我的电脑最近发现不定期的IE首页被修改为5566dh,wz123,v2233等网址,而且Win+E键无效,用过很多木马和病毒清除软件报告系统没有木马,在网上搜索发现很多人都中有类似的烦恼,没有人查出木马的踪迹。
最后一气之下,自己动手来对付这个木马吧,经过一天的战斗,终于被我找到了,成功清楚了木马。
这个木马就是mshtmldx.dll和mshtmldy.dll!藏在system32目录下面,通过资源管理器加载,也就是在explorer.exe中,把该木马文件删除之后,系终于恢复正常,速度变快了,而且Win+E也可以用了,松了一口气。
下面简单说一下捕捉过程:使用Procmon.exe工具监视IE首页注册表StartPage项,然后改机器时间,终于木马有动作了,对IE首页下手了,但也就被Procmon.exe给截获了,发现名字为Explorer.exe,不用说,肯定是通过comdll的方式被自动加载了。然后使用procexp.exe工具列举Explorer.exe进程,并且对dll/exe进行签名检查,发现有一些未被签名的dll,其中就有mshtmldy.dll文件,但通过查看版本,发现是Microsoft的,版本信息做的太完美了,让我一开始都没有怀疑它,逐个检查每个dll,都觉得没有任何可疑的。最后我觉得肯定木马截持了Win+E按键,所以就再使用Regmon.exe工具设置explorer.exe为filter,然后按Win+E键,查看注册表,又发现了资源管理器又了mshtmldy.dll,而且热键操作被mshtmldy.dll处理了。既然这样,它就最可疑了,删除相关的注册表和mshtmldy.dll。未重电脑,再按Win+E,居然可以打开资源管理了,哈哈。。。真是功夫不负有心人,终于逮到你了。经过分析,它会下载文件到\Windows\tmpus目录下面几个文件,127827.exe,setup1.exe,setup2.exe,对文件进行了分析发现有UPX壳,用工具脱了它,用editplus打开,看到居然出现UUSEE的字样,难怪大家都在骂UUSEE是流氓,果然是太过分了。删除这些文件,然后重启机器,一切都恢复了正常,木马也在没有发作,应该是被清除掉了。
特发此贴,让中此招的朋友检查一下自己的电脑,是不是和我一样症状,为受UUSEE害的朋友解除烦恼。
和木马斗争过程比较复杂,写的比较简单。有朋友有疑问,我可以再详细说明。
相关视频
相关阅读 围攻Besiege提示intersecting ground解决方法 围攻intersecting 围攻besiege联机教程 围攻besiege怎么联机Damnview Built From Nothing什么时候出 Damnview从零做起发售时不知不觉三周年过去了,一起来看看大数据统计吧!经常和队友挥手微博经常访问怎么删除the destiny star of girlfriend中文攻略 the destiny star of gOrigin Access Premier什么时候出 Origin Access Premier上线时间Origin Access Premier多少钱 Origin Access Premier价格一览
热门文章 没有查询到任何记录。
最新文章
怎样用电脑的浏览器访
电脑上wap网教程电脑网页变成手机版怎么办?华为U8818手机全局背景透明教程任务管理器显示不全解决方法
人气排行 电脑网页变成手机版怎么办?教你批处理命令ren的高级用法电脑连接是总是不能获取IP地址怎么办任务管理器显示不全解决方法不用路由器怎么上wifi网XP系统怎么设置文件的可写权限啊IE浏览器开启默认最大化全屏的设置方法本地文件加密方法
查看所有1条评论>>