精彩来自
由于前几天安装了一个不该安装的软件,什么一艘,播客全都流氓般的入住偶的爱机。等安装完才恍然大悟,安装程序除了流氓软件别的什么都没有,真是中大彩了,我日!随后动用各种武器对付他们:
1 添加删除里面,先用他们自带的删除工具搞了一下,虽然知道不会彻底但还是这部走先
2 木马克星,hijackthis统统上阵,仔细盘查
3 浏览器 插件管理 禁用 莫名的插件
本以为万事大吉,没想到今天用遨游开网页,自动跳出一个, ,正好闲着,仔细研究一下这玩意是什么来头。
先用木马克星拍了一个系统快照,找出受怀疑的dll,其中一个dll映入我的眼帘:C:\Program Files\Common Files\System\mod\msdw.dll。它是rundll32加载的。
再用木马克星搜了一遍系统盘,偶也,找到了。它在 windows系统目录下生成了一个wininit.ini的文件,这是干吗用的?不是好东西,估计是在系统初始化时候执行命令,打开,果然有msdw.dll,还有mstd.dll。另外还查到system32\webm\IRJIT.dll。
重新启动进入98,删掉上述三个文件,再进入系统,发现还有,哈,没那么简单 继续找。
在C:\Program Files\Common Files\System\msdc32.dll是个隐藏文件,到注册表里嗖嗖看。
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run 里面找了罪恶的根源,删掉!!!
再重启进入98,删掉msdc32.dll和mod文件夹,再启动,rundll32提示找不到msdc32.dll,该死的东西竟然再关闭系统的时候再次覆盖了注册表。不过找不到msdc32.dll它就不能有后续的流氓行为了。再删注册表,搞定
总结:再无耻的程序也会有马脚,通过隐蔽的加载dll常驻内存然后通过判断窗口是否有浏览器,然后从某网站下载广告地址,随机打开广告地址。通过检查C:\Program Files\Common Files\System\mod\就能知道是否有此流氓了
清除方法:安全模式删除隐藏文件msdc32.dll和mod文件夹,重启rundll32提示错误之后运行regedit,搜索msdc32.dll删除所有相关键值。
阅读(1745) | 评论(2) | 转发(0) |