自然密码奥斯丁全集:[杀毒手记]查杀插入iexplore的Rootkits病毒

来源:百度文库 编辑:九乡新闻网 时间:2024/07/07 14:55:26

[杀毒手记]查杀插入iexplore的Rootkits病毒

 

tags: kaspersky iexplore iexplore.exe 病毒 rootkit rootkits 卡巴斯基 隐藏 进程 hidden object rejoice4 solution 

Problem

卡巴斯基开机后,主动防御模块报警风险软件 Hidden object C:\Program Files\Internet Explorer\IEXPLORE.EXE。 卡巴斯基只能报警,终止进程,无法杀灭。

Logs

用icesword可以看到隐藏的iexplore进程。 删除新浪点点通。 用Terminator(终截者)杀毒软件发现 
#O4 危险     自启动:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components\IE7 UninstallStub]-c:\windows\system32\ieudinit.exe *数值名称为:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\InstalledComponents\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}
#O4 危险    自启动:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved\Web反病毒保护]-c:\windows\system32\ssup.dll 70.O02 - 浏览器辅助对象(BHO) - SSLive,TENCENT,
CLSID:{669751ED-D558-49AE-B01A-3B374CC7910E}
相关文件:C:\WINDOWS\system32\ssup.dll
  删除相应的文件和启动项,或者用超级兔子和360安全卫士进行删除(包括其他不安全插件)。 PS:这个软件机制新颖,技术先进,可以查杀深层病毒,网址:www.s-sos.net 重新启动。 依然存在问题。 用rising的灰鸽子专杀,没有发现病毒。 用ewido,找到一个adware.generic. 用f-secure blacklight 查杀,找到隐藏进程,但是具体什么病毒,不知道。 下载ewido最新版本(AVG ANTI-SPYWARE),http://www.ewido.net/en/download/,升级到最新版。找到一些cookie上的风险。 查来查去,用SREng找到一个rejoice4,参考http://www.81safe.org/Article/show.asp?id=100,用如下方法杀灭。
“rejoice4.exe插入到进程iexplore.exe,任务管理器中可以见到iexplore.exe“解决办法:
1、用icesword杀掉隐藏的进程iexplore.exe。
2、删除C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice4.exe
3、进入注册表编辑器,删除[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice]    也可以用SREng来删除服务。4、重新启动。 PS: 卡巴斯基不是万能的。
问题解决!!!

Notes

http://zhidao.baidu.com/question/12251731.html 
你电脑中的是后门病毒变种,搞个专杀就可以了!http://it.rising.com.cn/service/technology/RS_LovGate_download.htm 这里去试试吧
 反Rootkit工具专杀06灰鸽子工具使用方法http://bbs.greendown.cn/archiver/?tid-11299.html 
利用IceSword,我们可以用IceSword查看是否有iexplore.exe这个进程和灰鸽子档案
注意:
-这个iexplore.exe,用任务管理器或Process Explorer都是看不到
-记得先关闭所以IE视窗才用IceSword看

但这个方法,只可以确定你的系统有很大机会中了恶意软件,因为PcClient/PcShare以及有一些后门,都会有这个iexplore.exe隐藏进程.

 http://post.baidu.com/f?kz=124526346
我现在装的是卡巴斯基6.0
可装完后开机就阻止什么
可疑: 风险软件 Hidden object C:\Program Files\Internet Explorer\IEXPLORE.EXE
 http://bbs.cnns.net/viewthread.php?tid=18441 
个人认为可能是因为某木马附在IEXPLORE。EXE上所造成的,要找到木马真正的所在才可彻底清除,根据以上分析,

C:\WINNT\system32\dbhaeeip.dll

C:\WINNT\System32\dbhaeeip.d1l
这两项最可疑,但是在系统中又找不到这两个文件!不知从何下手! #HP0 警告     隐藏进程: C:\Program Files\Internet Explorer\iexplore.exe
很明显, 这个IE浏览器进程被注入了病毒线程. 引起问题的很可能是以下的服务DLL

#S0  危险     NT 服务: RpcSs - ServiceDll - C:\WINNT\System32\dbhaeeip.d1l


正常的话, 他是隐藏, 很难查找到的.

你可以用 终截者 中的 安全回归 功能.

安全回归 拦截后, 你再找这两个文件. 就可以了..

hidden object病毒解决方案http://hi.baidu.com/nayimian/blog/item/386ca7fb2a0a3b224f4aead0.html 
...解决方案

  1、利用“冰刃”、“超级进程管理器”等工具,对启动项、iexplore模块进行检测
  2、修改注册表启动项,删除所有可疑或无关紧要的启动项,因为病毒很可能利用伪装启动
  3、进入带命令行的“安全模式”,删除所有desktop.ini文件(删除c盘del c:\desktop.ini /f/s/q/a;d盘同上)
  4、进入安全模式,用ewido彻底查杀一遍
  5、用卡巴斯基彻底查杀一遍
  6、重新启动计算机,问题解决
 

Links

常用杀毒工具集和网站http://bbs.mumayi.net/viewthread.php?tid=638844&extra=page%3D1  
[杀毒手记]查杀插入iexplore的Rootkits病毒 按图索骥查杀顽固病毒 如何查杀运行状态下的EXE、DLL病毒 EXPLORER.EXE和wsctf.exe病毒文件的查杀 U盘中毒的查毒 杀毒方法 U盘中 毒的查毒 杀毒方法 U盘中毒的查毒 杀毒方法 《病毒原理》 - 病毒查杀 - 51CTO技术论坛 手动查杀顽固病毒和木马 手工清除npf病毒查杀方法 查杀U盘携带病毒简单方法 如何彻底真正的杀毒 教你手工打造病毒免疫U盘! - 海奇杀毒软件论坛 - 免费杀毒软件|杀毒论坛 VirSCAN.org-多引擎在线病毒扫描网 v1.02,当前支持 37 款杀毒引擎 SysFader:IEXPLORE.EXE应用程序错误的解决方法 | MR.G'S Blog 十一条电脑杀毒的基本功2 系统自带最强的杀毒工具 十一条电脑杀毒的基本功 成就杀毒高手的五大必学绝招 十一条电脑杀毒的基本功 十一条电脑杀毒的基本功 《几种常见的杀毒方法》 木马病毒的通用查杀 【新手必读】杀毒需要了解的基本功 - 新手杀毒教程 - 有问必答 - 爱毒霸社区 King...