yoyo007
論壇貴賓
 
菸草撐住的日子
  
積分 38778
發文 6170
註冊 2005-9-10
來自 滅絕希望的世界
狀態 離線
|
|
2007-10-19 10:45 AM |
|
yoyo007
論壇貴賓
菸草撐住的日子
積分 38778
發文 6170
註冊 2005-9-10
來自 滅絕希望的世界
狀態 離線
|
 #2
文章轉自:偉大的網際網路...
編輯整理:http://www.centurys.net/index.php
手動清除 Ntdll32.dll 木馬病毒 W32.Fujacks!html
一、病毒類型:W32.Fujacks!html Win32.troj.agent.s.412671
二、載入方式:利用驅動,凌駕於所有應用程式之上。(包括 COM)
Windows\system32\Ntdll32.dll 感染了 [Win32.troj.agent.s.412671] 病毒,卻無法刪除;就算在安全模式中進入登錄檔想刪除相關機碼也不行。
該木馬病毒執行後,會向系統加入一個名為 Internet Connection Manager (管理 Internet 網路連線) 的自啟動系統服務 (用於實現遠端監控),來源檔為 Windows\system32\internet.exe,並對 IE 瀏覽器裝上一個名為 [IEHELPER.DLL] 的外掛,以上就是這個程式的最終目的。
到此為止,這都只是個很普通的木馬程式做的事情,剩下的就是它為了保證這兩項能在系統中常駐所花的心思了,而它厲害的地方也在於此。
程式執行時,會在 Windows\system32\driver 資料夾下加入一個名為 [mspcidrv.sys] 的系統驅動,並在 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls 下寫入一個 NTDLL32.DLL 機碼 (注意,這個大有用處);同時也向 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects 寫入了該機碼 (啟動瀏覽器時自動啟動 NTDLL32.DLL);向 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 加入了兩處啟動項,分別都指向 Windows\system32.internet.exe。
驅動 [mspcidrv.sys] 載入後會改寫三個系統服務描述表,分別為 NtDeleteKey、NtDeleteValueKey、NtSetValueKey,並 HOOK,使得針對那兩個最終目的的登錄機碼的 [刪除登錄機碼]、[刪除登錄值]、[變更登錄值] 這三個功能失去作用,這是為了保護 Internet Connection Manager 系統服務和 IEHELPER.DLL 外掛的登錄機碼不被清除。
而 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls 下的這個 NTDLL32.DLL 機碼,就是實現記憶體恢復的關鍵。實際上這是一個插入系統處理序的 DLL 檔案,在程式啟動時,它就作為一個系統緒程插入 explorer 處理序中,並對登錄機碼進行監視,它分別檢測上述兩個最終目的的兩處機碼,發現它們被刪除就立即重寫,這一招的作用是:
在驅動還在的情況下,如果登錄機碼被刪除 (透過某些工具軟體如:Rootkit Unhooker),就立刻重寫;保證兩個最終功能的完整,是因為這個緒程自己本身也是要靠驅動保護的,所以在驅動失效,而它自己的登錄機碼又已被清除的情況下,它也只能維持在驅動被清除之前的那一次處理序插入,以在保證下次開機時,兩個最終目的的啟動項完整。
三、清除方法:
第一種方法:用 Rootkit Unhooker 清除。
1. 進入 Windows 工作管理員 (同時按 Ctrl+Alt+Del),到 [處理程序] 分頁中
找到並結束 [explorer] 處理序;
切換到 [應用程式] 分頁按右鍵 → [新工作 (執行...) ] 選取並執行您安裝
的 Rootkit Unhooker 程式。
註:綠化版直接執行 [RKUnhooker.exe] 即可。
2. 切換到 Rootkit Unhooker 程式介面的分頁 [SSDT] 按 [掛鉤] 排序
找 [模組] 欄位中的值:mspcidrv.sys ← 在所有包含此值的行上按
右鍵 → [解開選定的掛鉤]。
3. 切換到 [處理序] 分頁找 [處理序名稱] 欄位內所有有關:
internet.exe 、mspcidrv.sys、Ntdll32.dll 和 IEHELPER.DLL
按右鍵 → [中止處理序]。
註:蒐集的教程採用的是 RkU 舊版,我重新編輯對應到此 RkU 新版;
新舊版本在介面上的顯示略有差異,請視程式介面自行切換分頁並
找出上述提到的相關檔案。
4. 開啟登錄編輯程式刪除登錄的服務 (執行 → regedit.exe)
在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 找到
有關 internet.exe 和 mspcidrv.sys 的兩個服務並將之刪除;
然後到 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
將 Appinit_Dlls 裡的值去掉,並在登錄機碼中搜尋所有有關:
internet.exe 、mspcidrv.sys、Ntdll32.dll、IEHELPER.DLL 的值
↑將他們刪除。
