清除internet.exe木马病毒 (转贴)

最近可能是在某个网站下载了QQ程序吧，结果金山毒霸显示x： windows\system32\Ntdll32.dll感染了Win32.troj.agent.s.412671病毒，却无法删除；就算在安全模式下进入注册表想删除相关项也不行。该木马病毒运行后，向系统添加一个名为Internet Connection Manager（管理Internet网络连接）的自启动系统服务（用于实现远程监控），源文件为c:\windows\system32\internet.exe，并向ie浏览器添加了一个名为IEHELPER.DLL的插件，以上就是这个程序的最终目的。到此为止，这都只是个很普通的木马程序做的事情，剩下的就是它为了保证这两项能在系统中常驻所花的心思了，而它厉害的地方也在于此。
程序运行时，

<1、x:\windows\system32\driver文件夹下添加一个名为mspcidrv.sys的系统驱动，
2、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下添加NTDLL32.DLL项（注意，这个大有用处）
3、HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects下添加了该项（启动浏览器时自动激活NTDLL32.DLL）
4、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加了两处启动项，分别都指向c:\windows\system32.internet.exe，
5、驱动mspcidrv.sys加载后会改写三个系统服务描述表项，分别为NtDeleteKey、NtDeleteValueKey、NtSetValueKey，并HOOK，使得针对那两个最终目的的注册表项的删除注册表项、删除注册表键值、更改注册表键值这三个操作就失去作用了，这是为了保护Internet Connection Manager系统服务和IEHELPER.DLL插件的注册表项不会被清除。
４、而HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下的这个NTDLL32.DLL项，这就是实现内存恢复的关键。实际上这个是一个插入系统进程的DLL文件，在程序启动时，它就作为一个系统线程插入explorer进程，并对注册表项进行监视，它分别检测上述两个最终目的的两处注册表项，发现它们被删除就立刻重写, 这一招的作用是，在驱动还在的情况下，如果注册表项被删除（通过某些工具软件如：Rootkit Unhooker），就立刻重写，保证两个最终功能的完整是因为这个线程自己本身也是要靠驱动保护的，所以在驱动失效，而它自己的注册表项又已被清除的情况下，它也只能维持在驱动被清除之前的那一次进程插入，以保证下次开机时两个最终目的启动项的完整。

清除方法：<
先在OKTE（这个最后附加介绍）或Google搜索栏搜索下载Rootkit Unhooker并安装，进入Windows任务管理器（同时按ctrl+alt+del）结束explorer进程，然后同样在任务管理器 “文件\新建任务”选中并运行你安装的Rootkit Unhooker程序，将mspcidrv.sys所挂钩的服务移出，之后在任务管理器 “文件\新建任务”选中运行注册表编辑器regedit，分别搜索并删除（现在可以删了）与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。重启机器后就OK了，当然你还可以进入x： windows\system32\删除病毒残留internet.exe 、mspcidrv.sys、Ntdll32.dll和IEHELPER.DLL文件。