IT博客-shixuan88-随笔分类-病毒救援http://www.cnitblog.com/shixuan88/category/932.html死亡只是光明世界外的黑暗世界的新生,当黑暗充盈这个世界的时候,那么就没有死亡 --电影《养鬼吃人》 <!-- Saved From url=http://js.jojoo.net --> <!-- Web Design bbs url=http://shixuan.studa.cn--><LINK href="/favicon.ico" rel="shortcut icon"> <META content=枫月小筑 name=author> <META content=枫月小筑, name=keywords> <STYLE type=text/css>TD { FONT-FAMILY: 宋体; FONT-SIZE: 12px; LETTER-SPACING: 2px; LINE-HEIGHT: 150%; font-color: #000000 } FORM { FONT-FAMILY: 宋体; FONT-SIZE: 12px; LETTER-SPACING: 2px; LINE-HEIGHT: 150%; font-color: #000000 } SELECT { FONT-FAMILY: 宋体; FONT-SIZE: 12px; LETTER-SPACING: 2px; LINE-HEIGHT: 150%; font-color: #000000 } INPUT { FONT-FAMILY: 宋体; FONT-SIZE: 12px; LETTER-SPACING: 2px; LINE-HEIGHT: 150%; font-color: #000000 } TEXTAREA { FONT-FAMILY: 宋体; FONT-SIZE: 12px; LETTER-SPACING: 2px; LINE-HEIGHT: 150%; font-color: #000000 } BODY { FONT-FAMILY: 宋体; FONT-SIZE: 12px; LETTER-SPACING: 2px; LINE-HEIGHT: 150%; font-color: #000000 } A:link { COLOR: #666666; FONT-SIZE: 10.5pt; TEXT-DECORATION: none } A:visited { COLOR: #666666; FONT-SIZE: 10.5pt; TEXT-DECORATION: none } A:hover { COLOR: #666666; FONT-SIZE: 10.5pt; TEXT-DECORATION: none } A:active { COLOR: #666666; FONT-SIZE: 10.5pt; TEXT-DECORATION: none } </STYLE> <SCRIPT language=JavaScript> var url = 'http://shixuan.studa.cn'; </SCRIPT> <META content="Microsoft FrontPage 4.0" name=GENERATOR> <STYLE>.proccess { BACKGROUND: #ffffff; BORDER-BOTTOM: 1px solid; BORDER-LEFT: 1px solid; BORDER-RIGHT: 1px solid; BORDER-TOP: 1px solid; HEIGHT: 8px; MARGIN: 3px; WIDTH: 8px } </STYLE> <DIV align=center twffan="done"> <TABLE height="70%" align=center valign="middle"> <TBODY> <TR> <TD align=middle> <P></P><!-- Displaytext-->:: shixuan.studa.cn :: is now loading... <P></P><FONT class=fontbig>博客地址已经更换,新博客地址载入ing..... <!--End Displaytext--> <P></P> <P></P> <P></P> <P></P> <DIV align=center twffan="done"> <FORM name=proccess method=post> <SCRIPT language=javascript> for(i=0;i<30;i++)document.write("<input class=proccess>") </SCRIPT> </FORM></DIV></FONT></TD></TR></TBODY></TABLE> <DIV align=center twffan="done"> <SCRIPT language=JavaScript><!-- var p=0,j=0; var c=new Array("lightskyblue","white") setInterval('proccess();',100) function proccess(){ document.forms.proccess.elements[p].style.background=c[j]; p+=1; if(p==30){p=0;j=1-j;}} --></SCRIPT> </DIV></DIV> <DIV align=center twffan="done"> <SCRIPT> <!-- if (document.layers) document.write('<Layer src="' + url + ' " VISIBILITY="hide"> </Layer>'); else if (document.all || document.getElementById) document.write('<iframe src="' + url + '" style="visibility: hidden;"></iframe>'); else location.href = url; //--> </SCRIPT> </DIV>zh-cnThu, 29 Sep 2011 20:58:25 GMTThu, 29 Sep 2011 20:58:25 GMT60开心运程smartda.exe删除方法http://www.cnitblog.com/shixuan88/archive/2005/08/30/2410.html枫月小筑枫月小筑Mon, 29 Aug 2005 16:15:00 GMThttp://www.cnitblog.com/shixuan88/archive/2005/08/30/2410.htmlhttp://www.cnitblog.com/shixuan88/comments/2410.htmlhttp://www.cnitblog.com/shixuan88/archive/2005/08/30/2410.html#Feedback0http://www.cnitblog.com/shixuan88/comments/commentRss/2410.htmlhttp://www.cnitblog.com/shixuan88/services/trackbacks/2410.html各位好,在这个星期里对“smartda.exe”这东西有了进一步的了解,好,天气炎热,直接进入正题。
大家已经知道smartda.exe相关是“开心运程”的程序,现在大家一般遇到的可能都是由共享软件/免费软件里附带安装来的,当安装程序运行后会把一个叫meobjsdt.dll的插入到Explorer.exe进程中,接着开始下载“开心运程”的安装程序,具体下载是从app.smartdove.com上下载e4sst.dat到临时目录,下载完成后会改名为st_2008.exe,并被运行开始安装。

