一个有职业道德的且技术达到一定水平的广告木马手工清除方法

今天朋友发过来一个消息：
老兄，我现在电脑啥事没有，就是开机的时候老是自动登陆一个网站，用了好多软件修复IE，这个问题始终无法解决，你知道是怎么回事吗网址：http://hz.mop-hz.com/tc/gg/lun.htm?=ngoo千万不要自己点击啊，中了毒可不要骂我哦，呵呵
好听的说是为了解决朋友的问题，难听的说是对自己有着盲目的强烈自信，我毫不犹豫地就点了那个连接，然后，我终于发现了人外有人，山外有山，我一直依赖的BlackICE，自动屏蔽一切未知EXE和DLL的防火墙也有它的局限性。

这个木马相当的专业，是我到现在看到的最专业的一个广告木马，特性有：

利用IE未知漏洞直接运行代码，绕过BlackICE的屏蔽功能，删除procexp，更改主页为www.3448.com；

在windows\system32下会生成一个5m7o5.dll（名字可能会做一定改变），开机后注入explorer.exe等进程；

对注册表Windows调用进行过滤，隐藏自身；

除了偶尔会显示广告，不发生任何破坏系统行为（真有职业道德）。

清除方法：
重新启动，启动时按F8到命令行安全模式，运行regedit，到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下，删除9q，数据为RUNDLL32.exe 开头的那个项（也可能以其他数字开头的），然后删除windows\system32\5m7o5.dl，C:\下还有一个完全相同，但名字不同的DLL：4jo5.dll，同样删除，重新启动即可

重新启动后，不要忘了首先更改IE首页，防止再次感染。

丁丁 2006-10-28 16:33 发表评论