admin管理员组文章数量:1656140
近期,在各大BBS都常看到不少朋友被流氓软件或小病毒插件困扰,具体表现开机弹出不明提示框提示"找不到**文件"或者上网不断有广告自动弹出.甚至不开IE也会在任务栏右下角弹出类似QQ广播消息的广告窗口.因为流氓软件或小病毒插件数目众多而且本身也会升级,变种,所以这里无法一一列举。下面就近期来比较猖獗的元凶或幕后黑手们展开批斗大会,整理本文的目的在于抛砖引玉,给龙友们提供个思路,探讨清理流氓广告软件或恶意插件可行的模式。。所以请大家不要刻舟求剑.小靓文也是新手上路,这里仅仅是把自己的浅薄的经验和网络上反浏览器劫持的荟萃和有效方法整理编辑下和大家分享。。欢迎大伙举一反三,互相交流心得! 罪犯一:U88连锁加盟网 犯罪表现 用户中招桌面多了一个U88快捷方式,点击就会弹出ww*w.u88的页面。还不能删除,没有卸载选项,把桌面快捷方式删了,下次启动人家自动再给你加上,相当顽固! 清除办法 开机按F8,到安全模式下,删除c:/program Files/Internet Explorer下的2052目录 或c:/program Files/Internet explorer下的lib目录,然后用流氓软件清理助手或超级兔子来卸载残余.具体如图: [attachment=14605] [attachment=14606] 罪犯二:dtservice dtap 最新变种:XP21TM~1.DLL 犯罪表现 用户中招后常会莫名其妙弹出广告网页,有的因为已经被杀毒软件查杀,开机会弹出启动项提示找不到该文件。如图:[attach]259118[/attach] 如果安装有防火墙的用户还会提示:拦截到系统访问edmchina网站.在系统内生成以下几个文件: %Temp%/RarSFX0/dtservice.dll %Temp%/RarSFX0/ext/dtdl.dll %Temp%/RarSFX0/ext/dtsm.dll %Windows%/dtapconfig %System%/dtap.dll 或生成%Windows%/dtapconfig %System%/dtap.dll %System%/dtservice.dll %System%/ext/dtdl.dll %System%/ext/dtsm.dll 并联网下载一些该广告病毒本身的配置信息(以方便升级变种): http://ww*w.edmchina/download/dtapconfig http://ww*w.edmchina/download/update3 http://ww*w.edmchina/download/clist 还可能会下载另外的插件: http://ww*w.qqbao/download/microapmddt.dll(MacroMediapd) http://ww*w.edmchina/download/xresdmr(这个有加密) 其中,%Temp%/RarSFX0/dtservice.dll应该是主程序吧,在Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run下建立有启动项,%System%/dtap.dll注册为BHO,%Temp%/RarSFX0/ext/dtdl.dll和%Temp%/RarSFX0/ext/dtsm.dll会被调用注入Explorer.exe进程,而%Windows%/dtapconfig则是一个广告配置文件。 由于出现了变种和病毒插件本身的升级,前几次在提问区曾遇到过些龙友中了该病毒,曾按常规的解决方法建议用HIJACKTHIS扫描和MSCONFIG查看启动项目但没查到,当时觉得纳闷..昨晚通过远程协助亲自操刀帮朋友宰杀了该病毒..用系统安全修复软件System Repair Engineer软件(简称SRE,由连续两年获得Microsoft MVP(微软最有价值专家)称号的Smallfrogs编写的)扫描发现了用HIJACKTHIS都扫描不到的启动项目如下: [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run] <DTService><rundll32.exe C:/DOCUME~1/win/LOCALS~1/Temp/RarSFX0/DTSERV~1.DLL,Load> 以下两项是病毒插入到系统进程explorer.exe的扫描报告,因此给清理造成了一定的困难,清理不彻底的话容易反复发作 清除办法 方法一: 找到C:/DOCUME~1/win/LOCALS~1/Temp/RarSFX0/目录并把它改名,搜索dtapconfig,dtap.dll,dtservice.dll,dtdl.dll,dtsm.dll全部改一下名字,接下来重新启动一下计算机,重启后就可以直接删除刚才改名的C:/DOCUME~1/win/LOCALS~1/Temp/RarSFX0/目录和搜索到的上述提到的文件了,然后用SRE修复下启动项[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run] <DTService><rundll32.exe C:/DOCUME~1/win/LOCALS~1/Temp/RarSFX0/DTSERV~1.DLL,Load> 用SRE修复“浏览器加载项”里的%System%/dtap.dll项目。 方法二: 用SRE修复启动项[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run] <DTService><rundll32.exe C:/DOCUME~1/win/LOCALS~1/Temp/RarSFX0/DTSERV~1.DLL,Load> 用SRE修复“浏览器加载项”里的%System%/dtap.dll项目。 事先搜索dtapconfig,dtap.dll,dtservice.dll,dtdl.dll,dtsm.dll的位置(因为除了在临时文件夹还可能在SYSTEM32目录) 记录下位置,任务栏管理器--->结束explorer.exe程序,---->文件--->新任务--->浏览---->到[C:/DOCUME~1/win/LOCALS~1/Temp/RarSFX0/目录,和刚刚记录下的搜索到SYSTEM32的位置全部删除找到的DT相关文件. 