近期常见流氓广告软件、病毒插件宣判清除大会！

近期,在各大BBS都常看到不少朋友被流氓软件或小病毒插件困扰,具体表现开机弹出不明提示框提示"找不到**文件"或者上网不断有广告自动弹出.甚至不开IE也会在任务栏右下角弹出类似QQ广播消息的广告窗口.因为流氓软件或小病毒插件数目众多而且本身也会升级,变种,所以这里无法一一列举。下面就近期来比较猖獗的元凶或幕后黑手们展开批斗大会,整理本文的目的在于抛砖引玉，给龙友们提供个思路，探讨清理流氓广告软件或恶意插件可行的模式。。所以请大家不要刻舟求剑.小靓文也是新手上路，这里仅仅是把自己的浅薄的经验和网络上反浏览器劫持的荟萃和有效方法整理编辑下和大家分享。。欢迎大伙举一反三，互相交流心得！ 罪犯一:U88连锁加盟网 犯罪表现   用户中招桌面多了一个U88快捷方式，点击就会弹出ww*w.u88.cn的页面。还不能删除，没有卸载选项，把桌面快捷方式删了，下次启动人家自动再给你加上，相当顽固！ 清除办法   开机按F8,到安全模式下,删除c:/program Files/Internet Explorer下的2052目录 或c:/program Files/Internet explorer下的lib目录,然后用流氓软件清理助手或超级兔子来卸载残余.具体如图: [attachment=14605] [attachment=14606] 罪犯二:dtservice dtap 最新变种:XP21TM~1.DLL 犯罪表现     用户中招后常会莫名其妙弹出广告网页,有的因为已经被杀毒软件查杀，开机会弹出启动项提示找不到该文件。如图：[attach]259118[/attach] 如果安装有防火墙的用户还会提示:拦截到系统访问edmchina网站.在系统内生成以下几个文件： %Temp%/RarSFX0/dtservice.dll %Temp%/RarSFX0/ext/dtdl.dll %Temp%/RarSFX0/ext/dtsm.dll %Windows%/dtapconfig %System%/dtap.dll 或生成%Windows%/dtapconfig %System%/dtap.dll %System%/dtservice.dll %System%/ext/dtdl.dll %System%/ext/dtsm.dll 并联网下载一些该广告病毒本身的配置信息(以方便升级变种)： http://ww*w.edmchina.com/download/dtapconfig http://ww*w.edmchina.com/download/update3 http://ww*w.edmchina.com/download/clist 还可能会下载另外的插件： http://ww*w.qqbao.net/download/microapmddt.dll（MacroMediapd） http://ww*w.edmchina.com/download/xresdmr（这个有加密） 其中，%Temp%/RarSFX0/dtservice.dll应该是主程序吧，在Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run下建立有启动项，%System%/dtap.dll注册为BHO，%Temp%/RarSFX0/ext/dtdl.dll和%Temp%/RarSFX0/ext/dtsm.dll会被调用注入Explorer.exe进程，而%Windows%/dtapconfig则是一个广告配置文件。   由于出现了变种和病毒插件本身的升级,前几次在提问区曾遇到过些龙友中了该病毒,曾按常规的解决方法建议用HIJACKTHIS扫描和MSCONFIG查看启动项目但没查到,当时觉得纳闷..昨晚通过远程协助亲自操刀帮朋友宰杀了该病毒..用系统安全修复软件System Repair Engineer软件(简称SRE,由连续两年获得Microsoft MVP（微软最有价值专家）称号的Smallfrogs编写的)扫描发现了用HIJACKTHIS都扫描不到的启动项目如下: [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run] <DTService><rundll32.exe C:/DOCUME~1/win/LOCALS~1/Temp/RarSFX0/DTSERV~1.DLL,Load> 以下两项是病毒插入到系统进程explorer.exe的扫描报告,因此给清理造成了一定的困难,清理不彻底的话容易反复发作 清除办法 方法一: 找到C:/DOCUME~1/win/LOCALS~1/Temp/RarSFX0/目录并把它改名，搜索dtapconfig,dtap.dll,dtservice.dll,dtdl.dll,dtsm.dll全部改一下名字，接下来重新启动一下计算机，重启后就可以直接删除刚才改名的C:/DOCUME~1/win/LOCALS~1/Temp/RarSFX0/目录和搜索到的上述提到的文件了，然后用SRE修复下启动项[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run] <DTService><rundll32.exe C:/DOCUME~1/win/LOCALS~1/Temp/RarSFX0/DTSERV~1.DLL,Load> 用SRE修复“浏览器加载项”里的%System%/dtap.dll项目。 