廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 4060 個閱讀者
 
<<   1   2  下頁 >>(共 2 頁)
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[心得分享] 清除DLL掛鈎廣告一例
清除DLL掛鈎廣告一例.

筆者近日發現愛機總是莫名其妙的彈出一些廣告網站,並且隨機更換,甚是擾人。開始以為僅僅是Maxthon的廣告攔截功能出了問題,後來發現即使不開流覽器,每隔幾分鐘還是會彈出。
按照以往的經驗,覺得應該是IE掛鈎了惡意程式所導致,查看HijackThis的分析結果,IE卻一切正常,繼而以廣告網站名為關鍵字搜索註冊表也一無所獲,用Process Explorer察看系統進程,也無任何可疑之處。看來這些廣告並不是簡單的利用腳本宣傳,而是中了間諜程式。

下載金山毒霸的木馬專殺工具檢測,發現記憶體中載入的模組果然已被感染,感染檔案名為msinfo.dll,存在於C:\Program Files\Common Files\Microsoft Shared\MSInfo下,因為它被設定為了隱藏和系統檔雙重屬性,所以必須按照以下方法才能看到,檔功能表上的“工具“——“檔夾選項”——“查看”裏,將“顯示系統檔夾的內容”和“顯示所有檔和檔夾”前打上勾。筆者用UltraEdit32察看MsInfo.dll內容, 發現裏面有temp2.inf這個檔的字串,它會在C:\windows\system32下麵創建 Temp2.inf這個檔,進入資源管理器察看,果然其中的內容就是所有廣告的位址。原本以為簡單刪除了事,卻報告文件正在被windows使用,用Process Explorer“查找DLL”的功能檢測,MsInfo.dll被掛靠到了Explorer進程中。真是頑固的傢伙,進入DOS狀態,進入C:\Program Files\Common Files\Microsoft Shared\MSInfo目錄,用命令attrib -s -h msinfo.dll去掉該檔的隱藏和系統屬性,再用DLE命令刪除即可。

正常啟動後,廣告彈出現象消失,進行最後的收尾工作。進入註冊表編輯器,將如下兩處鍵值刪掉:
①HKEY_CLASSES_ROOTCLSID\{B48F6409-4740-475B-A474-651F54CCE460}\InProcServer32
②HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B48F6409-4740-475B-A474-651F54CCE460}\InProcServer32

最後清空IE緩存和暫存檔案,至此,已經將該討厭的間諜程式徹底清除。


[ 此文章被upside在2007-01-13 04:49重新編輯 ]



爸爸 你一路好走
獻花 x1 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2007-01-09 01:16 |
omniplay
個人文章 個人相簿 個人日記 個人地圖
知名人士
級別: 知名人士 該用戶目前不上站
推文 x14 鮮花 x270
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

[quote]HKEY_LOCAL_MACHINESOFTWARE\Classes\CLSID\{B48F6409-4740-475B-A474-651F54CCE460}\InProcServer32[quote]
少一個 "\" :
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B48F6409-4740-475B-A474-651F54CCE460}\InProcServer32



回覆與感謝是一種品德,論壇互動中良性的交流。
☆★要評0,乾脆就別評算了★蜀山無大將,猴子稱大王★☆
☆★好文章值得千錘百鍊★好文絕對頂,爛文絕對批★爛文千百出,徒惹施笑話★☆
☆★鑽古泥思,不如多體驗人生☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆★資訊爆炸時代,資訊通透,真偽訣齊流,會運用/懂丟棄/辯證要比引籍淹思更重要★☆
獻花 x1 回到頂端 [1 樓] From:臺灣中華HiNet | Posted:2007-01-13 04:47 |
lens690 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x1 鮮花 x51
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
Re:清除DLL掛廣告一例
若系統磁區為FAT32磁區,還可以使用DOS進入刪除.但若為NTFS磁區,則需另行製作開機片才行。

所以這種類型的病毒我有碰過,提供幾個我的方法:

1.使用ERD Commander 進入系統,刪除要刪的檔案,連Reg也可以一起清掉。
2.直接使用IceSword的內部功能,將此DLL卸載(會有風險),然後將他給殺了(一樣用IceSword)
方式:使用Process Explore 找出DLL掛在哪哥Porcess上,IceSword的Module Information功能,Unload掉他,再使用File的功能,將隱藏檔案刪除。(以下圖解純範例)



確保電腦安全,勿點選不明檔案或網址
獻花 x0 回到頂端 [2 樓] From:台灣中華電信 | Posted:2007-01-13 09:14 |
omniplay
個人文章 個人相簿 個人日記 個人地圖
知名人士
級別: 知名人士 該用戶目前不上站
推文 x14 鮮花 x270
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

直接使用IceSword的內部功能,將此DLL卸載(會有風險),然後將他給殺了(一樣用IceSword)
方式:使用Process Explore 找出DLL掛在哪哥Porcess上,IceSword的Module Information功能,Unload掉他,再使用File的功能,將隱藏檔案刪除。
Process Explore 就能直接Kill Process了~不需另外叫程式~多個步驟
目前還沒遇到程序不能殺的情況~不管正常或非正常程序~



