清除Ntdll32.dll木马病毒
(根据安全论坛有关文章[有删节]和本人经历及实际操作编辑而成)
最近可能是在某个网站下载了QQ程序吧,结果金山毒霸显示x: windows\system32\Ntdll32.dll感染了Win32.troj.agent.s.412671病毒,却无法删除;就算在安全模式下进入注册表想删除相关项也不行。该木马病毒运行后,向系统添加一个名为Internet Connection Manager(管理Internet网络连接)的自启动系统服务(用于实现远程监控),源文件为c:\windows\system32\internet.exe,并向ie浏览器添加了一个名为IEHELPER.DLL的插件,以上就是这个程序的最终目的。到此为止,这都只是个很普通的木马程序做的事情,剩下的就是它为了保证这两项能在系统中常驻所花的心思了,而它厉害的地方也在于此。
程序运行时,在x:\windows\system32\driver文件夹下添加一个名为mspcidrv.sys的系统驱动,向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下添加NTDLL32.DLL项(注意,这个大有用处)
同时也向HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects下添加了该项(启动浏览器时自动激活NTDLL32.DLL)向HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加了两处启动项,分别都指向c:\windows\system32.internet.exe,驱动mspcidrv.sys加载后会改写三个系统服务描述表项,分别为NtDeleteKey、NtDeleteValueKey、NtSetValueKey,并HOOK,使得针对那两个最终目的的注册表项的删除注册表项、删除注册表键值、更改注册表键值这三个操作就失去作用了,这是为了保护Internet Connection Manager系统服务和IEHELPER.DLL插件的注册表项不会被清除。而HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下的这个NTDLL32.DLL项,这就是实现内存恢复的关键。实际上这个是一个插入系统进程的DLL文件,在程序启动时,它就作为一个系统线程插入explorer进程,并对注册表项进行监视,它分别检测上述两个最终目的的两处注册表项,发现它们被删除就立刻重写, 这一招的作用是,在驱动还在的情况下,如果注册表项被删除(通过某些工具软件如:Rootkit Unhooker),就立刻重写,保证两个最终功能的完整是因为这个线程自己本身也是要靠驱动保护的,所以在驱动失效,而它自己的注册表项又已被清除的情况下,它也只能维持在驱动被清除之前的那一次进程插入,以保证下次开机时两个最终目的启动项的完整。
清除方法:先在OKTE(这个最后附加介绍)或Google搜索栏搜索下载Rootkit Unhooker并安装,进入Windows任务管理器(同时按ctrl+alt+del)结束explorer进程,然后同样在任务管理器 “文件\新建任务”选中并运行你安装的Rootkit Unhooker程序,将mspcidrv.sys所挂钩的服务移出,之后在任务管理器 “文件\新建任务”选中运行注册表编辑器regedit,分别搜索并删除(现在可以删了)与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。重启机器后就OK了,当然你还可以进入x: windows\system32\删除病毒残留internet.exe 、mspcidrv.sys、Ntdll32.dll和IEHELPER.DLL文件。
附介绍:如果您了解OKTE或下载有OKTE超级搜索工具条您就不必看了
如果您目前还不知道OKTE,那么请您务必用几分钟时间来了解这个可以改变您一生的OKTE超级搜索引擎!
• 您可能知道,为什么搜狐、google等搜索公司能获得巨大的成功,是因为除了数十万公司和无数网站的加盟费外,还能获得巨额的广告收益。每个人在上网的过程中,不知不觉每个月都会为互联网创造了几十甚至数百元的广告收益,正常这些收益都会进入各网站负责人的口袋,而我们推出的OKTE财富分红计划就是将您在OKTE产生的广告收益的大部分按贡献 大**均发个大家,而这个过程就会为您带来巨大收益。此外,从2007年3月1日起,您还可以享受至少数万企业加盟费的分红。
• 参加OKTE财富分红计划就是这样简单,您不用花费一分钱,您在推荐给朋友体验OKTE超级搜索工具条带来的便利时,每月还可以获得分红,真是一举两得。
Http://okte.cn/user.asp?n=alphaaa
• 推荐用户成功后,您的下线将会成为您的永久下线,奖励终身有效!即使您以后不做OKTE了,只要您有足够的下线,您的 钻石等级就会源源不断的增加,钻石等级增加后就可以每月获得更多分红!
• 钻石等级每月不清零,也就是说您可以永久参与我们的分红,钻石等级终身有效。
Http://okte.cn/user.asp?n=alphaaa
•您还可能对“上线”、“下线”等词语深恶痛绝,其实这是误解。直销是一种非常先进的销售模式,只是传销企业销售质次价高的伪劣产品(这是直销与传销的根本区别之一)才搞臭了这锅汤,目前,国内取得直销经营许可权的像安利、雅芳等企业就是采取这种经营模式。
•您若想抢得先机,就不要失之交臂,何等数年后追悔莫及!
Http://okte.cn/user.asp?n=alphaaa
机会是留给有准备、有悟性的大脑,而成功永远是留给走在行业前列的人!
