internet.exe病毒

tVersion\\ tVersion\\ tVersion\\

說明

internet - internet.exe - 進程信息
進程檔案: internet 或者 internet.exe
進程名稱: MAGICCALL virus

描述:

internet.exe是MAGICCALL病毒相關進程。
就算在安全模式下進入註冊表想刪除相關項也不行。該木馬病毒運行後,向系統添加一個名為Internet Connection Manager(管理Internet網路連線)的自啟動系統服務(用於實現遠程監控),源檔案為c:\windows\system32\internet.exe,並向ie瀏覽器添加了一個名為IEHELPER.DLL的外掛程式,以上就是這個程式的最終目的。
病毒運行時:
1、x:\windows\system32\driver資料夾下添加一個名為mspcidrv.sys的系統驅動,
2、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs下添加NTDLL32.DLL項(注意,這個大有用處)
3、HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects下添加了該項(啟動瀏覽器時自動激活NTDLL32.DLL)
4、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加了兩處啟動項,分別都指向c:\windows\system32.internet.exe,
5、驅動mspcidrv.sys載入後會改寫三個系統服務描述表項,分別為NtDeleteKey、NtDeleteValueKey、NtSetValueKey,並HOOK,使得針對那兩個最終目的的註冊表項的刪除註冊表項、刪除註冊表鍵值、更改註冊表鍵值這三個操作就失去作用了,這是為了保護Internet Connection Manager系統服務和IEHELPER.DLL外掛程式的註冊表項不會被清除。
4、而HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下的這個NTDLL32.DLL項,這就是實現記憶體恢復的關鍵。實際上這個是一個插入系統進程的DLL檔案,在程式啟動時,它就作為一個系統執行緒插入explorer進程,並對註冊表項進行監視,它分別檢測上述兩個最終目的的兩處註冊表項,發現它們被刪除就立刻重寫, 這一招的作用是,在驅動還在的情況下,如果註冊表項被刪除(通過某些工具軟體如:Rootkit Unhooker),就立刻重寫,保證兩個最終功能的完整是因為這個執行緒自己本身也是要靠驅動保護的,所以在驅動失效,而它自己的註冊表項又已被清除的情況下,它也只能維持在驅動被清除之前的那一次進程插入,以保證下次開機時兩個最終目的啟動項的完整。

清除方法:

1、搜尋下載Rootkit Unhooker並安裝。
2、進入Windows任務管理器(同時按ctrl+alt+del)結束explorer進程,然後同樣在任務管理器 “檔案\新建任務”選中並運行你安裝的Rootkit Unhooker程式,將mspcidrv.sys所掛鈎的服務移出,即上面提到的NtDeleteKey、NtDeleteValueKey、NtSetValueKey三項服務。
3、任務管理器 “檔案\新建任務”選中運行註冊表編輯器regedit,分別搜尋並刪除(現在可以刪了)與internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相關的所有項目。
4、任務管理器 “檔案\新建任務”“msconfig”,“服務”選項中停用Internet Connection Manager系統服務。“啟動”選項中去掉跟internet.exe相關的啟動項。
5、重啟機器,進入windows\system32\刪除病毒殘留internet.exe 、Ntdll32.dll、IEHELPER.DLL檔案和system32\drivers\目錄下的mspcidrv.sys。完成!

相關詞條

相關搜尋

熱門詞條

聯絡我們