昨晚在中国狂热破解联盟内下了一款网络电视软件,没想到居然捆绑了HuaCi,千橡互联,3721等。于是我便进行了以下步骤做删除计划。
准备软件:
1. RogueCleaner.exe;
2. ToolHelp32.exe;
3. WINDOWS任务管理器;
4. IceSword1.18.
一、划词搜索:
1、打开RogueCleaner先扫描一遍发现“3721上网助手”、“划词搜索”、“HWS木马”、“IRJIT木马”等垃圾;
2、尝试用RogueCleaner清除它们,其它的一切OK,唯独划词 搜索 ,这时才显露出它的不平凡之处;
2.1 恶意软件清理失败;
2.2 启动项目删除失败;
3、于是,找到系统目录,在I:/Program Files/下发现了HuaCi目录,尝试删除,也是失败;
4、打开注册表管理器,把HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/MoveSearch删除,失败!尝试修改Run为其它名称,再次删除MoveSearch----OK!然后改回Run的名字,OK重启机器;
5、重启后再删除I:/Program Files/HuaCi,居然还是失败!郁闷了!到网上搜了搜发现原来它用到了DDK低 层系 统内核技术!
abhcop: I:/WINDOWS/system32/drivers/abhcop.sys (以内核驱动方式运行,服务已登记在HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/abhcop);
hcalway: I:/WINDOWS/system32/drivers/hcalway.sys
(以文件驱动方式运行,服务已登记在HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/hcalway);
打开IceSword,把以上注册表登记的服务干掉之后,重启机器进入安全模式,然后以Administrator登陆,删除I:/WINDOWS/system32/drivers/abhcop.sys,I:/WINDOWS/system32/drivers/hcalway.sys,I:/Program Files/HuaCi。成功!OK之后,再次打开RogueCleaner进行收尾工作。
完成!
二、千橡互联:
打开任务管理器,发现DLL的宿主 rundll32.exe 运行了。然后启用以前编写的ToolHelp32.exe(包装toolhelp32.dll/psapi.dll的所有功能,进程演示),查找该进程的所有模块(DLL),发现了如下组件:
I:/Documents and Settings/yuhang/Templates/4f3e088/2.dll
I:/Documents and Settings/yuhang/Templates/4f3e088/3.dll
I:/Documents and Settings/yuhang/Templates/4f3e088/4.dll
用过XP的都知道,yuhang是当前的用户名。然后,根据我以往的经验,断定4f3e088是个随机的 目录名 。右击发现,这个 垃圾 出自于千橡互联!这样的垃圾软件居然还敢把自家公司的大名写进去,就不怕世人唾骂吗?先不管他了,垃圾归垃圾,我还是先要解决它!在任务管理器内把rundll32.exe进程干掉!然后再删除4f3e088目录。再检测Explorer.exe进程模块,又发现了另一个随机命的DLL绑到其上了:
I:/WINDOWS/3052a9.dll
先“结束 进程 ”干掉Explorer.exe,然后再通过“开启任务。。。”开启Explorer.exe,然后再删除I:/WINDOWS/3052a9.dll。
检测System32,发现了下面也多了一个随机的目录。我晕!又是千橡互联的那四个拷贝!删!!!……具体大家可到GOOGLE寻求删除之道。
1120
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
