一个有职业道德的且技术达到一定水平的广告木马手工清除方法

今天朋友发过来一个消息:
老兄,我现在电脑啥事没有,就是开机的时候老是自动登陆一个网站,用了好多软件修复IE,这个问题始终无法解决,你知道是怎么回事吗网址:http://hz.mop-hz.com/tc/gg/lun.htm?=ngoo千万不要自己点击啊,中了毒可不要骂我哦,呵呵
好听的说是为了解决朋友的问题,难听的说是对自己有着盲目的强烈自信,我毫不犹豫地就点了那个连接,然后,我终于发现了人外有人,山外有山,我一直依赖的BlackICE,自动屏蔽一切未知EXE和DLL的防火墙也有它的局限性。

这个木马相当的专业,是我到现在看到的最专业的一个广告木马,特性有:

  • 利用IE未知漏洞直接运行代码,绕过BlackICE的屏蔽功能,删除procexp,更改主页为www.3448.com
  • 在windows\system32下会生成一个5m7o5.dll(名字可能会做一定改变),开机后注入explorer.exe等进程;
  • 对注册表Windows调用进行过滤,隐藏自身;
  • 除了偶尔会显示广告,不发生任何破坏系统行为(真有职业道德)。

    清除方法:
    重新启动,启动时按F8到命令行安全模式,运行regedit,到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,删除9q,数据为RUNDLL32.exe 开头的那个项(也可能以其他数字开头的),然后删除windows\system32\5m7o5.dl,C:\下还有一个完全相同,但名字不同的DLL:4jo5.dll,同样删除,重新启动即可

    重新启动后,不要忘了首先更改IE首页,防止再次感染。

  • posted @ 2006-10-28 16:33  丁丁  阅读(1037)  评论(2编辑  收藏  举报