最近的伪SOUNDMAN等一些病毒
依然会有去年的木马下载器的行为,下载大量的木马
有IEFO劫持
而且会在注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><sehhter.dll,fhjfg.dll,msosmnsf00.dll,msoscqit00.dll> [N/A]
加载,而且甚至加载非常多的DLL文件,给手工删除带来相当大的麻烦
比如
<AppInit_DLLs><ghynjr.dll,dgxsrr.dll,dfhtrhy.dll,ghjkdr.dll,sefawe.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gjjte.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,dgxsrr.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,ghjdtry.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,rgfjj.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,fdght.dll,,msosmnsf00.dll,msoscqit00.dll> [N/A]
我发现有一种相对简单点的方法:
准备好工具:Windows清理助手
.360安全卫士,XDELBOX,SRENG就可以了
然后断网处理
用下载arswp(Windows清理助手)清理下..
http://www.arswp.com/download/arswp/arswp.rar这个可以清理一些木马群
然后用XDELBOX删除非常顽固的
C:\WINDOWS\system32\msosdohs00.dll
C:\WINDOWS\system32\msosping00.dll
C:\WINDOWS\system32\msosfmsq00.dll
C:\WINDOWS\system32\msosmnsf00.dll
C:\WINDOWS\system32\msoscqit00.dll
C:\WINDOWS\system32\drivers\msosmsfpfis64.sys(这个驱动也不要放过,有可能还有类似的)
等写入到注册表AppInit_DLLs的DLL文件
也见过写到Winsock 提供者的
ghynjr.dll,dgxsrr.dll,dfhtrhy.dll,ghjkdr.dll,sefawe.dll,frntrn.dll,qrhhb.dll...这些先不用管
删除以后,那么就可以用360了,用360清理恶意插件和木马,就可以编辑
AppInit_DLLs为空
清理临时文件夹
并删除c:\windows\win.ini
中如图的内容
PS:这个跟猫叔写的那个分析
http://forum.ikaka.com/topic.asp?board=28&artid=8442120差不多
,只是利用清理助手和360安全卫士简化一些操作而已。
而且发现最近的一些木马下载器,经常有
C:\WINDOWS\system32\msosdohs00.dll
C:\WINDOWS\system32\msosping00.dll
C:\WINDOWS\system32\msosfmsq00.dll
C:\WINDOWS\system32\msosmnsf00.dll
C:\WINDOWS\system32\msoscqit00.dll
C:\WINDOWS\system32\drivers\msosmsfpfis64.sys
这几个东西
有相似的地方
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
