逐梦论坛's Archiver

shillan 发表于 2006-10-25 23:58

MyIeHelper的删除方法

[color=blue]特征:[/color]该木马病毒会感染所有windows操作系统,中了该病毒后,会在c:\windows\system32下面生成一个upswnzd11.exe文件,删除该文件后重启电脑又会重新创建。该病毒会向各个随机指定的广告网站发出http请求,主动打开ie浏览器并链接到这些广告站点。其中链接的广告站点有:(为防止访问,将http改为xhttp)

xhttp://www.maohehe.com/web/47.html
xhttp://www.tuniu.com/promotion/4.html
xhttp://mini.koook.com/marketing/new/new.shtml
xhttp://www.1717kan.cn/tongji.asp
xhttp://www.58.com/hu.html

该病毒还利用ie浏览器的漏洞,链接到update.smartallyes.com网站下载代码文件,进行自我更新,可引起ie崩溃。

病毒修改注册表文件
修改hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon\userinit值为"c:\windows\system32\userinit.exe,c:\windows\system32\upswnzd11.exe"

该病毒在c:\documents and settings\all users\application data\microsoft\iehelper下生成iehelper.dll或iehelper_[数字].dll文件,并在c:\windows\temp目录下产生以下文件:
%temp%\__djiekfhkd
%temp%\__djiekfhkda
%temp%\_inifid
%temp%\_inifid.txt
%temp%\_inifiletime
%temp%\_inifiletime.txt
%temp%\_inimac
%temp%\_inimac.txt
%temp%\_inireg
%temp%\_inireg.txt

并创建修改注册表文件项:
hkey_classes_root\clsid\{16a770a0-0e87-4278-b748-2460d64a8386}
hkey_classes_root\interface\{a4bc2506-c00c-4d2e-b47f-0bb4c2c74ccf}
hkey_classes_root\typelib\{2511de40-34a3-4c6a-b1b2-c5c92a2f00be}
hkey_classes_root\iehelper.myiehelper
hkey_classes_root\iehelper.myiehelper.1
hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects\{16a770a0-0e87-4278-b748-2460d64a8386}
hkey_current_user\software\microsoft\windows\currentversion\ext
\stats\{16a770a0-0e87-4278-b748-2460d64a8386}

[color=red]清除方法:[/color]

一、myiehelper专杀工具:[img]http://www.zhumeng.org/attachments/fileType/rar.gif[/img]此主题相关文件 [url=http://www.zhumeng.org/attachments/2006/10/25/235714.rar]235714.rar[/url]

二、手动清除:
1.关闭windows系统还原功能,升级杀毒软件病毒库。打开windows任务管理器,找到upswnzd11.exe,结束该进程。

2.进入电脑安全模式。
删除c:\windows\system32\upswnzd11.exe文件
删除c:\documents and settings\all users\application data\microsoft\iehelper\iehelper*.dll文件
删除c:\windows\temp\里所有临时文件

3.编辑注册表。
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon\userinit,将值修改为c:\windows\system32\userinit.exe

删除以下表项(斜体部分):
hkey_classes_root\clsid\{16a770a0-0e87-4278-b748-2460d64a8386}
hkey_classes_root\interface\{a4bc2506-c00c-4d2e-b47f-0bb4c2c74ccf}
hkey_classes_root\typelib\{2511de40-34a3-4c6a-b1b2-c5c92a2f00be}
hkey_classes_root\iehelper.myiehelper
hkey_classes_root\iehelper.myiehelper.1
hkey_local_machine\software\microsoft\windows\currentversion\explorer\browser helper objects\{16a770a0-0e87-4278-b748-2460d64a8386}
hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{16a770a0-0e87-4278-b748-2460d64a8386}

4.运行杀毒软件全面查杀系统。

一冬之河 发表于 2006-10-30 16:49

高手[EM16]

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.