补天论坛-一个恶意程序的解除过程

转贴

一直都用MAXTHON上网,因为MAXTHON有主页防修改功能,所以也很少去注意主页是不是会被修改,因为太相信它了嘛.结果今天在升级MAXTHON的时候出了点问题,MAXTHON升级不成功,启动后总停留有自动更新的那个界面,却无法更新完成,只好改用N久没用的IE来上网下载MAXTHON的完整安装包,意想不到的问题出现了,我一直设置我的主页为本地的信息港,结果我打开IE的时候却跳到了一个网址导航的网站,(www.okww.net),原来MAXTHON所说的主页防修改功能好像没有发挥作用,不用MAXTHON的话,就会使用IE设置的主页,如果用MAXTHON的话,MAXTHON自己有一个设置文件,它会调用它本身设置的"主页",而不是IE设置的主页,以前一直没有发现,今天发现了,却晚了,我不知道我的主页是什么时候被修改的,说不定是几个月前就被恶意程序修改掉了.

经过多次的修改,包括使用兔子/windows优化大师/注册表医生...等等,修改主页后都没有办法,还是会被改成恶意网站的地址.但其中有一个规律,大约每分钟会修改一次.看来应该是系统中有个进程在定时更新注册表里面的主页设置项.

首先就是先手动修改IE的主页,结果重启IE后,还是跳到OKWW的网站,看来问题不是那么简单.

检查一下系统的启动加载项,推荐使用 AUTORUNS ,在汉化新世纪有汉化版下载,可以免费使用.仔细检查系统启动时的加载项,没有发现可疑进程.

检查一下系统当前进程,推荐使用 process explorer ,下载同上,是windows进程的一个管理程序,比windows自带的要好用一些,检查当前所有进程,基本没有发现大的疑点.

两个基本的内容检查完后,只好另想办法,到网上去搜索注册表监视的程序,监视注册表的更改/变化情况,推荐使用 regmon,下载同上,汉化新世纪有.这个软件可以动态的监视注册表的变化情况,只要注册表有变动,包括访问,修改,读写,都会显示出来,非常全面,而且可以过滤不需要显示的内容,很方便....经过监视,发现是 EXPLORER 在定时向注册表时写信息...估计很多朋友说我的 EXPLORER 程序有问题...不过经过仔细的查看,这个文件本身是没有问题的,而且win xp有文件保护功能,一般还不太容易替换这个系统文件.应该不是这个问题.

没办法了,关闭 EXPLORER 进程,看看有什么反应,还是使用 process explorer 程序,KILL EXPLORER,进程顺利的被结束,同时任务栏也消失了,打开的目录也都消失了.没有很大的疑点, 能过 regmon 监视,结束后,注册表就没有写入主页设置的数据了.应该是跟 EXPLORER 有关了. 再次运行一下 EXPLORER ,在 process explorer 中显示,EXPLORER 在加载前还加载了一个 ntwork.dll 文件,呵呵,这个文件就奇怪了,如果是菜鸟看到这个文件名,估计会以为是网络连接文件的动态链接文件,其实在正常加载 EXPLORER 的时候,应该在先加载自身,再加载其它进程的,而这个文件就奇怪了, 它在 explorer 前面就加载了,而且在explorer加载完后,它在进程列表里面消失了,如果是正常的程序,何必这么躲躲藏藏的呢???有问题,搜索一下,看看这个文件在哪.

搜索到了,在windows目录下,仔细查看文件的属性,结果什么都没有,连公司的名字都没有,不敢见人啊,只有一个创建时间,2005年4月11日,看来是这个了,4月11日中的招啊.

本相删除这个文件就行了,可是回头一想,这个文件已经不在进程里面了,这个文件删除了,但是进程里面却还有一个恶意进程在修改注册表,看来,这个只是个引子,为了确保系统每次启动时都会启动那个恶意进程的引子,不行,一定要把病毒查干净,到网上去下载一个filemon 程序,在汉化新世纪里面有下载,文件监视,监视某个文件的运行情况,与别的文件的交互情况.