5. 主要有以下病毒檔案:
%systemroot%\system32\NTDLL32.DLL
%systemroot%\system32\IEhelper.dll
%systemroot%\system32\IEShell32.dll
%systemroot%\system32\internet.exe
%systemroot%\system32\drivers\mspcidrv.sys
但這時因為還有其它檔案在呼叫這幾個檔案,您可能在正常模式下刪除不掉,
可以開啟工作管理員按 [關機] 選擇 [重新開機] 後,進入安全模式中刪除。
6. OK,整個世界清淨多了。
第二種方法:在控制台下也可以停用驅動和服務。
1. 先安裝控制台:開始 → 執行 → [X:\i386\winnt32.exe /cmdcons]
X: 為您的 I386 所在路徑,依照提示安裝就行了,重開機後可看見多重系統
開機選單下多了一個 Microsoft Windows XP Recovery Console 控制台。
進入控制台,輸入數字選定您要進入的系統,輸入管理員密碼登入。
2. 進入控制台,輸入 Listsvc 指令後按 Enter,在螢幕上會出現目前系統中
已有的所有服務和驅動程式,以及其狀態說明。找到要停用的可疑服務或驅動
程式,輸入指令 disable 要停用的程式或服務,按 Enter 後螢幕上會顯示出
該服務以前的狀態和完成後的狀態;
如果想僱用某個程式或服務,則需輸入Enable 要停用的程式或服務,
按 Enter 後即可。控制台說明指令:help 可查閱所有可使用的指令。
|
我從遠方來.你到遠方去
風。穿膛而過
蒼茫的月色.灼傷誰的眼眸… |
|
|
2007-10-19 10:47 AM |
|
osk
金卡會員
化龍轉鳳趴趴走
積分 21354
發文 2612
註冊 2005-9-5
來自 地球=防衛隊
狀態 離線
|
#3
哈...您是否最近有中毒過?否則怎出一堆"安全性相關"工具....哈..哈
Rootkit Unhooker 不知好用否?下載測試..
感謝 版兄分享...辛苦了 ^^
|
 |
|
|
2007-10-19 11:53 AM |
|
yoyo007
論壇貴賓
菸草撐住的日子
積分 38778
發文 6170
註冊 2005-9-10
來自 滅絕希望的世界
狀態 離線
|
|
|
2007-10-19 12:09 PM |
|
xp20060726
榮譽會員
隨緣放下,輕安自在.
 
積分 82058
發文 8761
註冊 2006-7-26
來自 無緣大慈,同體大悲.
狀態 離線
|
#5 感謝提供分享!
最近網路流行很多的惡性軟體在流竄,
像以Email傳播"笑話"供您下載,必遭中毒!
木馬也是很猖獗,所以防毒系統也不容易清除乾淨,
多一些防護是必要的!!
感謝您的分享 !!!
|
|
|
2007-10-19 01:36 PM |
|
a2213572
高級會員
積分 7539
發文 1477
註冊 2006-5-20
狀態 離線
|
#6
最近網際論壇常常上不了線.不曉得跟這些惡意病毒是否有關係.
昨天有網友反應在論壇下載 Your Uninstaller 之後關機時畫面全走樣!
感謝大大 推出整系列的鎮暴部隊.
|
|
|
2007-10-19 01:45 PM |
|
yoyo007
論壇貴賓
菸草撐住的日子
積分 38778
發文 6170
註冊 2005-9-10
來自 滅絕希望的世界
狀態 離線
|
#7
| Quote: | Originally posted by a2213572 at 2007-10-19 13:45:
最近網際論壇常常上不了線.不曉得跟這些惡意病毒是否有關係.
昨天有網友反應在論壇下載 Your Uninstaller 之後關機時畫面全走樣!
感謝大大 推出整系列的鎮暴部隊. |
|
還沒完,不過也差不多了;有些有繁體中文的,已先整理起來,另外還有一些正在整理中,全弄好,我會整合以反黑清毒常用輔助工具包分享出來。剩下一些用於系統監視的軟體,如 SSM、EQ ...等等之類,或一些防毒、防木馬、間諜的軟體,就不整理了,這部分需要大家視自己的系統和習慣自行搜尋下載。
|
我從遠方來.你到遠方去
風。穿膛而過
蒼茫的月色.灼傷誰的眼眸… |
|
|
2007-10-19 01:59 PM |
|
e722146
金卡會員
積分 17398
發文 5052
註冊 2006-5-13
來自 高雄
狀態 離線
|
#8
感謝提供一系列的防駭工具喔!
對於安定電腦來說很實用喔!
多謝大大熱心公益提供喔!
|
 |
|
|
2007-10-19 09:46 PM |
|
tenhon
資深會員
積分 3760
發文 632
註冊 2006-11-13
狀態 離線
|
#9
yo大的作品就是完善、解說完整,還有附案例說明,真正受益良多,除了感謝還是感謝!
|
|
|
2007-10-19 10:14 PM |
|
hong01
高級會員
積分 6152
發文 706
註冊 2006-4-10
來自 若凡石-靈居
狀態 離線
|
#10
真是:功能十分強大!.... SSDT 掛鉤的偵測與還原,以及隱藏處理序、驅動和檔案的檢查和操作
先收下慢慢研究
謝謝版大!
|
凡石入凡世--識知世凡俗
凡俗爭凡事--笑與渡凡時 |
|
|
2007-10-20 12:05 AM |
|
lin5105
高級會員
積分 6290
發文 1433
註冊 2006-8-13
狀態 離線
|
#11
是啊!常進出論壇,病毒與木馬就不得不防,可是,要百分百防止,確實要相當用心才行!
