神马文学网清除Ntdll32.dll木马病毒 -
来源:百度文库 编辑:神马文学网 时间:2024/04/29 06:58:28
清除Ntdll32.dll木马病毒
2007-02-16 14:36:44
大中小
最近可能是在某个网站下载了某垃圾软件,结果金山毒霸显示c: windows\system32\Ntdll32.dll感染了Win32.troj.agent.s.412671病毒,却无法删除;就算在安全模式下进入注册表想删除相关项也不行。该木马病毒运行后,向系统添加一个名为Internet Connection Manager(管理Internet网络连接)的自启动系统服务(用于实现远程监控),源文件为c:\windows\system32\internet.exe,并向ie浏览器添加了一个名为IEHELPER.DLL的插件,以上就是这个程序的最终目的。到此为止,这都只是个很普通的木马程序做的事情,剩下的就是它为了保证这两项能在系统中常驻所花的心思了,而它厉害的地方也在于此。
程序运行时,在c:\windows\system32\drivers文件夹下添加一个名为的系统驱动,向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下添加NTDLL32.DLL项(注意,这个大有用处)。同时也向HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects下添加了该项(启动浏览器时自动激活NTDLL32.DLL)向HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加了两处启动项,分别都指向c:\windows\system32.internet.exe,驱动mspcidrv.sys加载后会改写三个系统服务描述表项,分别为NtDeleteKey、NtDeleteValueKey、NtSetValueKey,并HOOK,使得针对那两个最终目的的注册表项的删除注册表项、删除注册表键值、更改注册表键值这三个操作就失去作用了,这是为了保护Internet Connection Manager系统服务和IEHELPER.DLL插件的注册表项不会被清除。而HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下的这个NTDLL32.DLL项,这就是实现内存恢复的关键。实际上这个是一个插入系统进程的DLL文件,在程序启动时,它就作为一个系统线程插入explorer进程,并对注册表项进行监视,它分别检测上述两个最终目的的两处注册表项,发现它们被删除就立刻重写, 这一招的作用是,在驱动还在的情况下,如果注册表项被删除(通过某些工具软件如:Rootkit Unhooker),就立刻重写,保证两个最终功能的完整是因为这个线程自己本身也是要靠驱动保护的,所以在驱动失效,而它自己的注册表项又已被清除的情况下,它也只能维持在驱动被清除之前的那一次进程插入,以保证下次开机时两个最终目的启动项的完整。
清除方法:
下载Rootkit Unhooker并安装,进入Windows任务管理器(同时按ctrl+alt+del)结束explorer进程,然后同样在任务管理器 “文件\新建任务”选中并运行你安装的Rootkit Unhooker程序,将mspcidrv.sys所挂钩的服务移出,之后在任务管理器 “文件\新建任务”选中运行注册表编辑器regedit,分别搜索并删除(现在可以删了)与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。重启机器后就OK了,当然你还可以进入c:windows\system32\删除病毒残留internet.exe 、mspcidrv.sys、Ntdll32.dll和IEHELPER.DLL文件。大功告成!!
2007-02-16 14:36:44大中小
最近可能是在某个网站下载了某垃圾软件,结果金山毒霸显示c: windows\system32\Ntdll32.dll感染了Win32.troj.agent.s.412671病毒,却无法删除;就算在安全模式下进入注册表想删除相关项也不行。该木马病毒运行后,向系统添加一个名为Internet Connection Manager(管理Internet网络连接)的自启动系统服务(用于实现远程监控),源文件为c:\windows\system32\internet.exe,并向ie浏览器添加了一个名为IEHELPER.DLL的插件,以上就是这个程序的最终目的。到此为止,这都只是个很普通的木马程序做的事情,剩下的就是它为了保证这两项能在系统中常驻所花的心思了,而它厉害的地方也在于此。
程序运行时,在c:\windows\system32\drivers文件夹下添加一个名为的系统驱动,向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下添加NTDLL32.DLL项(注意,这个大有用处)。同时也向HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects下添加了该项(启动浏览器时自动激活NTDLL32.DLL)向HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加了两处启动项,分别都指向c:\windows\system32.internet.exe,驱动mspcidrv.sys加载后会改写三个系统服务描述表项,分别为NtDeleteKey、NtDeleteValueKey、NtSetValueKey,并HOOK,使得针对那两个最终目的的注册表项的删除注册表项、删除注册表键值、更改注册表键值这三个操作就失去作用了,这是为了保护Internet Connection Manager系统服务和IEHELPER.DLL插件的注册表项不会被清除。而HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下的这个NTDLL32.DLL项,这就是实现内存恢复的关键。实际上这个是一个插入系统进程的DLL文件,在程序启动时,它就作为一个系统线程插入explorer进程,并对注册表项进行监视,它分别检测上述两个最终目的的两处注册表项,发现它们被删除就立刻重写, 这一招的作用是,在驱动还在的情况下,如果注册表项被删除(通过某些工具软件如:Rootkit Unhooker),就立刻重写,保证两个最终功能的完整是因为这个线程自己本身也是要靠驱动保护的,所以在驱动失效,而它自己的注册表项又已被清除的情况下,它也只能维持在驱动被清除之前的那一次进程插入,以保证下次开机时两个最终目的启动项的完整。
清除方法:
下载Rootkit Unhooker并安装,进入Windows任务管理器(同时按ctrl+alt+del)结束explorer进程,然后同样在任务管理器 “文件\新建任务”选中并运行你安装的Rootkit Unhooker程序,将mspcidrv.sys所挂钩的服务移出,之后在任务管理器 “文件\新建任务”选中运行注册表编辑器regedit,分别搜索并删除(现在可以删了)与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。重启机器后就OK了,当然你还可以进入c:windows\system32\删除病毒残留internet.exe 、mspcidrv.sys、Ntdll32.dll和IEHELPER.DLL文件。大功告成!!
清除Ntdll32.dll木马病毒 -
动态嵌入式DLL木马发现与清除
如何清除RMVB电影中的木马病毒及广告信息
dll插入型木马病毒的原理,查杀与防范-飞翔软件教程-52z.com
DLL型后门原理及完全清除秘诀
清除正在运行的EXE、DLL病毒 【独家啊】
清除正在运行的EXE、DLL病毒 【独家啊】
DLL型后门原理及完全清除秘诀
通过注册表清除内存内不使用的DLL文件
DLL
如何清除正在运行的EXE、DLL病毒-杀毒防毒-IT技术-天极网
winctrl32.dll是病毒吗?如何清除? - 已回答 - 天涯问答
木马病毒的通用解法
木马病毒启动揭密
木马病毒启动揭密
惨....电脑中木马病毒??
封杀木马病毒应对绝招
一招废掉所有电脑木马病毒
木马病毒的通用解法
一招废掉所有木马病毒
木马病毒的通用解法
引用 一招废掉所有木马病毒
dll概述
dll概述