仔细观察,ntwork.dll 在加载时会生成一个memory.sys的文件在windows目录下,而且一直隐藏在EXPLORER的进程下面,每分钟就写注册表一次,直到电脑关闭.这个才是真正的原凶啊,

知道原凶就好办了,先删除ntwork.dll文件,然后打开注册表编辑器,查找所有有关ntwork.dll的项目(在注册表中,exe文件的关联项目改回 "%1"%*),删除,结束 EXPLORER 进程(解除memory.sys文件与explorer的关联),重新运行EXPLORER进程,删除memory.sys文件,OK,这个恶意程序总算被干掉了.

这个恶意程序,我花了一个晚上的时间干掉它,总算免去了重装系统的麻烦,自己也更加了解这些恶意程序的运行方法,希望对大家会有一些帮助.另外,提醒一下大家的就是,这些程序的伪装一般都比较深,注册表监视和文件监视查找原凶,是一个不错的方法,还有可疑进程的识别,主要是看看进程的"公司名称",一般正常的进程,都会带有"公司名称",这些恶意进程为了防止别人发现,一般都会没有去写公司名称,而且文件名也尽量都是跟系统文件很相似的名称,大家一定要注意识别,以前自己就碰到过exp1orer.exe 一个恶意进程,不仔细看,是很难看得出来的,它的名称中间是数字1,而不是英文L,就写到这了,困死了... (附图:恶意进程的启动方法之一,修改这个地方,在前面加上恶意进程的路径,保存后,只要运行exe程序,就会启动恶意进程.) (谢谢二楼的提示,把用到的几个软件,用红色标出来了)