方法二: 用SRE修复启动项[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run] <DTService><rundll32.exe C:/DOCUME~1/win/LOCALS~1/Temp/RarSFX0/DTSERV~1.DLL,Load> 用SRE修复“浏览器加载项”里的%System%/dtap.dll项目。 事先搜索dtapconfig,dtap.dll,dtservice.dll,dtdl.dll,dtsm.dll的位置(因为除了在临时文件夹还可能在SYSTEM32目录) 记录下位置,任务栏管理器--->结束explorer.exe程序,---->文件--->新任务--->浏览---->到[C:/DOCUME~1/win/LOCALS~1/Temp/RarSFX0/目录,和刚刚记录下的搜索到SYSTEM32的位置全部删除找到的DT相关文件. 最后就是打扫战场清理注册表残余了:注册表--编辑--依次查找--->dtapconfig,dtap.dll,dtservice.dll,dtdl.dll,dtsm.dll找到一个删除一个(当然得看清楚是不是DT相关项再删除.是删除DT的键项,可不要把它前面的根键项也给删除了.如:HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run/DTSERV~1.DLL,是删除RUN下的DT键项,而不是POLOCES.) 罪犯三：多多QQ表情系列（包含两种流氓软件，常和QQ多多表情捆绑一起狼狈为奸姑且合称为多多QQ表情）。 犯罪表现 大多是在用户不知情的情况下（表现为在安装相关软件捆绑安装或上网过程中自动）被安装。 安装程序运行后会产生以下文件： %ProgramFiles%/Common Files/SAN/AdInstall.exe %ProgramFiles%/Common Files/SAN/diskman.exe %ProgramFiles%/Common Files/SAN/svr.dat %ProgramFiles%/Common Files/SAN/updatesr.ini %ProgramFiles%/Common Files/Upd/update.dat %ProgramFiles%/Common Files/Upd/update.exe %ProgramFiles%/qqhelper/index.txt %ProgramFiles%/qqhelper/uninstall.exe %ProgramFiles%/qqhelper/多多QQ表情.exe 并把diskman.exe进程注册为系统服务，随机自动启动。服务名为“Universal Disk Manager”。 该服务的描述是：“监测和监视新的通用磁盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。如果此服务被终止，动态磁盘状态和配置信息会过时。如果此服务被禁用，任何依赖它的服务将无法启动。”（这里是该流氓软件伪装想迷惑我们用户，使我们以为是正常的系统服务。） 我们使用HIJACKJTHIS扫描可以检测到该可疑服务项： O23 - NT 服务: Universal Disk Manager - Unknown owner - C:/Program Files/CommonFiles/SAN/diskman.exe 另外diskman.exe还安插到注册表启动项： [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] "Update"="%ProgramFiles%/Common Files/Upd/update.exe" 用防火墙的用户开机常会提示拦截该项目的启动。。 清除办法 1）运行%ProgramFiles%/qqhelper/uninstall.exe可以卸载“多多QQ表情”，但也只是删除了这三个文件： %ProgramFiles%/qqhelper/index.txt %ProgramFiles%/qqhelper/uninstall.exe %ProgramFiles%/qqhelper/多多QQ表情.exe 2）右击任务栏的空白处，点选“任务管理器”或按Ctrl+Alt+Del键。结束“diskman.exe”进程 [attachment=14607] 3）开始菜单→运行services.msc自动打开系统服务配置界面，把Universal Disk Manager服务设置为禁止。 4）删除系统Program Files/Common Files/SAN目录和Program Files/Common Files/Upd目录。 5）运行SRE→启动项目→注册表→点选 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] "Update"="%ProgramFiles%/Common Files/Upd/update.exe"修复。。 6）我的电脑→“设备管理器”→“查看”菜单→选中“显示隐藏的设备”→在显示区内多出一项“非即插即用驱动程序”，找到“Universal Disk Manager”，右键选择“卸载”，运行regedit打开注册表，编辑→查找“Universal Disk Manager”找到一个删除一个。。或者直接展开到[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services目录下，找到Universal Disk Manager键项，彻底删除。