今天在不知不觉中中了广告木马的招,系统总是随机时间弹出浏览器,页面显示www.byair.com的首页,知道中招了,想要清除,
试了N种方法也不管用,找不到运行的源文件,后来google找到解决办法,很有效啊,这里转贴一下,谢谢阿亮share他的方法
今天真不爽,我也是在网上行走多时的老鸟啦,居然会中招!(虽然这个病毒广告编写者的水平还算可以吧)
我正在上网中,突然发现我的防火墙blackice一直报警,我也没太在意,继续上网
,可是防火墙报警报了都好几个小时啦,而且试探连接的IP一直的变换,多年的上
网经验使我意识到??我中招了。
首先检查我的注册表启动项
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run 发现
完全正常,里面只有默认的输入法和诺顿防火墙。
接着用Tcpview.exe查看和网络连接的情况,没有发现有连接到我机器的IP。然后再
用Regmon监视注册表,这时发现了可疑的进程调用的注册表位置
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Exp
lorer/Run 里面有个IPSec32.DLL,位置是
C:/PROGRA~/COMMON~/system/msdc32.dll,_S1 首先删除这个键值,然后找到这个
文件夹,在打开了"显示所有文件和文件夹"后还是看不到msdc32.dll ,于是又打
开了"隐藏受系统保护的操作系统文件(推荐)",终于找到了这个msdc32.dll,
直接删除当然是删除不了的,写保护了嘛,于是我就给它改了个名字11msdc32.dll
,打算重启后删除,但是重启后发现这个文件夹下有了2个文件11msdc32.dll和
msdc32.dll,而此时注册表
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Exp
lorer/Run 里删除的IPSec32.DLL键值又自动回来了,这使我意识到木马文件绝不仅
仅是这一个dll文件。
晕~好烦,又得分析,真是浪费我宝贵的学习时间!接下来通过AutostartExplore
和icesword的协助分析,终于彻底弄明白了这个木马的特征和机理,下面详细给大
家解释一下:
这个病毒没有单独的进程,所以当你查看进程时会发现你的进程很正常,没有多余
的进程。那是因为它捆绑在了explorer.exe上面,细心的用户会发现你
explorer.exe 进程的大小会比以前大了点。
这个木马一共有2个dll动态链接库和一个exe文件,分别在这三个地方:
C:/PROGRA~1/COMMON~1/system/msdc32.dll
C:/PROGRA~1/COMMON~1/system/mod/mstd.dll
C:/WINDOWS/ .exe (这个注意一下exe前面的是空格,这个设计也很巧妙,使你在
命令提示符下无法删除)
在重启后进入安全模式,把这三个文件删除,然后展开注册表,查找"msdc32.dll
"(应该会查到3个吧,可能会因为机器不同而有所不同),然后都统统删除。此时
还没完,把注册表展开到[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows
NT/CurrentVersion/Winlogon] 里面有一个userinit.exe 是系统的,而后面逗号后
的c:/windows/.exe 这是病毒加的,意思就是启运userinit与.exe 捆绑嘛,把逗号
后的c:/windows/.exe 删除。这时再重启就一切正常了。 ----
试了N种方法也不管用,找不到运行的源文件,后来google找到解决办法,很有效啊,这里转贴一下,谢谢阿亮share他的方法
今天真不爽,我也是在网上行走多时的老鸟啦,居然会中招!(虽然这个病毒广告编写者的水平还算可以吧)
我正在上网中,突然发现我的防火墙blackice一直报警,我也没太在意,继续上网
,可是防火墙报警报了都好几个小时啦,而且试探连接的IP一直的变换,多年的上
网经验使我意识到??我中招了。
首先检查我的注册表启动项
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run 发现
完全正常,里面只有默认的输入法和诺顿防火墙。
接着用Tcpview.exe查看和网络连接的情况,没有发现有连接到我机器的IP。然后再
用Regmon监视注册表,这时发现了可疑的进程调用的注册表位置
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Exp
lorer/Run 里面有个IPSec32.DLL,位置是
C:/PROGRA~/COMMON~/system/msdc32.dll,_S1 首先删除这个键值,然后找到这个
文件夹,在打开了"显示所有文件和文件夹"后还是看不到msdc32.dll ,于是又打
开了"隐藏受系统保护的操作系统文件(推荐)",终于找到了这个msdc32.dll,
直接删除当然是删除不了的,写保护了嘛,于是我就给它改了个名字11msdc32.dll
,打算重启后删除,但是重启后发现这个文件夹下有了2个文件11msdc32.dll和
msdc32.dll,而此时注册表
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Exp
lorer/Run 里删除的IPSec32.DLL键值又自动回来了,这使我意识到木马文件绝不仅
仅是这一个dll文件。
晕~好烦,又得分析,真是浪费我宝贵的学习时间!接下来通过AutostartExplore
和icesword的协助分析,终于彻底弄明白了这个木马的特征和机理,下面详细给大
家解释一下:
这个病毒没有单独的进程,所以当你查看进程时会发现你的进程很正常,没有多余
的进程。那是因为它捆绑在了explorer.exe上面,细心的用户会发现你
explorer.exe 进程的大小会比以前大了点。
这个木马一共有2个dll动态链接库和一个exe文件,分别在这三个地方:
C:/PROGRA~1/COMMON~1/system/msdc32.dll
C:/PROGRA~1/COMMON~1/system/mod/mstd.dll
C:/WINDOWS/ .exe (这个注意一下exe前面的是空格,这个设计也很巧妙,使你在
命令提示符下无法删除)
在重启后进入安全模式,把这三个文件删除,然后展开注册表,查找"msdc32.dll
"(应该会查到3个吧,可能会因为机器不同而有所不同),然后都统统删除。此时
还没完,把注册表展开到[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows
NT/CurrentVersion/Winlogon] 里面有一个userinit.exe 是系统的,而后面逗号后
的c:/windows/.exe 这是病毒加的,意思就是启运userinit与.exe 捆绑嘛,把逗号
后的c:/windows/.exe 删除。这时再重启就一切正常了。 ----