掌门网等自动弹出网页的解决办法

掌门网等自动弹出网页的解决办法

2006-04-19

今天真不爽，我也是在网上行走多时的老鸟啦，居然会中招！（虽然这个病毒广告编写者的水平还算可以吧）我正在上网中，突然发现我的防火墙blackice一直报警，我也没太在意，继续上网，可是防火墙报警报了都好几个小时啦，而且试探连接的IP一直的变换，多年的上网经验使我意识到我中招了。 首先检查我的注册表启动项HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 发现完全正常，里面只有默认的输入法和诺顿防火墙。 接着用Tcpview.exe查看和网络连接的情况，没有发现有连接到我机器的IP。然后再用Regmon监视注册表，这时发现了可疑的进程调用的注册表位置 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run 里面有个IPSec32.DLL，位置是C:\\PROGRA~\\COMMON~\\system\\msdc32.dll,_S1 首先删除这个键值，然后找到这个文件夹,在打开了"显示所有文件和文件夹"后还是看不到msdc32.dll ，于是又打开了"隐藏受系统保护的操作系统文件（推荐）"，终于找到了这个msdc32.dll，直接删除当然是删除不了的，写保护了嘛，于是我就给它改了个名字11msdc32.dll，打算重启后删除，但是重启后发现这个文件夹下有了2个文件11msdc32.dll和msdc32.dll，而此时注册表 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run 里删除的IPSec32.DLL键值又自动回来了，这使我意识到木马文件绝不仅仅是这一个dll文件。晕～好烦，又得分析，真是浪费我宝贵的学习时间！接下来通过大家的协助分析，终于彻底弄明白了这个木马的特征和机理，详细解释一下：这个病毒没有单独的进程，所以当你查看进程时会发现你的进程很正常，没有多余的进程。那是因为它捆绑在了explorer.exe上面，细心的用户会发现你explorer.exe 进程的大小会比以前大了点。这个木马一共有2个dll动态链接库和一个exe文件，分别在这三个地方： C:\\PROGRA~1\\COMMON~1\\system\\msdc32.dll C:\\PROGRA~1\\COMMON~1\\system\\mod\\mstd.dll C:\\WINDOWS\\ .exe （这个注意一下exe前面的是空格，这个设计也很巧妙，使你在命令提示符下无法删除）在重启后进入安全模式，把这三个文件删除，然后展开注册表，查找"msdc32.dll"（应该会查到3个吧，可能会因为机器不同而有所不同），然后都统统删除。此时还没完，把注册表展开到[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon] 里面有一个userinit.exe 是系统的，而后面逗号后的c:\\windows\\.exe 这是病毒加的，意思就是启运userinit与.exe 捆绑嘛，把逗号后的c:\\windows\\.exe 删除。这时再重启就一切正常了。----看到这以为问题解决的朋友继续看本文的最后几行下面谈谈这个病毒，用UltraEdit编辑了一下msdc32.dll，发现它是从这里下载 更新信息的：http://c1.cn/getinfo/updatelist.txt 下载http://c1.cn/dw/1.dll文件。 下载下来的就是mstd.dll， mstd.dll从这里下载广告信息： http://c1.cn/getinfo/actionlist.txt 目前（也就是2006.3.17的17：32）我下载它的广告信息，如下： id0=995083D4ECE58166F3948CA4499A0693 userid0={*} date0=7200000 count0=7 action0=pop content0=www.byair.com state0=0 version0=1 id1=5083D4ECE58A4499A0693166F3948C99 userid1={*} date1=1800000 我们可以很清楚的看到www.byair.com和www.58.com这两个网站作了广告，一起鄙视这两个网站啊！！！ http://c1.cn/getinfo/updatelist.txt 中的信息我也下载了一份，如下： [Files] FileCount=2 FileName0=mstd.dll FileVersion0=1.5 FileId0=AB79CDC10A1A9351478aB2E05CFCAD09 FilePath0=http://c1.cn/dw/1.dll FileName0=mstd.dll FileName1=msdw.dll FileVersion1=1.0 FileId1=D2B6EAE6D7514F96B835400CD40451C0 FilePath1=http://c1.cn/dw/2.dll FileName1=msdw.dll 这个发病毒广告的网站http://c1.cn的服务器在江苏省无锡市 电信，病毒作者在首页留下了一些很狂躁的话，其实也就是以前的黑客常用的改首页的方式，哎，看来咱们中国人还真是没有创意啊，只会抄袭，不会创造！PS:我还有一条补充,就是上面所有做完后，文件是被清除了，但是在重起后会有一个对话框说加载msdc32.dll失败这个还需要再更改一次注册表，当然，在钢材的安全模式里也一样可以改，方法如下：msdc32.dll可以在注册表的HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Polices\\ Explorer\\Run下被找到，他写在ip_Sec中：rundll32.exe C:\\Progra~1\\Common~1\\system\\msdc32.dll,_S1,正常情况下，根本不会再polices下有Explorer, 所以将整个Explorer删除掉，下次启动就再也没有烦人的弹出框了 。 为了大家方便，还是给出一个按步骤的解决办法吧： 1， 进入安全模式，方法是重启机器，按F8直至安全模式选项出现，选择进入。 2， 打开文件夹至：C:\Program Files\Common Files\system 3， 点击“工具”——“文件夹选项”——“查看”，将“隐藏受保护的操作系统文件（推荐）”一项前面的方框点空。在下面的“隐藏文件和文件夹”的两项中，选择“显示所有文件和文件夹”。 4， 应用后出现病毒文件msdc32.dll，删除之。 5， 进入mod文件夹，删除里面的病毒文件mstd.dll。 6， 找到C:\WINDOWS，发现一个名为 .exe的可执行文件，删除。 7， 找到C:\Documents and Settings\用户名\Local Settings\Temp\RarSFX0文件夹，删除。 8， 打开注册表：点击“开始”——“运行”，输入regedit点确定。展开注册表至HKEY_LOCAL_MACHINE\Software\\Microsoft\WindowsNT\CurrentVersion\Winlogon，里面有一个userinit.exe的键值，将后面的逗号以及c:\windows\.exe统统删除。 9， 展开注册表至HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Polices\Explorer\Run，将Explorer子项完全删除。 10， 点击“编辑”——“查找”，依次查找msdc32.dll、mstd.dll、HNETPOLCY，将找到的子值全部删除干净。 11， 重启机器，一切ok。