清除“XP星号密码查看器”的病毒
今天,杀毒软件提示进程(explorer.exe)修改IE默认主页为http://06000.cn/alei.htm(或http://www.2345.com/?294),这应该是恶意DLL文件注入到explorer.exe进程中了。通过SREng发现进程(explorer.exe)的muerqs.dll模块比较可疑,到网上一搜,没有相关信息,查看muerqs.dll的源文件名是MSHTMLDE.DLL,再到网上一搜,相关信息就多了,可以肯定是因为装了“XP星号密码查看器 9.17”才被恶意安装这个插件的。再把muerqs.dll上传到http://virscan.org网站扫描下病毒,杀毒软件a-squared检测出病毒“Virus.Win32.VB.QK!IK”(点击查看详细报告),这下子几乎肯定muerqs.dll就是MSHTMLDE.DLL新版了。
清除恶意插件muerqs.dll的步骤:
(1)开始-运行:cmd,进入命令提示行。
(2)执行:taskkill /f /im explorer.exe,终止进程explorer.exe。
(3)执行:regsvr32 /u c:\windows\system32\muerqs.dll,卸载muerqs.dll。
(4)执行:del c:\windows\system32\muerqs.dll,删除muerqs.dll。
(5)执行:explorer,运行explorer.exe。
“XP星号密码查看器 9.17”,我是从天空软件站下载的,天空软件站还提示是“无插件绿色软件”,没想到这个软件不但自动安装百度工具栏,而且还偷偷安装这个不定时更改IE默认主页的恶意插件(病毒?木马?),对天空软件站非常失望。建议大家到提供绿色软件的网站,下载星号密码查看的软件。
从网上的资料看,这个恶意插件以前版本的文件可能是:mshtmleh.dll,mshtmlte.dll,mgmxts.dll,mshtmlde.dll,而mshtmled.dll和mshtmler.dll则为微软的文件。也可能会把IE的默认主页修改为:http://00333.cn/alei.htm。
你好,这个问题困扰了我很久了,网上的说法都是去system32或注册表下找mshtmleh.dll,mshtmlte.dll,mgmxts.dll,mshtmlde.dll。但这些我的都没有。muerqs.dll这个我也没有,也不知变成了哪个。可我从Process Explorer里面看explorer.exe的相关dll,也没找到特别明显的可疑dll,郁闷,这个病毒每周一周四改主页……
首先,你不一定中得是这种病毒,所以不一样。
其次,DLL模块可能不是注入到explorer.exe中。
最大的可能,就是你没查清楚,可疑的模块你没发现。
你用SREng仔细检查下,病毒激活不止DLL注入一种模式,你也可以把SREng的日志发上来给我看看。
下面是SREng的日志,麻烦看下哈,O(∩_∩)O谢谢:
[PID: 960 / Ryan][C:\Windows\Explorer.EXE] [(Verified) Microsoft Corporation, 6.0.6000.16386 (vista_rtm.061101-2205)]
[C:\Program Files\Common Files\TortoiseOverlays\TortoiseOverlays.dll] [http://tortoisesvn.net, 1, 0, 4, 11886]
[C:\Program Files\TortoiseSVN\bin\TortoiseStub.dll] [http://tortoisesvn.net, 1, 5, 8, 15348]
[C:\Program Files\TortoiseSVN\bin\TortoiseSVN.dll] [http://tortoisesvn.net, 1, 5, 8, 15348]
[C:\Program Files\TortoiseSVN\bin\libapr_tsvn.dll] [Apache Software Foundation, 1.2.12]
[C:\Program Files\TortoiseSVN\bin\libaprutil_tsvn.dll] [Apache Software Foundation, 1.2.12]
[C:\Program Files\TortoiseSVN\bin\intl3_tsvn.dll] [Free Software Foundation, 0.14.4]
[C:\Windows\system32\ATL71.DLL] [Microsoft Corporation, 7.10.6041.0]
[C:\Windows\system32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]
[C:\Windows\system32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll] [深圳市迅雷网络技术有限公司, 5.9.6.1018]
[C:\Users\Public\Thunder Network\Thunder_E793D02D-7DE3-47BF-95B9-60317F453A15_\Components\ResWorker\DsBho_00.dll] [深圳市迅雷网络技术有限公司, 1, 0, 0, 26]
[C:\Users\Public\Thunder Network\Thunder_E793D02D-7DE3-47BF-95B9-60317F453A15_\Components\ResWorker\DataProcessor_00.dll] [深圳市迅雷网络技术有限公司, 1, 0, 0, 20]
[C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll] [深圳市迅雷网络技术有限公司, 5.9.6.1018]
[C:\Program Files\Unlocker\UnlockerCOM.dll] [N/A, ]
[C:\Windows\system32\msmxtg.dll] [Microsoft Corporation, 6.280.0110]
[C:\Windows\system32\vb6chs.dll] [Microsoft Corporation, 6.00.8988]
[C:\Program Files\Bonjour\mdnsNSP.dll] [Apple Inc., 1,0,6,2]
[C:\Program Files\WinRAR\rarext.dll] [N/A, ]
[C:\Program Files\IDM Computer Solutions\UltraEdit\ue32ctmn.dll] [, 1, 0, 0, 4]
