[杀毒手记]查杀插入iexplore的Rootkits病毒

 
tags: kaspersky iexplore iexplore.exe 病毒 rootkit rootkits 卡巴斯基 隐藏 进程 hidden object rejoice4 solution
Problem
卡巴斯基开机后，主动防御模块报警
风险软件 Hidden object C:\Program Files\Internet Explorer\IEXPLORE.EXE。
卡巴斯基只能报警，终止进程，无法杀灭。
Logs
用icesword可以看到隐藏的iexplore进程。
删除新浪点点通。
用Terminator（终截者）杀毒软件发现
#O4 危险     自启动:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components\IE7 UninstallStub]-c:\windows\system32\ieudinit.exe
*数值名称为：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\InstalledComponents\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}
#O4 危险    自启动:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved\Web反病毒保护]-c:\windows\system32\ssup.dll
70.O02 - 浏览器辅助对象(BHO) - SSLive，TENCENT，
CLSID：{669751ED-D558-49AE-B01A-3B374CC7910E}
相关文件：C:\WINDOWS\system32\ssup.dll
删除相应的文件和启动项，或者用超级兔子和360安全卫士进行删除（包括其他不安全插件）。
PS:这个软件机制新颖，技术先进，可以查杀深层病毒,网址：www.s-sos.net。
重新启动。
依然存在问题。
用rising的灰鸽子专杀，没有发现病毒。
用ewido，找到一个adware.generic.
用f-secure blacklight 查杀，找到隐藏进程，但是具体什么病毒，不知道。
下载ewido最新版本（AVG ANTI-SPYWARE），http://www.ewido.net/en/download/,升级到最新版。找到一些cookie上的风险。
查来查去，用SREng找到一个rejoice4，参考http://www.81safe.org/Article/show.asp?id=100，用如下方法杀灭。
“rejoice4.exe插入到进程iexplore.exe，任务管理器中可以见到iexplore.exe“
解决办法：
1、用icesword杀掉隐藏的进程iexplore.exe。
2、删除C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice4.exe
3、进入注册表编辑器，删除[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice]
也可以用SREng来删除服务。
4、重新启动。
PS: 卡巴斯基不是万能的。
问题解决！！！
Notes
http://zhidao.baidu.com/question/12251731.html
你电脑中的是后门病毒变种，搞个专杀就可以了！
http://it.rising.com.cn/service/technology/RS_LovGate_download.htm 这里去试试吧
反Rootkit工具专杀06灰鸽子工具使用方法
http://bbs.greendown.cn/archiver/?tid-11299.html
利用IceSword,我们可以用IceSword查看是否有iexplore.exe这个进程和灰鸽子档案
注意:
-这个iexplore.exe,用任务管理器或Process Explorer都是看不到
-记得先关闭所以IE视窗才用IceSword看
但这个方法,只可以确定你的系统有很大机会中了恶意软件,因为PcClient/PcShare以及有一些后门,都会有这个iexplore.exe隐藏进程.
http://post.baidu.com/f?kz=124526346
我现在装的是卡巴斯基6.0
可装完后开机就阻止什么
可疑: 风险软件 Hidden object C:\Program Files\Internet Explorer\IEXPLORE.EXE
http://bbs.cnns.net/viewthread.php?tid=18441
个人认为可能是因为某木马附在IEXPLORE。EXE上所造成的，要找到木马真正的所在才可彻底清除，根据以上分析，
C:\WINNT\system32\dbhaeeip.dll
C:\WINNT\System32\dbhaeeip.d1l
这两项最可疑，但是在系统中又找不到这两个文件！不知从何下手！
#HP0 警告     隐藏进程: C:\Program Files\Internet Explorer\iexplore.exe
很明显, 这个IE浏览器进程被注入了病毒线程. 引起问题的很可能是以下的服务DLL
#S0  危险     NT 服务: RpcSs - ServiceDll - C:\WINNT\System32\dbhaeeip.d1l
正常的话, 他是隐藏, 很难查找到的.
你可以用 终截者 中的 安全回归 功能.
安全回归 拦截后, 你再找这两个文件. 就可以了..
hidden object病毒解决方案
http://hi.baidu.com/nayimian/blog/item/386ca7fb2a0a3b224f4aead0.html
...
解决方案
1、利用“冰刃”、“超级进程管理器”等工具，对启动项、iexplore模块进行检测
2、修改注册表启动项，删除所有可疑或无关紧要的启动项，因为病毒很可能利用伪装启动
3、进入带命令行的“安全模式”，删除所有desktop.ini文件（删除c盘del c:\desktop.ini /f/s/q/a;d盘同上）
4、进入安全模式，用ewido彻底查杀一遍
5、用卡巴斯基彻底查杀一遍
6、重新启动计算机，问题解决
Links
常用杀毒工具集和网站
http://bbs.mumayi.net/viewthread.php?tid=638844&extra=page%3D1