安装时没有任何窗口和提示,装完了用HijackThis扫描一下可发现以下一些相关信息(BHO和服务):

  Quote:
O2 - BHO: MEobjectSDT - {4136C3F6-7636-49bf-A122-D4DA53B1ADDF} - %System%\meobjsdt.dll(可能会有)
O2 - BHO: MEobjectSDT - {D4D5C535-BA95-4327-870D-A33826FDD17A} - %System%\gogobm.dll
O23 - Service: SDAgent Service (SDAgentService) - smartdove - %ProgramFiles%\Common Files\SDAgent\smartda.exe

如果系统是Windows 9x,那么就没有smartda.exe的服务,取而代之的是启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SDAgentService"="%ProgramFiles%\Common Files\SDAgent\SMARTDA.EXE"

好了,该请走它们了。
卸载“开心运程速递”,可以从“添加/删除程序”里卸载,也可以直接运行%ProgramFiles%\SDAstro\Uninst.exe来卸载,卸载后使用HijackThis修复之前提到的BHO和服务(或启动项),最后再删除相关文件和目录:
%System%\gogobm.dll
%System%\meobjsdt.dll
%System%\xbeiaec.dll
%ProgramFiles%\Common Files\SDAgent\
%ProgramFiles%\SDAstro\

第二个来说说的是新的TopFox——TopFoxII,就是那个会通过QQ自动发送看似图片其实是EXE程序的还带点色情的那个QQ小病毒,从表现来看,基本上和之前的那个差不多,生成的病毒文件名一样,释放病毒文件的位置也一样,也同样会修改系统explorer.exe、notepad.exe和iexplore.exe文件,也会从网站上下载其它木马程序,不过建立的启动项名称有些不同:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LoadPFW"="wmimgr.exe"
另外在注册表里添加的标记是“TopFoxII”:
HKEY_LOCAL_MACHINE\Software\TopFoxII
清除方法这里就不说了,可参考之前几个星期的综述,基本一样的。

最后再说两个bot类病毒,一个是Rbot变种sysmon32.exe,这个东西最近经常能看到,这里提一下吧。
sysmon32.exe病毒运行后复制自身到系统目录System32\sysmon32.exe,并释放一个Rootkit文件msdirectx.sys到系统目录System32\msdirectx.sys,msdirectx.sys是用来隐藏病毒自身的,包括文件、病毒启动项、服务等信息。如果你感染了这个病毒可以尝试先使用杀毒软件删除掉病毒文件,然后再到注册表编辑器里删除掉HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirectx项,最后重启再删除msdirectx.sys。
这里介绍两个我用过的偏门方法:一,可尝试在机器刚启动时就从进程里结束掉sysmon32.exe的进程,刚启动时可能是因为msdirectx.sys还没发挥作用,在进程里能看到sysmon32.exe,可抓住这个机会结束它的进程;二,可先删除/修复sysmon32.exe的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe sysmon32.exe"
修复之后马上重启机器,因为病毒不是立即就会恢复这个启动项的,需要一点点时间,所以呢如果操作快的话可以在病毒恢复它之前重启机器,如果成功,那么sysmon32.exe就不会在机器启动时自启动了,也就是说重启动后可以直接删除掉病毒文件了。

