币: 242
活跃值: (453)
能力值: ( LV11,RANK:188 )
在线值:
发帖
回帖
粉丝
10
/:^]
还没明白嘛? CLSID是 资源管理器 加载插件的DLL时用到的东西,给自己的DLL设置一个CLSID,然后再安置给资源管理器作插件,那explorer启动时自然会载入此DLL了。类似的还有 应用程序的knowndll/ local dll/ .net的config(不了解),浏览器插件之类。
可以多下载几个 病毒,然后用杀毒软件之类查威胁自启动的结果 熟悉熟悉。
2009-12-11 04:59
0
游客
登录 | 注册 方可回帖
返回
//