免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

打開APP
userphoto
未登錄

開通VIP,暢享免費電子書等14項超值服

開通VIP

首頁

好書

留言交流

下載APP

聯(lián)系客服
清除Ntdll32.dll木馬病毒 -
清除Ntdll32.dll木馬病毒
2007-02-16 14:36:44
  最近可能是在某個網(wǎng)站下載了某垃圾軟件,結(jié)果金山毒霸顯示c: windows\system32\Ntdll32.dll感染了Win32.troj.agent.s.412671病毒,卻無法刪除;就算在安全模式下進(jìn)入注冊表想刪除相關(guān)項也不行。該木馬病毒運行后,向系統(tǒng)添加一個名為Internet Connection Manager(管理Internet網(wǎng)絡(luò)連接)的自啟動系統(tǒng)服務(wù)(用于實現(xiàn)遠(yuǎn)程監(jiān)控),源文件為c:\windows\system32\internet.exe,并向ie瀏覽器添加了一個名為IEHELPER.DLL的插件,以上就是這個程序的最終目的。到此為止,這都只是個很普通的木馬程序做的事情,剩下的就是它為了保證這兩項能在系統(tǒng)中常駐所花的心思了,而它厲害的地方也在于此。
  程序運行時,在c:\windows\system32\drivers文件夾下添加一個名為的系統(tǒng)驅(qū)動,向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下添加NTDLL32.DLL項(注意,這個大有用處)。同時也向HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects下添加了該項(啟動瀏覽器時自動激活NTDLL32.DLL)向HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加了兩處啟動項,分別都指向c:\windows\system32.internet.exe,驅(qū)動mspcidrv.sys加載后會改寫三個系統(tǒng)服務(wù)描述表項,分別為NtDeleteKey、NtDeleteValueKey、NtSetValueKey,并HOOK,使得針對那兩個最終目的的注冊表項的刪除注冊表項、刪除注冊表鍵值、更改注冊表鍵值這三個操作就失去作用了,這是為了保護(hù)Internet Connection Manager系統(tǒng)服務(wù)和IEHELPER.DLL插件的注冊表項不會被清除。而HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下的這個NTDLL32.DLL項,這就是實現(xiàn)內(nèi)存恢復(fù)的關(guān)鍵。實際上這個是一個插入系統(tǒng)進(jìn)程的DLL文件,在程序啟動時,它就作為一個系統(tǒng)線程插入explorer進(jìn)程,并對注冊表項進(jìn)行監(jiān)視,它分別檢測上述兩個最終目的的兩處注冊表項,發(fā)現(xiàn)它們被刪除就立刻重寫, 這一招的作用是,在驅(qū)動還在的情況下,如果注冊表項被刪除(通過某些工具軟件如:Rootkit Unhooker),就立刻重寫,保證兩個最終功能的完整是因為這個線程自己本身也是要靠驅(qū)動保護(hù)的,所以在驅(qū)動失效,而它自己的注冊表項又已被清除的情況下,它也只能維持在驅(qū)動被清除之前的那一次進(jìn)程插入,以保證下次開機(jī)時兩個最終目的啟動項的完整。

  清除方法:
  下載Rootkit Unhooker并安裝,進(jìn)入Windows任務(wù)管理器(同時按ctrl+alt+del)結(jié)束explorer進(jìn)程,然后同樣在任務(wù)管理器 “文件\新建任務(wù)”選中并運行你安裝的Rootkit Unhooker程序,將mspcidrv.sys所掛鉤的服務(wù)移出,之后在任務(wù)管理器 “文件\新建任務(wù)”選中運行注冊表編輯器regedit,分別搜索并刪除(現(xiàn)在可以刪了)與internet.exe 、mspcidrv.sys、Ntdll32.dllIEHELPER.DLL相關(guān)的所有項目。重啟機(jī)器后就OK了,當(dāng)然你還可以進(jìn)入c:windows\system32\刪除病毒殘留internet.exe 、mspcidrv.sys、Ntdll32.dllIEHELPER.DLL文件。大功告成?。?/font>
本站僅提供存儲服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請點擊舉報。
打開APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
菜鳥必知-病毒隱藏之處
3.exe、www.senlove.com/0/木馬群清除 _病毒疫情_病毒_發(fā)掘網(wǎng)_數(shù)字...
回復(fù):AutoRuns是什么,怎么殺不 - 360系統(tǒng)急救箱 - 360論壇
病毒程序和木馬經(jīng)常修改的系統(tǒng)文件和注冊表
Autoruns詳盡使用教程
如何揪出并根除Windows系統(tǒng)啟動項-新手入門-安全基礎(chǔ)-網(wǎng)絡(luò)安全-網(wǎng)頁教學(xué)網(wǎng)
更多類似文章 >>
生活服務(wù)
分享 收藏 導(dǎo)長圖 關(guān)注 下載文章
綁定賬號成功
后續(xù)可登錄賬號暢享VIP特權(quán)!
如果VIP功能使用有故障,
可點擊這里聯(lián)系客服!

聯(lián)系客服