作者	主题:一个恶意程序的解除过程
.abu. =凤舞九天= 头衔:山贼职务:-=站长=- 积分：6339 贴数：5929	日期：2005-4-17 2:29:34 转贴一直都用MAXTHON上网,因为MAXTHON有主页防修改功能,所以也很少去注意主页是不是会被修改,因为太相信它了嘛.结果今天在升级MAXTHON的时候出了点问题,MAXTHON升级不成功,启动后总停留有自动更新的那个界面,却无法更新完成,只好改用N久没用的IE来上网下载MAXTHON的完整安装包,意想不到的问题出现了,我一直设置我的主页为本地的信息港,结果我打开IE的时候却跳到了一个网址导航的网站,(www.okww.net),原来MAXTHON所说的主页防修改功能好像没有发挥作用,不用MAXTHON的话,就会使用IE设置的主页,如果用MAXTHON的话,MAXTHON自己有一个设置文件,它会调用它本身设置的"主页",而不是IE设置的主页,以前一直没有发现,今天发现了,却晚了,我不知道我的主页是什么时候被修改的,说不定是几个月前就被恶意程序修改掉了. 经过多次的修改,包括使用兔子/windows优化大师/注册表医生...等等,修改主页后都没有办法,还是会被改成恶意网站的地址.但其中有一个规律,大约每分钟会修改一次.看来应该是系统中有个进程在定时更新注册表里面的主页设置项. 首先就是先手动修改IE的主页,结果重启IE后,还是跳到OKWW的网站,看来问题不是那么简单. 检查一下系统的启动加载项,推荐使用 AUTORUNS ,在汉化新世纪有汉化版下载,可以免费使用.仔细检查系统启动时的加载项,没有发现可疑进程. 检查一下系统当前进程,推荐使用 process explorer ,下载同上,是windows进程的一个管理程序,比windows自带的要好用一些,检查当前所有进程,基本没有发现大的疑点. 两个基本的内容检查完后,只好另想办法,到网上去搜索注册表监视的程序,监视注册表的更改/变化情况,推荐使用 regmon,下载同上,汉化新世纪有.这个软件可以动态的监视注册表的变化情况,只要注册表有变动,包括访问,修改,读写,都会显示出来,非常全面,而且可以过滤不需要显示的内容,很方便....经过监视,发现是 EXPLORER 在定时向注册表时写信息...估计很多朋友说我的 EXPLORER 程序有问题...不过经过仔细的查看,这个文件本身是没有问题的,而且win xp有文件保护功能,一般还不太容易替换这个系统文件.应该不是这个问题. 没办法了,关闭 EXPLORER 进程,看看有什么反应,还是使用 process explorer 程序,KILL EXPLORER,进程顺利的被结束,同时任务栏也消失了,打开的目录也都消失了.没有很大的疑点, 能过 regmon 监视,结束后,注册表就没有写入主页设置的数据了.应该是跟 EXPLORER 有关了. 再次运行一下 EXPLORER ,在 process explorer 中显示,EXPLORER 在加载前还加载了一个 ntwork.dll 文件,呵呵,这个文件就奇怪了,如果是菜鸟看到这个文件名,估计会以为是网络连接文件的动态链接文件,其实在正常加载 EXPLORER 的时候,应该在先加载自身,再加载其它进程的,而这个文件就奇怪了, 它在 explorer 前面就加载了,而且在explorer加载完后,它在进程列表里面消失了,如果是正常的程序,何必这么躲躲藏藏的呢???有问题,搜索一下,看看这个文件在哪. 搜索到了,在windows目录下,仔细查看文件的属性,结果什么都没有,连公司的名字都没有,不敢见人啊,只有一个创建时间,2005年4月11日,看来是这个了,4月11日中的招啊. 本相删除这个文件就行了,可是回头一想,这个文件已经不在进程里面了,这个文件删除了,但是进程里面却还有一个恶意进程在修改注册表,看来,这个只是个引子,为了确保系统每次启动时都会启动那个恶意进程的引子,不行,一定要把病毒查干净,到网上去下载一个filemon 程序,在汉化新世纪里面有下载,文件监视,监视某个文件的运行情况,与别的文件的交互情况. 仔细观察,ntwork.dll 在加载时会生成一个memory.sys的文件在windows目录下,而且一直隐藏在EXPLORER的进程下面,每分钟就写注册表一次,直到电脑关闭.这个才是真正的原凶啊, 知道原凶就好办了,先删除ntwork.dll文件,然后打开注册表编辑器,查找所有有关ntwork.dll的项目(在注册表中,exe文件的关联项目改回 "%1"%*),删除,结束 EXPLORER 进程(解除memory.sys文件与explorer的关联),重新运行EXPLORER进程,删除memory.sys文件,OK,这个恶意程序总算被干掉了. 这个恶意程序,我花了一个晚上的时间干掉它,总算免去了重装系统的麻烦,自己也更加了解这些恶意程序的运行方法,希望对大家会有一些帮助.另外,提醒一下大家的就是,这些程序的伪装一般都比较深,注册表监视和文件监视查找原凶,是一个不错的方法,还有可疑进程的识别,主要是看看进程的"公司名称",一般正常的进程,都会带有"公司名称",这些恶意进程为了防止别人发现,一般都会没有去写公司名称,而且文件名也尽量都是跟系统文件很相似的名称,大家一定要注意识别,以前自己就碰到过exp1orer.exe 一个恶意进程,不仔细看,是很难看得出来的,它的名称中间是数字1,而不是英文L,就写到这了,困死了... (附图:恶意进程的启动方法之一,修改这个地方,在前面加上恶意进程的路径,保存后,只要运行exe程序,就会启动恶意进程.) (谢谢二楼的提示,把用到的几个软件,用红色标出来了)
fjane =化零为整= 积分：37 贴数：38	日期: 2005-8-7 7:58:36 受教了
dkfbzm =化零为整= 积分：3 贴数：3	日期: 2005-8-9 21:29:25 大开眼界.
cxxl =化零为整= 积分：87 贴数：28	日期: 2005-10-8 20:53:18 在打开网页的时候老有个酷猴的电影网站蹦出来,有什么方法可以避免吗?
返回《防毒杀毒技术精华》快速返回