展开到[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/目录下找到LEGACY_Universal Disk Manager彻底删除。。 7）如果你没有动手能力，或觉得烦琐。你可以下载最新版的“流氓软件清理助手”，重新启动按F8到安全模式下用“流氓软件清理助手”来自动清理。对于个别无法清理的注册表残余，和一楼删除U88的方法一样，点击你要删除的注册表残余项，右键属性→权限→赋予everyone完全权限 →确定即可删除。 最后需要注意的是流氓软件也在不断的升级，最近多多QQ表情又出现了新变种： %ProgramFiles%/Common Files/SAN/diskman.exe →升级为%ProgramFiles%/Common Files/SAND/client.exe。 服务也出现了新服务名：[QQFace / QQFace] 以下是SRE扫描到的变化的新服务项： [QQFace / QQFace] <C:/Program Files/Common Files/SAND/qqfacerclient.exe> 但换汤不换药，具体清理办法还是一样的。只是进程名不一样罢了。

yanling 2005-12-25 23:26 罪犯四：stdup.dll 犯罪事实:   浏览器不断出现弹出广告窗口，主页被锁定为ww*w.9991.com无法更改。   用SRE扫描发现报告如下： [std software] {6A512BF7-EC78-4E8D-9841-6C02E8FA9838} <C:/WINDOWS/System32/stdup.dll, AOL Corp.> stdup.dll还插入到系统进程EXPLORER.exe下。 用HIJACKTHIS扫描报告里比较普遍出现的有以下几个： O2 - BHO: MMSAssist - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:/PROGRA~1/MMSASS~1/MMSASS~1.DLL O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:/WINDOWS/system32/stdup.dll O4 - 启动项HKLM//Run: [Update] C:/WINDOWS/system32/Update.exe O8 - IE右键菜单中的新增项目: >> 彩信发送 << - res://C:/PROGRA~1/MMSASS~1/MMSASS~1.DLL/mms.htm O9 - 浏览器额外的按钮: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:/PROGRA~1/MMSASS~1/MMSASS~1.DLL O9 - 浏览器额外的“工具”菜单项: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:/PROGRA~1/MMSASS~1/MMSASS~1.DLL 解决办法   运行Hijackthis，扫描结束后在下列选项前打上勾，然后选修复“Fix Checked”： O2 - BHO: MMSAssist - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:/PROGRA~1/MMSASS~1/MMSASS~1.DLL O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:/WINDOWS/system32/stdup.dll O4 - 启动项HKLM//Run: [Update] C:/WINDOWS/system32/Update.exe O8 - IE右键菜单中的新增项目: >> 彩信发送 << - res://C:/PROGRA~1/MMSASS~1/MMSASS~1.DLL/mms.htm O9 - 浏览器额外的按钮: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:/PROGRA~1/MMSASS~1/MMSASS~1.DLL O9 - 浏览器额外的“工具”菜单项: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:/PROGRA~1/MMSASS~1/MMSASS~1.DLL   在新变种里，增加了一个系统服务项，增加了该病毒的自我保护性。用HIJACKTHIS扫描不出来。但用SRE扫描让其无所遁行。。报告摘抄如下： [StdService / StdService] <C:/WINDOWS/system32/rundll32.exe C:/WINDOWS/system32/STDSVER.DLL,Service><N/A> 针对该新变种的特点我们可以在进行前面几步操作的基础上，我们可以接着如下操作： 1、开始→控制面板→性能和维护→管理工具→服务→查找StdService→右击→属性→启动类型→禁止→应用→停止→确定。 2、重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows 显示隐藏文件 双击我的电脑--工具---文件夹选项--查看选项卡--单击选取"显示隐藏文件或文件夹"--清除"隐藏受保护的操作系统文件（推荐）"复选框。在提示您确定更改时，单击“是”--单击“确定”。 