最后就是打扫战场清理注册表残余了:注册表--编辑--依次查找--->dtapconfig,dtap.dll,dtservice.dll,dtdl.dll,dtsm.dll找到一个删除一个(当然得看清楚是不是DT相关项再删除.是删除DT的键项,可不要把它前面的根键项也给删除了.如:HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run/DTSERV~1.DLL,是删除RUN下的DT键项,而不是POLOCES.) 罪犯三:多多QQ表情系列(包含两种流氓软件,常和QQ多多表情捆绑一起狼狈为奸姑且合称为多多QQ表情)。 犯罪表现 大多是在用户不知情的情况下(表现为在安装相关软件捆绑安装或上网过程中自动)被安装。 安装程序运行后会产生以下文件: %ProgramFiles%/Common Files/SAN/AdInstall.exe %ProgramFiles%/Common Files/SAN/diskman.exe %ProgramFiles%/Common Files/SAN/svr.dat %ProgramFiles%/Common Files/SAN/updatesr.ini %ProgramFiles%/Common Files/Upd/update.dat %ProgramFiles%/Common Files/Upd/update.exe %ProgramFiles%/qqhelper/index.txt %ProgramFiles%/qqhelper/uninstall.exe %ProgramFiles%/qqhelper/多多QQ表情.exe 并把diskman.exe进程注册为系统服务,随机自动启动。服务名为“Universal Disk Manager”。 该服务的描述是:“监测和监视新的通用磁盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。如果此服务被终止,动态磁盘状态和配置信息会过时。如果此服务被禁用,任何依赖它的服务将无法启动。”(这里是该流氓软件伪装想迷惑我们用户,使我们以为是正常的系统服务。) 我们使用HIJACKJTHIS扫描可以检测到该可疑服务项: O23 - NT 服务: Universal Disk Manager - Unknown owner - C:/Program Files/CommonFiles/SAN/diskman.exe 另外diskman.exe还安插到注册表启动项: [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] "Update"="%ProgramFiles%/Common Files/Upd/update.exe" 用防火墙的用户开机常会提示拦截该项目的启动。。 清除办法 1)运行%ProgramFiles%/qqhelper/uninstall.exe可以卸载“多多QQ表情”,但也只是删除了这三个文件: %ProgramFiles%/qqhelper/index.txt %ProgramFiles%/qqhelper/uninstall.exe %ProgramFiles%/qqhelper/多多QQ表情.exe 2)右击任务栏的空白处,点选“任务管理器”或按Ctrl+Alt+Del键。结束“diskman.exe”进程 [attachment=14607] 3)开始菜单→运行services.msc自动打开系统服务配置界面,把Universal Disk Manager服务设置为禁止。 4)删除系统Program Files/Common Files/SAN目录和Program Files/Common Files/Upd目录。 5)运行SRE→启动项目→注册表→点选 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] "Update"="%ProgramFiles%/Common Files/Upd/update.exe"修复。。 6)我的电脑→“设备管理器”→“查看”菜单→选中“显示隐藏的设备”→在显示区内多出一项“非即插即用驱动程序”,找到“Universal Disk Manager”,右键选择“卸载”,运行regedit打开注册表,编辑→查找“Universal Disk Manager”找到一个删除一个。。或者直接展开到[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services目录下,找到Universal Disk Manager键项,彻底删除。展开到[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/目录下找到LEGACY_Universal Disk Manager彻底删除。。 7)如果你没有动手能力,或觉得烦琐。你可以下载最新版的“流氓软件清理助手”,重新启动按F8到安全模式下用“流氓软件清理助手”来自动清理。对于个别无法清理的注册表残余,和一楼删除U88的方法一样,点击你要删除的注册表残余项,右键属性→权限→赋予everyone完全权限 →确定即可删除。 最后需要注意的是流氓软件也在不断的升级,最近多多QQ表情又出现了新变种: %ProgramFiles%/Common Files/SAN/diskman.exe →升级为%ProgramFiles%/Common Files/SAND/client.exe。 服务也出现了新服务名:[QQFace / QQFace] 以下是SRE扫描到的变化的新服务项: [QQFace / QQFace] <C:/Program Files/Common Files/SAND/qqfacerclient.exe> 但换汤不换药,具体清理办法还是一样的。只是进程名不一样罢了。 |
|
|
版权声明:本文标题:近期常见流氓广告软件、病毒插件宣判清除大会! 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1729725748a1211369.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论