[C:\Windows\system32\YouKuDesktopShell.dll] [www.youku.com, 1.2.7.1700]
[D:\Soft\ESET\shellExt.dll] [ESET, 4.0.447.1 ]
[C:\Program Files\Tudou\iTudou\TudouUpload.dll] [www.Tudou.com, 1.1.0.0]
[C:\Program Files\Adobe\Acrobat 9.0\Acrobat Elements\ContextMenu.dll] [Adobe Systems Inc., 9.1.0.2009022700]
[C:\Windows\WinSxS\x86_microsoft.vc80.mfc_1fc8b3b9a1e18e3b_8.0.50727.4053_none_cbf21254470d8752\MFC80U.DLL] [Microsoft Corporation, 8.00.50727.4053]
[C:\Windows\WinSxS\x86_microsoft.vc80.mfcloc_1fc8b3b9a1e18e3b_8.0.50727.4053_none_03ca5532205cb096\MFC80CHS.DLL] [Microsoft Corporation, 8.00.50727.4053]
[C:\Program Files\Adobe\Acrobat 9.0\Acrobat Elements\ContextMenu.chs] [Adobe Systems Inc., 9.1.0.2009022700]
[C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll] [, 2, 0, 0, 0]
[C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiamCHS.dll] [Advanced Micro Devices, Inc., 6.14.10.2001]
[C:\Windows\system32\icm32.dll] [Microsoft Corporation, 6.0.6000.16386 (vista_rtm.061101-2205)]
[C:\Program Files\UltraISO\isoshell.dll] [EZB Systems, Inc., 1, 0, 0, 2]
———————————
我修改了下,只保留explorer.exe的相关信息。
我的是WIN 7 ,在桌面点右键就会有修改主页行为。
[C:\Windows\system32\msmxtg.dll] [Microsoft Corporation, 6.280.0110]
[C:\Windows\system32\vb6chs.dll] [Microsoft Corporation, 6.00.8988]
应该是msmxtg.dll这个文件,这个恶意插件是VB编的,所以vb6chs.dll会一起加载,这个6.280.0110的版本号也和这个恶意插件一样。
卸载方法也是一样,只不过把muerqs.dll换成msmxtg.dll而已。
另:你上传的SREng日志被WP过滤后不全,你自己再检查下启动项、文件关联、服务……
点击右键触发修改主页行为,那应该也是中了某恶意插件吧。
谢谢!终于找到解决办法了,我分析后的文件是mgqts.dll,上传到http://www.virustotal.com分析,有15个杀软报毒,这下世界应该清静了.
谢谢~果然是msmxtg.dll
我删除了C:\Windows\system32\mshtmleh.dll,但是仍然有这样的现象,下面是我的SReng日志,麻烦帮我看一下,谢谢
[PID: 2360 / zhuzhy][C:\Program Files\Internet Explorer\IEXPLORE.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)][C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll] [Adobe Systems Incorporated, 6.0.1.2003110300]
[C:\WINDOWS\system32\msideb.dll] [Microsoft Corporation, 6.2800.1100]
[C:\WINDOWS\system32\urlFilter.dll] [Beijing Rising Information Technology Co., Ltd., 6, 0, 0, 15]
[C:\Program Files\Rising\AntiSpyware\UrlRule.dll] [Beijing Rising Information Technology Co., Ltd., 1.0.0.15]
[C:\Program Files\GetRight\XX2GR.DLL] [Headlight Software, Inc., 5.1]
———————————–
应该不是这个木马,单单从剩下的扫描日志来看,msideb.dll比较可疑。
删除 msideb.dll 服务及程序,问题终于解决,这下清净了,谢谢!
哈哈,谢谢楼主的分享
我也是因为中了星号密码查看器注入的dll
经过用sreng按照楼主提供的方法查找
发现了一下两个可疑dll
[E:\WINDOWS\system32\kgdsw32.dll] [Microsoft Corporation, 6.280.0110]
[E:\WINDOWS\system32\vb6chs.dll] [Microsoft Corporation, 6.00.8988]
用virscan扫面,果然kgdsw32.dll有20个杀软报毒
看来这个东西升级了,名字随机,只有看版本号才能确定
http://virscan.org/report/af967b75c823cddcd62d53a1f1548bae.htm
vb6chs,dll本身没毒
不知道按照
(1)开始-运行:cmd,进入命令提示行。
(2)执行:taskkill /f /im explorer.exe,终止进程explorer.exe。
(3)执行:regsvr32 /u c:\windows\system32\kgdsw32.dll,卸载kgdsw32.dll。
(4)执行:del c:\windows\system32\kgdsw32.dll,删除kgdsw32.dll。
(5)执行:explorer,运行explorer.exe。
这样的步骤是否能够解决,还有就是我的电脑也是右击会触发,据说是被HOOK了,不知道是否就是这个所为?