然后找到如下文件并删除 C:/WINDOWS/system32/STDSVER.DLL C:/WINDOWS/system32/stdcache/整个目录 罪犯五：_IS_WEBH.dll 犯罪事实: 一、手动清除。 　　请暂时关闭系统还原功能并关闭所有的IE窗口，重新使用HijackThis扫描一遍后修复以下项目，修复前请允许HijackThis保留备份。 　　O2 - BHO: EyeOnBrowser Class - {1272F701-349D-4DB3-BBCD-10CBDCD049FE} - C:/WINDOWS/Downlo~1/_IS_WEBH.dll 　　O4 - 启动项HKLM//Run: [advapi32] RUNDLL32 C:/WINDOWS/Downlo~1/_IS_ISC.DLL,isc 　　重启至安全模式，调用命令提示符，键入： 　　Del C:/_IS_ISC.DLL /s/a回车（注意执行Delete时请务必加上/s/a这两个参数） 　　Del C:/_IS_WEBH.DLL /s/a 回车（注意执行Delete时请务必加上/s/a这两个参数） 　　Del C:/Windows/backup/*.*回车 　　Rd C:/Windows/backup回车。 　　打开注册表编辑器： 　　定位HKEY_CURRENT_USER/Software，找到advapi32，删除！ 　　定位HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run，找到advapi32，删除！ 　　定位HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects，找到{1272F701-349D-4DB3-BBCD-10CBDCD049FE}，删除！ 　　定位HKEY_CLASSES_ROOT/CLSID，找到{1272F701-349D-4DB3-BBCD-10CBDCD049FE}，删除！ 　　定位HKEY_CLASSES_ROOT/CLSID，找到{1CC08B2F-AFF1-11D9-9651-0003FF7E92CE}，删除！ 　　定位HKEY_CLASSES_ROOT/TypeLib，找到{1CC08B21-AFF1-11D9-9651-0003FF7E92CE}，删除！ 　　定位HKEY_CLASSES_ROOT/TypeLib，找到{7B781699-1FF6-45B6-8AA7-2CB16B587C24}，删除！ 二、半自动清除。 　　1、断开网络，关闭所有浏览器窗口，退出/关闭可以退出/关闭的应用程序（因为其文件_IS_*.DLL可能会插入在其它进程中）； 　　2、结束掉Rundll32.exe进程（调用_IS_ISC.DLL）； 　　3、结束掉Explorer.exe进程（在Explorer.exe进程里也插入了几个_IS_*.DLL文件，其中就有进程保护的DLL。另，结束掉Explorer.exe进程后，桌面、任务栏会丢失）以上步骤是为了尽量使那些_IS_*.DLL文件没有被调用，如果你对系统熟悉也可不用这样操作，只要确定当前没有_IS_*.DLL文件被调用即可； 　　4、把Explorer.exe进程再运行起来（恢复桌面、任务栏。也可以先进行第5步删除相关文件）； 　　5、删除%Windows%/Downloaded Program Files/目录下面所有_IS_*.*文件（可以使用WinRAR，WinRAR也是一个文件浏览器用它可以浏览到一般不能直接查看的Downloaded Program Files/目录下的文件，用WinRAR找到那些_IS_*.*，删除掉），再删除%Windows%/backup/目录； 　　6、双击导入 DEL_isc.rar （在附件中）中的REG文件，作用是删除那些东西在注册表里留下的启动项和其它信息。

yanling 2005-12-25 23:29 总结：杀毒软件几乎每天都在更新升级，而流氓恶意软件和病毒插件也同样在更新变种。新近的流氓恶意软件里普遍带有自我联网下载更新文件以变种加强保护的机制。。正与邪始终处于矛盾螺旋斗争交替上升中。。中国有句俗话叫：道高一尺，魔高一丈。这点从近来有的流氓恶意插件已经可以逃过HIJACKTHIS扫描就可以说明问题。。但没关系，如果HIJACKTHIS扫描不出来可以用System Repair Engineer。System Repair Engineer对一些隐藏的远程注入线程的无进程木马或病毒也同样很有威力。因此没有绝对百分百有效的安全工具。要知道黑客们或木马病毒或流氓软件的作者们也在研究着我们手里的安全反劫持工具。所以大家不要抱着一颗树吊死。灵活运用各种安全工具，如：hijackthis,SRE,UPIEA,流氓软件清理助手，黄山IE修复，超级兔子IE修复等互相配合取长补短把可恶霸道的流氓恶意软件赶出我们的系统。 最后引用卡卡社区魔法版主的话来结束本主题： 很多广告类的软件都是带有自己的卸载程序的，只不过一般不会出现在开始菜单中，我们遇到这种问题，不要急着使用各种修复工具进行修复和强行删除，这样反而有可能造成清除不完全，残留不少垃圾信息，首先看一下它的操作界面中是否有卸载项，比如：百度搜霸 再看控制面版的添加删除程序中是否有卸载信息，比如：“MMSAssist”、划词搜索 再找到它的安装目录，看是否有卸载程序，名字一般为uninstall.exe或uninst.exe 比如：青娱乐、桌面传媒…… 进行过以上操作，找不到卸载程序或清除不彻底的，再使用修复工具，可以事半功倍。