广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 4040 个阅读者
 
<<   1   2  下页 >>(共 2 页)
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[心得分享] 清除DLL挂钩广告一例
清除DLL挂钩广告一例.

笔者近日发现爱机总是莫名其妙的弹出一些广告网站,并且随机更换,甚是扰人。开始以为仅仅是Maxthon的广告拦截功能出了问题,后来发现即使不开流览器,每隔几分钟还是会弹出。
按照以往的经验,觉得应该是IE挂钩了恶意程式所导致,查看HijackThis的分析结果,IE却一切正常,继而以广告网站名为关键字搜索注册表也一无所获,用Process Explorer察看系统进程,也无任何可疑之处。看来这些广告并不是简单的利用脚本宣传,而是中了间谍程式。

下载金山毒霸的木马专杀工具检测,发现记忆体中载入的模组果然已被感染,感染档案名为msinfo.dll,存在于C:\Program Files\Common Files\Microsoft Shared\MSInfo下,因为它被设定为了隐藏和系统档双重属性,所以必须按照以下方法才能看到,档功能表上的“工具“——“档夹选项”——“查看”里,将“显示系统档夹的内容”和“显示所有档和档夹”前打上勾。笔者用UltraEdit32察看MsInfo.dll内容, 发现里面有temp2.inf这个档的字串,它会在C:\windows\system32下面创建 Temp2.inf这个档,进入资源管理器察看,果然其中的内容就是所有广告的位址。原本以为简单删除了事,却报告文件正在被windows使用,用Process Explorer“查找DLL”的功能检测,MsInfo.dll被挂靠到了Explorer进程中。真是顽固的家伙,进入DOS状态,进入C:\Program Files\Common Files\Microsoft Shared\MSInfo目录,用命令attrib -s -h msinfo.dll去掉该档的隐藏和系统属性,再用DLE命令删除即可。

正常启动后,广告弹出现象消失,进行最后的收尾工作。进入注册表编辑器,将如下两处键值删掉:
①HKEY_CLASSES_ROOTCLSID\{B48F6409-4740-475B-A474-651F54CCE460}\InProcServer32
②HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B48F6409-4740-475B-A474-651F54CCE460}\InProcServer32

最后清空IE缓存和暂存档案,至此,已经将该讨厌的间谍程式彻底清除。


[ 此文章被upside在2007-01-13 04:49重新编辑 ]



爸爸 你一路好走
献花 x1 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2007-01-09 01:16 |
omniplay
个人文章 个人相簿 个人日记 个人地图
知名人士
级别: 知名人士 该用户目前不上站
推文 x14 鲜花 x270
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

[quote]HKEY_LOCAL_MACHINESOFTWARE\Classes\CLSID\{B48F6409-4740-475B-A474-651F54CCE460}\InProcServer32[quote]
少一个 "\" :
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B48F6409-4740-475B-A474-651F54CCE460}\InProcServer32



回覆与感谢是一种品德,论坛互动中良性的交流。
☆★要评0,干脆就别评算了★蜀山无大将,猴子称大王★☆
☆★好文章值得千锤百炼★好文绝对顶,烂文绝对批★烂文千百出,徒惹施笑话★☆
☆★钻古泥思,不如多体验人生☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆★资讯爆炸时代,资讯通透,真伪诀齐流,会运用/懂丢弃/辩证要比引籍淹思更重要★☆
献花 x1 回到顶端 [1 楼] From:台湾中华HiNet | Posted:2007-01-13 04:47 |
lens690 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x1 鲜花 x51
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
Re:清除DLL挂广告一例
若系统磁区为FAT32磁区,还可以使用DOS进入删除.但若为NTFS磁区,则需另行制作开机片才行。

所以这种类型的病毒我有碰过,提供几个我的方法:

1.使用ERD Commander 进入系统,删除要删的档案,连Reg也可以一起清掉。
2.直接使用IceSword的内部功能,将此DLL卸载(会有风险),然后将他给杀了(一样用IceSword)
方式:使用Process Explore 找出DLL挂在哪哥Porcess上,IceSword的Module Information功能,Unload掉他,再使用File的功能,将隐藏档案删除。(以下图解纯范例)



确保电脑安全,勿点选不明档案或网址
献花 x0 回到顶端 [2 楼] From:台湾中华电信 | Posted:2007-01-13 09:14 |
omniplay
个人文章 个人相簿 个人日记 个人地图
知名人士
级别: 知名人士 该用户目前不上站
推文 x14 鲜花 x270
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

直接使用IceSword的内部功能,将此DLL卸载(会有风险),然后将他给杀了(一样用IceSword)
方式:使用Process Explore 找出DLL挂在哪哥Porcess上,IceSword的Module Information功能,Unload掉他,再使用File的功能,将隐藏档案删除。
Process Explore 就能直接Kill Process了~不需另外叫程式~多个步骤
目前还没遇到程序不能杀的情况~不管正常或非正常程序~