回覆與感謝是一種品德,論壇互動中良性的交流。
☆★要評0,乾脆就別評算了★蜀山無大將,猴子稱大王★☆
☆★好文章值得千錘百鍊★好文絕對頂,爛文絕對批★爛文千百出,徒惹施笑話★☆
☆★鑽古泥思,不如多體驗人生☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆★資訊爆炸時代,資訊通透,真偽訣齊流,會運用/懂丟棄/辯證要比引籍淹思更重要★☆
獻花 x0 回到頂端 [3 樓] From:臺灣中華HiNet | Posted:2007-01-13 16:27 |
lens690 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x1 鮮花 x51
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
Re:清除DLL掛廣告一例
下面是引用omniplay於2007-01-13 16:27發表的 :

Process Explore 就能直接Kill Process了~不需另外叫程式~多個步驟
目前還沒遇到程序不能殺的情況~不管正常或非正常程序~

不是要Unload 整個Process..而是其中一個DLL..把其中的一個DLL Unload掉..



確保電腦安全,勿點選不明檔案或網址
獻花 x0 回到頂端 [4 樓] From:台灣中華電信 | Posted:2007-01-13 17:45 |
omniplay
個人文章 個人相簿 個人日記 個人地圖
知名人士
級別: 知名人士 該用戶目前不上站
推文 x14 鮮花 x270
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
Re:Re:清除DLL掛廣告一例
下面是引用lens690於2007-01-13 17:45發表的 Re:清除DLL掛廣告一例:


不是要Unload 整個Process..而是其中一個DLL..把其中的一個DLL Unload掉..

這個可以嗎?因為還沒碰到案例~呵
1



回覆與感謝是一種品德,論壇互動中良性的交流。
☆★要評0,乾脆就別評算了★蜀山無大將,猴子稱大王★☆
☆★好文章值得千錘百鍊★好文絕對頂,爛文絕對批★爛文千百出,徒惹施笑話★☆
☆★鑽古泥思,不如多體驗人生☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆★資訊爆炸時代,資訊通透,真偽訣齊流,會運用/懂丟棄/辯證要比引籍淹思更重要★☆
獻花 x0 回到頂端 [5 樓] From:臺灣中華HiNet | Posted:2007-01-13 18:21 |
rien
個人頭像
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x3 鮮花 x34
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

Process Explorer不能unload掛載在其他程序的DLL檔,Unlocker或Icesword才可以
此外,Process Explorer的Kill Process功能也沒有Icesword的Terminate Process功能強悍
至於要在DOS下管理NTFS系統上的檔案,可以使用vFloppy來達成目的


人生最重要的是擁有追隨自己內心與直覺的勇氣,千萬不能被教條所侷限,因為盲從教條只是活在別人的思考結果中,就是浪費生命。
獻花 x1 回到頂端 [6 樓] From:臺灣和信超媒體寬帶網 | Posted:2007-01-13 22:43 |
omniplay
個人文章 個人相簿 個人日記 個人地圖
知名人士
級別: 知名人士 該用戶目前不上站
推文 x14 鮮花 x270
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

下面是引用rien於2007-01-13 22:43發表的 :
Process Explorer不能unload掛載在其他程序的DLL檔,Unlocker或Icesword才可以
此外,Process Explorer的Kill Process功能也沒有Icesword的Terminate Process功能強悍
至於要在DOS下管理NTFS系統上的檔案,可以使用vFloppy來達成目的

上面的圖是Kill Process的thread~每一個*.dll都能殺



回覆與感謝是一種品德,論壇互動中良性的交流。
☆★要評0,乾脆就別評算了★蜀山無大將,猴子稱大王★☆
☆★好文章值得千錘百鍊★好文絕對頂,爛文絕對批★爛文千百出,徒惹施笑話★☆
☆★鑽古泥思,不如多體驗人生☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆★資訊爆炸時代,資訊通透,真偽訣齊流,會運用/懂丟棄/辯證要比引籍淹思更重要★☆
獻花 x1 回到頂端 [7 樓] From:臺灣中華HiNet | Posted:2007-01-14 01:53 |
rien
個人頭像
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x3 鮮花 x34
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

感謝告知,原本還以為Process Explorer沒辦法卸載DLL的說
這樣以後解毒,當發生Icesword無法執行時,還有Process Explorer可以備用


人生最重要的是擁有追隨自己內心與直覺的勇氣,千萬不能被教條所侷限,因為盲從教條只是活在別人的思考結果中,就是浪費生命。
獻花 x0 回到頂端 [8 樓] From:臺灣和信超媒體寬帶網 | Posted:2007-01-14 16:01 |
jackjbh99
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x0 鮮花 x0
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

感謝受用了..也受教了


獻花 x0 回到頂端 [9 樓] From:臺灣數位聯合 | Posted:2007-01-27 21:27 |

<<   1   2  下頁 >>(共 2 頁)
首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.076526 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言