整理:WangYugang
日期:25-Oct-2004
出处:http://blog.csdn.net/wangyugang
版本:0.01
今天早上打开SharpReader,正想看是否有新的文章没有.突然跳出一个"Search For"字样的页面,随后又自动的打开一个页面,告诉我机器上存在着SpyWare,关掉都又转到一个查询网站上.这时候我意识到:中招了!!
病毒特征:
- 启动IE就会出现Search For页面
- IE地址栏显示:about:blank
- 弹出页面告诉机器中有n个SpySware或机器效率不高等内容
- 关闭上述内容后自动跳到:http://searchx.cc/search.php
查杀方法:
- 方法1: [Win98/2000/XP, 未测试]
下载CWSInstall.exe进入到安全模式直接查杀,一遍不行,再来一遍,删除Internet临时文件.
- 方法2:[Win98/2000/XP,未测试]
将注册表恢复到出问题以前(但这期间对注册表做的其它操作也会无效)或者系统还原到出问题以前。 - 方法3:[Win9X/me,未测试]
启动到安全模式,使用HijachThis找到在O4:……Runservicesonce项启动的一个.dll文件,修复该项。(使用msconfig.exe)或者直接改注册表都可以然后找到并删除此.dll文件(可能需要先去除其只读、系统、隐藏等属性,这之前还要打开文件夹选项中的“显示隐藏文件”才能看到它)。重新启动到正常模式。 - 方法4:[Win9X/me,未测试]
1 .下载reglite,这是一个免费的注册表编辑器,功能比Windows自带的有所增强。另外,再请下载最新版CWShredder.exe备用。
下载reglite.exe 下载CWShredder.exe 下载CWShredder.exe 下载CWShredder.exe 下载CWShredder.exe
2 .安装并运行reglite,在最上面的地址栏(address)输入下面一行(可以从这里复制粘贴过去),点右面的Go HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows//AppInit_DLLs
3. 在右下的窗口双击AppInit_DLLs,会弹出一个叫“data editor”的窗口。在最下面的Value那一行,您会看到一个.dll文件的路径和文件名。这就是那个“隐藏”的文件。记住它的路径名字以及上一行的Size值。这个文件一般应该在系统文件夹,这里为了叙述方便,假设它为C:/Windows/system32/dllname.dll。
4. 此时左下的窗口选中的应该是Windows一项,请再用鼠标点它一下以使对它的选中激活(选中时的颜色为紫色,请确认没错,是HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows,千万不要搞错),点击最上面工具条上的Edit,然后在弹出菜单上点击Rename。此时可以给Windows这一项改名字了,请改为notWindows。(改为notWindows主要是为了便于叙述,其实也可以改成别的,重要的是把Windows项改名这一动作本身去除了对那个.dll文件的某些保护。)
5 .回到右下窗口再次双击AppInit_DLLs,在Value那一行删除刚才看到的关于那个.dll文件的整个项目。在我假设的例子里就是在Value那一行删除C:/Windows/system32/dllname.dll这一项。点击该窗口下面第三个按钮“Apply”再点第一个按钮 “OK”。
6. 重复上面的第4步,但这次是把刚才改名的Windows那一项(改为notWindows了,对吗)改回原名Windows。
7. 运行CWShredder.exe,先点击chech for update将它升级为最新版(需要联网),然后点Fix让它自动修复问题。这一步会清除剩下的另一个.dll文件。
8. 下面就要请那个“隐藏”的.dll文件出去啦。上面说了,这里我假设它为C:/Windows/system32/dllname.dll,注意,您遇到的那个.dll应该有自己的名字和路径,您安装系统的分区也可能不是C。
首先我们要去除该文件的属性,开始——运行——输入command——按“确定”——在弹出的DOS窗口中,输入 CD C:/Windows/system32 ——按“Enter”(回车)——输入 attrib -r -s -h dllname.dll ——按“Enter”(回车)——输入 exit——按“Enter”(回车),DOS窗口关闭。 再往下的方法有几个,基本上应该都可以。
(1)如果您使用的是Fat/Fat32格式,可以尝试给该.dll文件改名(连扩展名一起改),然后重新启动后尝试删除它。一次不行的话,不妨连续多改几次。
(2)上面的方法不行的话,如果您是双系统或者多系统,而且其中包括9x或Me,您也可以启动到9x或Me的安全模式,删除该.dll文件。(最好在文件夹选项中显示系统文件、隐藏文件,否则可能找不到它)。
(3)如果您没有使用NTFS格式,还可以用启动光盘或者启动软盘启动到DOS模式,删除该文件。希望您有一定的DOS 操作经验。操作举例(注意每输入一行,后面都要按“Enter”回车) CD C:/Windows/system32 attrib -r -s -h dllname.dll (注意,加上这一步是为了保险) del /f dllname.dll 重新启动,在BIOS里恢复从硬盘启动,正常进入windows。
(4)如果您使用NTFS格式,由于NTFS格式可以设置一些权限(该木马也的确这么做了),问题就比较麻烦了。您可以尝试反复给这个.dll文件改名(可以使用CopyLock等第三方工具),每次用一个不同的名字(尤其扩展名要改成windows不能识别的,比如dgewsc.dafhf或者342234.5346什么的),反复改名几次,也许就可以删除它了。不行的话,设置从光盘启动,插入2000/XP光盘,进入恢复控制台(让您选择时按R),然后参照上面(3)的DOS清除法。 - 方法5:[Win98/2000/XP,已测试]
删除Internet临时文件,下载CWSInstall.exe查杀,到System32下按时间排序,找到最近的DLL文件,删之.病毒消失.
病毒介绍:
该问题是由于电脑感染了著名木马家族CoolWebSearch的新变种造成的。本变种有两个.dll文件,其中一个可以被最新版本的CWShredder或者Ad-aware清楚,也能被HijackThis发现,但是另一个.dll文件使用了特别的加密、反跟踪手段,使得本身能够逃过大部分软件的监测。正是这个文件反复生成能被清除的那另一个.dll文件,造成此症迁延难愈。
http://www.spywareinfo.com/~merijn/cwschronicles.html
http://www.spywareinfo.com/forums/index.php?showtopic=43492 http://www.computercops.biz/postp164255.html&highlight=#164255 http://www.spywareinfo.com/forums/index.php?showtopic=43492&st=60entry220826
查杀后记
参考信息
方法1、方法2、方法3、方法4 转自http://community.rising.com.cn/forum/msg_read.asp?FmID=28&SubjectID=3932477&Page=1
方法5、
我根据上面所述了解其原理后所采用的方法,相对来说比较省事一点
本文作者
WangYugang,国内一家大型软件公司工程师,常年从事与数据库相关的开发,自感水平不足,怀揣谦虚努力学习!个人技术站点: http://blog.csdn.net/wangyugang/ 。可以通过电子邮件 Yugang.Wang@gmail.com 联系到他。