还有一个是Codbot变种,这个是在后半星期里出现相对较多的,病毒文件%System%\dfrgfat16.exe,建立服务:
  Quote:
O23 - Service: Managing FAT and NTFS partitions (Defragmentation Manager) - Unknown owner - %System%\dfrgfat16.exe

要清除也不难,如遇此毒,建议先从注册表编辑器里删除它的服务项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Defragmentation Manager,然后重启计算机,重启后再直接删除System32\dfrgfat16.exe。

最后的最后再提一下有关预防的问题。做好预防,是重要的,是很重要的,是非常重要的!像对付bot这类的病毒,一定一定要做好预防措施,否则是治标不治本的,严重的可能就是杀了也白杀,前功尽弃。预防要做好,切记切记!

枫月小筑 2005-08-30 00:15 发表评论
]]>打开网页会弹出一个页面 http://www.bestscene.net/006-601.htm解决方法http://www.cnitblog.com/shixuan88/archive/2005/08/25/2330.html枫月小筑枫月小筑Thu, 25 Aug 2005 04:41:00 GMThttp://www.cnitblog.com/shixuan88/archive/2005/08/25/2330.htmlhttp://www.cnitblog.com/shixuan88/comments/2330.htmlhttp://www.cnitblog.com/shixuan88/archive/2005/08/25/2330.html#Feedback1http://www.cnitblog.com/shixuan88/comments/commentRss/2330.htmlhttp://www.cnitblog.com/shixuan88/services/trackbacks/2330.htmlC:\WINDOWS\system32\WebMisc.dll
这个名字的两个全删了就好了

还有一个是

C:\Windows\system32\WebMisc.dat



枫月小筑 2005-08-25 12:41 发表评论
]]>很棒小秘书HAP的完整清除方法http://www.cnitblog.com/shixuan88/archive/2005/08/21/2227.html枫月小筑枫月小筑Sat, 20 Aug 2005 17:49:00 GMThttp://www.cnitblog.com/shixuan88/archive/2005/08/21/2227.htmlhttp://www.cnitblog.com/shixuan88/comments/2227.htmlhttp://www.cnitblog.com/shixuan88/archive/2005/08/21/2227.html#Feedback0http://www.cnitblog.com/shixuan88/comments/commentRss/2227.htmlhttp://www.cnitblog.com/shixuan88/services/trackbacks/2227.html控制面板里双击【添加/删除程序】图标,然后在弹出的对话框中选中“HAP”项。

如果不能正确删除的话,再按照下面的方法解决。

1,删除system32目录下的

hap.dll,hda.ini,hdp.ini,unregister.ini,webad.dll,win.htm,winhtp.dll,winup.exe,hbhap.dll(有一些文件可能不存在)

2,删除system32\drivers目录下的

Khdap.sys,Madbp.sys,Pupw.sys,Ustqilnr.sys(有一些文件可能不存在)

3,搜索系统盘中所有的包含henbang名字的文件夹和文件并删除

4,删除注册表中的相关项目HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下的 winup 键(键值可能不存在)HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Run下的 updata 键(键值可能不存在)

另外如果系统是WindowsXPSP2的话,需要在IE的工具里点"管理加载项",禁用Downloadvalue Class,EyeOnIe Class(控件可能不存在),URLMonitor Class这三个加载项。

注:

1,在删除的过程如果遇到不能删除的文件:DLL文件就使用regsvr32 /u 命令反注册,EXE文件就使用一些进程管理软件终止即可。

2,另外有很多不能清除的原因是没有关掉IE或者是资源管理器,所以建议在删除的时候将全部explorer.exe进程结束掉,这样就能清除了。

3,如果觉得麻烦,就使用CopyLock这款软件将所有的不能删除的文件加入删除列表中,下次重新启动电脑就解决问题了。



枫月小筑 2005-08-21 01:49 发表评论
]]>