最近,掛在USB的硬碟透過檔案總管由根目錄點選時常存取被拒,如由"我的電腦"以次目錄方式點選則沒問題,是不是也隱藏有木馬?
Thanks ~~
|
|
|
2007-10-20 01:52 PM |
|
PLUS+
中級會員
積分 1044
發文 226
註冊 2007-8-5
來自 不存在的地方
狀態 離線
|
#12
手動清木馬可用.....
這類軟體的介面都非常非常相似
謝謝yoyo大
yoyo大會俄羅斯語喔XD
|
|
|
2007-10-20 03:56 PM |
|
yoyo007
論壇貴賓
菸草撐住的日子
積分 38778
發文 6170
註冊 2005-9-10
來自 滅絕希望的世界
狀態 離線
|
#13
| Quote: | Originally posted by lin5105 at 2007-10-20 13:52:
是啊!常進出論壇,病毒與木馬就不得不防,可是,要百分百防止,確實要相當用心才行!
最近,掛在USB的硬碟透過檔案總管由根目錄點選時常存取被拒,如由"我的電腦"以次目錄方式點選則沒問題,是不是也隱藏有木馬?
Thanks ~~ |
|
沒看到我還真忘了,上次幫友人清理電腦時,帶了顆隨身碟去,剛剛開起來一看,居然也被感染了:
lin5105 大用 WsysCheck 瞅瞅看隨身碟內有啥東東;存取被拒的情況我遇過一次,但由於沒什麼重要資料,就格式化解決了。有重要資料的話,按右鍵 → 檔案總管,把資料複製出來,再格式化。
| Quote: | Originally posted by PLUS+ at 2007-10-20 15:56:
手動清木馬可用.....
這類軟體的介面都非常非常相似
謝謝yoyo大
yoyo大會俄羅斯語喔XD |
|
俄羅斯語我不會,但程式的對話方塊有英文可參照,唯獨字串需將俄羅斯轉為英文,再翻譯成中文,也是連矇帶猜兼測試,痛苦,花了很多時間。 ><
|
我從遠方來.你到遠方去
風。穿膛而過
蒼茫的月色.灼傷誰的眼眸… |
|
|
2007-10-25 09:32 AM |
|
鐵漢柔情
進階會員
積分 1990
發文 76
註冊 2006-2-27
狀態 離線
|
#14
| Quote: | Originally posted by yoyo007 at 2007-10-25 09:32 AM:
沒看到我還真忘了,上次幫友人清理電腦時,帶了顆隨身碟去,剛剛開起來一看,居然也被感染了:
lin5105 大用 Wsy ... |
|
==============================================
我也是受害者~~~~居然被隨身碟病毒入侵
還好有網際裡面各位前輩替我們解決~~~
真是受益良多
|
 |
|
|
2007-10-27 04:44 PM |
|
duo
一般會員
積分 427
發文 58
註冊 2005-9-17
狀態 離線
|
|
|
2007-10-28 11:40 AM |
|
csesanyo
一般會員
積分 308
發文 102
註冊 2007-3-24
狀態 離線
|
|
|
2007-10-28 05:37 PM |
|
benleung
資深會員
積分 4188
發文 605
註冊 2006-5-7
狀態 離線
|
#17
來學習一下手動清除木馬的程序,
在這裡,真是什麼電腦課程也有得學, ^ ^
謝過YOYO大了
|
|
|
2007-10-29 06:25 AM |
|
七彩琉璃雨
論壇貴賓
雲眉站掌門人
積分 21404
發文 1287
註冊 2005-8-31
來自 九重天外 臥雲居
狀態 離線
|
|
|
2007-11-30 11:56 AM |
|
tw517
一般會員
積分 408
發文 102
註冊 2005-9-7
來自 台灣
狀態 離線
|
#19
網路好人多,放讀的壞人也多,好人應該長壽,放毒的應該下地獄。謝謝提供非常專業的解毒法!
|
|
|
2008-1-30 10:19 PM |
|
tsjking
高級會員
積分 6906
發文 982
註冊 2007-1-20
來自 台灣台東
狀態 離線
|
#20
原來還有這把刀在啊!稍為不留意就錯過了,要對付三教九流的惡意幫還真是
要備齊所有可用的工具,檢測了一下,幸好沒有什麼跟什麼東東掛鉤,看來系統
是安全的,再來就要好好的測試這個工具的功能,學著如何運用三刀流的技巧
確保系統安全,謝謝 yoyo大 的繁化及分享,使用上有何進展再來報告
|
有下有回真君子!有下無回真小人 |
|
|
2008-7-16 08:14 AM |
|
