故障原因:
从网上下载了一个FAR HTML软件,运行注册机染毒(声明:运行之前已经对注册机扫描,Nod32和木马克星未报毒);
症状:
打开IE后,每间隔一段时间,随机打开一个网页:
http://www.dabao1.cn/adv.htm
IE无法打开?http://008.wangwang1.cn/bbs/fx.htm
等各类随机网页,打开的网站本身也是挂马的网站,Nod32会报警并自动关闭进程。
木马修改系统:
增加了系统驱动:
Protector c:\windows\system32\drivers\protector.sys
ProtectorA c:\windows\system32\drivers\protectora.sys
ie浏览器不断弹出、篡改系统服务:
Messager C:\WINDOWS\SYSTEM32\msgsvc.dll ,替换了操作系统原有的文件,换成了木马文件,并且修改服务为自动启动,其他诸如Remote Register等各类服务,都被修改为自动启动;注意,这个木马DLL和原始的DLL居然MD5相同,但用Hex32打开,对比原始文件存在不同,强的很。
解决过程:
1、使用autorun.exe删除Protector 和 ProtectorA 服务。如果对应的.sys文件删除不了,使用WinPE启动系统,手工删除即可;检查启动组,服务等各种自启动项是否有异常,如果有,直接删除异常条目,并记录目标文件,以便稍后用WInPE删除。例如,木马可能生成一个自启动项“QQ升级服务”,“MSN升级服务”,并链接到C:\Windows\xxx.exe的一个文件,或者其他什么文件。
2、进入WinPE,删除C:\WINDOWS\SYSTEM32\msgsvc.dll ,删除各种Temp文件夹的文件及子文件夹,包括所有的IE缓存及设置
C:\Documents and Settings\用户名\Local Settings\Temp
ie java不弹窗、C:\Documents and Settings\用户名\IETXXXCache\ (XXX可能是你安装了的组件的名称,或者其他什么,都可以删除,重新启动系统后会重建,但你的个人设置数据会丢失)
3、重启系统进入安全模式,运行sfc/scannow,并准备好原始的WInxp xp2安装盘,恢复被篡改的服务。
4、重新启动系统,进入正常模式,下载http://download.microsoft.com/download/0/9/F/09F12296-8FE7-41AD-AED7-F613AD30C9F3/MicrosoftFixit50198.msi
这个是微软发布的IE Fix Tool,会修复IE的注册表以及IE的各种注册文件,检查IE的DLL文件版本,修复主页等等;
5、把那些木马网站加入host屏蔽中;
6、重新启动系统;木马清理完成;
ie一直自动弹出网页。
其他问题:
虽然木马删除了,但修复后的IE可能一些功能不好用了,例如网上银行安全验证控件不好用了,这时你只需要重新安装网银的ActiveX控件即可。
