|
|
<BR><DIV class="sysBr500 text" id=articleText413f347f010008bg align=left twffan="done">
<DIV twffan="done"><FONT size=2> 最近可能是在某个网站下载了某垃圾软件,结果金山毒霸显示<FONT color=#ff0000>c: windows\system32\Ntdll32.dll</FONT>感染了<FONT color=#ff0000>Win32.troj.agent.s.412671</FONT>病毒,却无法删除;就算在安全模式下进入注册表想删除相关项也不行。该木马病毒运行后,向系统添加一个名为<FONT color=#ff0000>Internet Connection Manager</FONT>(管理Internet网络连接)的自启动系统服务(用于实现远程监控),源文件为<FONT color=#ff0000>c:\windows\system32\internet.exe</FONT>,并向ie浏览器添加了一个名为<FONT color=#ff0000>IEHELPER.DLL</FONT>的插件,以上就是这个程序的最终目的。到此为止,这都只是个很普通的木马程序做的事情,剩下的就是它为了保证这两项能在系统中常驻所花的心思了,而它厉害的地方也在于此。<BR><SPAN style="DISPLAY: none">�Z,J0q }"q!XGuest</SPAN> 程序运行时,在<FONT color=#ff0000>c:\windows\system32\drivers</FONT>文件夹下添加一个名为的系统驱动,向<FONT color=#ff0000>HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls</FONT>下添加<FONT color=#ff0000>NTDLL32.DLL</FONT>项(注意,这个大有用处)。同时也向<FONT color=#ff0000>HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects</FONT>下添加了该项(启动浏览器时自动激活<FONT color=#ff0000>NTDLL32.DLL</FONT>)向<FONT color=#ff0000>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</FONT>下添加了两处启动项,分别都指向<FONT color=#ff0000>c:\windows\system32.internet.exe</FONT>,驱动<FONT color=#ff0000>mspcidrv.sys</FONT>加载后会改写三个系统服务描述表项,分别为<FONT color=#ff0000>NtDeleteKey</FONT>、<FONT color=#ff0000>NtDeleteValueKey</FONT>、<FONT color=#ff0000>NtSetValueKey</FONT>,并HOOK,使得针对那两个最终目的的注册表项的删除注册表项、删除注册表键值、更改注册表键值这三个操作就失去作用了,这是为了保护<FONT color=#ff0000>Internet Connection Manager</FONT>系统服务和<FONT color=#ff0000>IEHELPER.DLL</FONT>插件的注册表项不会被清除。而<FONT color=#ff0000>HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls</FONT>下的这个<FONT color=#ff0000>NTDLL32.DLL</FONT>项,这就是实现内存恢复的关键。实际上这个是一个插入系统进程的DLL文件,在程序启动时,它就作为一个系统线程插入explorer进程,并对注册表项进行监视,它分别检测上述两个最终目的的两处注册表项,发现它们被删除就立刻重写, 这一招的作用是,在驱动还在的情况下,如果注册表项被删除(通过某些工具软件如:<FONT color=#ff0000>Rootkit Unhooker</FONT>),就立刻重写,保证两个最终功能的完整是因为这个线程自己本身也是要靠驱动保护的,所以在驱动失效,而它自己的注册表项又已被清除的情况下,它也只能维持在驱动被清除之前的那一次进程插入,以保证下次开机时两个最终目的启动项的完整。</FONT></DIV>
<DIV twffan="done"><SPAN style="DISPLAY: none">ITPro个人空间�T,W�W I;~8^</SPAN><BR><FONT size=2> <FONT color=#ff0000><STRONG>清除方法:</STRONG></FONT></FONT></DIV>
<DIV twffan="done"><FONT size=2> 下载<FONT color=#ff0000>Rootkit Unhooker</FONT>并安装,进入Windows任务管理器(同时按ctrl+alt+del)结束explorer进程,然后同样在任务管理器 “文件\新建任务”选中并运行你安装的Rootkit Unhooker程序,将<FONT color=#ff0000>mspcidrv.sys</FONT>所挂钩的服务移出,之后在任务管理器 “文件\新建任务”选中运行注册表编辑器regedit,分别搜索并删除(现在可以删了)与<FONT color=#ff0000>internet.exe</FONT> 、<FONT color=#ff0000>mspcidrv.sys</FONT>、<FONT color=#ff0000>Ntdll32.dll</FONT>及<FONT color=#ff0000>IEHELPER.DLL</FONT>相关的所有项目。重启机器后就OK了,当然你还可以进入<FONT color=#ff0000>c:windows\system32\</FONT>删除病毒残留<FONT color=#ff0000>internet.exe</FONT> 、<FONT color=#ff0000>mspcidrv.sys</FONT>、<FONT color=#ff0000>Ntdll32.dll</FONT>和<FONT color=#ff0000>IEHELPER.DLL</FONT>文件。大功告成!!</FONT></DIV></DIV> <BR>
|
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