|
internet.exe是MAGICCALL病毒相关进程。
就算在安全模式下进入注册表想删除相关项也不行。该木马病毒运行后,向系统添加一个名为Internet Connection Manager(管理Internet网络连接)的自启动系统服务(用于实现远程监控),源文件为c:\windows\system32\internet.exe,并向ie浏览器添加了一个名为IEHELPER.DLL的插件,以上就是这个程序的最终目的。
病毒运行时:
1、x:\windows\system32\driver文件夹下添加一个名为mspcidrv.sys的系统驱动,
2、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下添加NTDLL32.DLL项(注意,这个大有用处)
3、HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects下添加了该项(启动浏览器时自动激活NTDLL32.DLL)
4、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加了两处启动项,分别都指向c:\windows\system32.internet.exe,
5、驱动mspcidrv.sys加载后会改写三个系统服务描述表项,分别为NtDeleteKey、NtDeleteValueKey、NtSetValueKey,并HOOK,使得针对那两个最终目的的注册表项的删除注册表项、删除注册表键值、更改注册表键值这三个操作就失去作用了,这是为了保护Internet Connection Manager系统服务和IEHELPER.DLL插件的注册表项不会被清除。
4、而HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下的这个NTDLL32.DLL项,这就是实现内存恢复的关键。实际上这个是一个插入系统进程的DLL文件,在程序启动时,它就作为一个系统线程插入explorer进程,并对注册表项进行监视,它分别检测上述两个最终目的的两处注册表项,发现它们被删除就立刻重写, 这一招的作用是,在驱动还在的情况下,如果注册表项被删除(通过某些工具软件如:Rootkit Unhooker),就立刻重写,保证两个最终功能的完整是因为这个线程自己本身也是要靠驱动保护的,所以在驱动失效,而它自己的注册表项又已被清除的情况下,它也只能维持在驱动被清除之前的那一次进程插入,以保证下次开机时两个最终目的启动项的完整。
清除方法1:
1、搜索下载Rootkit Unhooker并安装。
2、进入Windows任务管理器(同时按ctrl+alt+del)结束explorer进程,然后同样在任务管理器 “文件\新建任务”选中并运行你安装的Rootkit Unhooker程序,将mspcidrv.sys所挂钩的服务移出,即上面提到的NtDeleteKey、NtDeleteValueKey、NtSetValueKey三项服务。
3、任务管理器 “文件\新建任务”选中运行注册表编辑器regedit,分别搜索并删除(现在可以删了)与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。
4、任务管理器 “文件\新建任务”“msconfig”,“服务”选项中停用Internet Connection Manager系统服务。“启动”选项中去掉跟internet.exe相关的启动项。
5、重启机器,进入windows\system32\删除病毒残留internet.exe 、Ntdll32.dll、IEHELPER.DLL文件和system32\drivers\目录下的mspcidrv.sys。完成! 以上方法为网上转贴,我试过 Rootkit Unhooker 根本下载不到,所以用上楼的方法基本上杀不了。方法2是我自己研究的,有效。 清除方法2:
[hf]
1、用启动光盘进入纯DOS系统;
2、删除C:\windows\system32\目录下的文件internet.exe 、Ntdll32.dll、IEHELPER.DLL和C:\windows\system32\drivers\目录下的mspcidrv.sys文件(注意:这些文件都被隐藏且加了只读属性,直接运行删除是不行的。必须使用DOS版的Attrib来去属性再删除)
具体命令如下:(1)下载DOS版的Attrib命令,(2)执行以下命令; attrib -s -a -r -h C:\windows\system32\internet.exe
attrib -s -a -r -h C:\windows\system32\Ntdll32.dll
attrib -s -a -r -h C:\windows\system32\IEHELPER.DLL
attrib -s -a -r -h C:\windows\system32\drivers\mspcidrv.sys del C:\windows\system32\internet.exe
del C:\windows\system32\Ntdll32.dll
del C:\windows\system32\IEHELPER.DLL
del C:\windows\system32\drivers\mspcidrv.sys 3、“开始--运行”---“msconfig”,“服务”选项中停用Internet Connection Manager系统服务。“启动”选项中去掉跟internet.exe相关的启动项。 4、“开始--运行”---“regedit” 运行注册表编辑器regedit,分别搜索并删除(现在可以删了)与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。 5、重启机器,再看看是不是全部OK了。[/hf] | 
IP卡
狗仔卡
发表于 2007-4-4 17:44:32
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2007-4-5 18:19:25