回覆与感谢是一种品德,论坛互动中良性的交流。
☆★要评0,干脆就别评算了★蜀山无大将,猴子称大王★☆
☆★好文章值得千锤百炼★好文绝对顶,烂文绝对批★烂文千百出,徒惹施笑话★☆
☆★钻古泥思,不如多体验人生☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆★资讯爆炸时代,资讯通透,真伪诀齐流,会运用/懂丢弃/辩证要比引籍淹思更重要★☆
献花 x0 回到顶端 [3 楼] From:台湾中华HiNet | Posted:2007-01-13 16:27 |
lens690 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x1 鲜花 x51
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
Re:清除DLL挂广告一例
下面是引用omniplay于2007-01-13 16:27发表的 :

Process Explore 就能直接Kill Process了~不需另外叫程式~多个步骤
目前还没遇到程序不能杀的情况~不管正常或非正常程序~

不是要Unload 整个Process..而是其中一个DLL..把其中的一个DLL Unload掉..



确保电脑安全,勿点选不明档案或网址
献花 x0 回到顶端 [4 楼] From:台湾中华电信 | Posted:2007-01-13 17:45 |
omniplay
个人文章 个人相簿 个人日记 个人地图
知名人士
级别: 知名人士 该用户目前不上站
推文 x14 鲜花 x270
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
Re:Re:清除DLL挂广告一例
下面是引用lens690于2007-01-13 17:45发表的 Re:清除DLL挂广告一例:


不是要Unload 整个Process..而是其中一个DLL..把其中的一个DLL Unload掉..

这个可以吗?因为还没碰到案例~呵
1



回覆与感谢是一种品德,论坛互动中良性的交流。
☆★要评0,干脆就别评算了★蜀山无大将,猴子称大王★☆
☆★好文章值得千锤百炼★好文绝对顶,烂文绝对批★烂文千百出,徒惹施笑话★☆
☆★钻古泥思,不如多体验人生☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆★资讯爆炸时代,资讯通透,真伪诀齐流,会运用/懂丢弃/辩证要比引籍淹思更重要★☆
献花 x0 回到顶端 [5 楼] From:台湾中华HiNet | Posted:2007-01-13 18:21 |
rien
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x3 鲜花 x34
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

Process Explorer不能unload挂载在其他程序的DLL档,Unlocker或Icesword才可以
此外,Process Explorer的Kill Process功能也没有Icesword的Terminate Process功能强悍
至于要在DOS下管理NTFS系统上的档案,可以使用vFloppy来达成目的


人生最重要的是拥有追随自己内心与直觉的勇气,千万不能被教条所局限,因为盲从教条只是活在别人的思考结果中,就是浪费生命。
献花 x1 回到顶端 [6 楼] From:台湾和信超媒体宽带网 | Posted:2007-01-13 22:43 |
omniplay
个人文章 个人相簿 个人日记 个人地图
知名人士
级别: 知名人士 该用户目前不上站
推文 x14 鲜花 x270
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

下面是引用rien于2007-01-13 22:43发表的 :
Process Explorer不能unload挂载在其他程序的DLL档,Unlocker或Icesword才可以
此外,Process Explorer的Kill Process功能也没有Icesword的Terminate Process功能强悍
至于要在DOS下管理NTFS系统上的档案,可以使用vFloppy来达成目的

上面的图是Kill Process的thread~每一个*.dll都能杀



回覆与感谢是一种品德,论坛互动中良性的交流。
☆★要评0,干脆就别评算了★蜀山无大将,猴子称大王★☆
☆★好文章值得千锤百炼★好文绝对顶,烂文绝对批★烂文千百出,徒惹施笑话★☆
☆★钻古泥思,不如多体验人生☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆★资讯爆炸时代,资讯通透,真伪诀齐流,会运用/懂丢弃/辩证要比引籍淹思更重要★☆
献花 x1 回到顶端 [7 楼] From:台湾中华HiNet | Posted:2007-01-14 01:53 |
rien
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x3 鲜花 x34
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

感谢告知,原本还以为Process Explorer没办法卸载DLL的说
这样以后解毒,当发生Icesword无法执行时,还有Process Explorer可以备用


人生最重要的是拥有追随自己内心与直觉的勇气,千万不能被教条所局限,因为盲从教条只是活在别人的思考结果中,就是浪费生命。
献花 x0 回到顶端 [8 楼] From:台湾和信超媒体宽带网 | Posted:2007-01-14 16:01 |
jackjbh99
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x0 鲜花 x0
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

感谢受用了..也受教了


献花 x0 回到顶端 [9 楼] From:台湾数位联合 | Posted:2007-01-27 21:27 |

<<   1   2  下页 >>(共 2 页)
首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.128787 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言