摘要:
该问题是由于电脑感染了著名木马家族CoolWebSearch的新变种造成的。本变种有两个.dll文件,其中一个可以被最新版本的CWShredder.exe或者Ad-aware清楚,也能被HijackThis发现,但是另一个.dll文件使用了特别的加密、反跟踪手段,使得本身能够逃过大部分软件的监测。关键字:
about:blank 正文:
该问题是由于电脑感染了著名木马家族CoolWebSearch的新变种造成的。本变种有两个.dll文件,其中一个可以被最新版本的CWShredder.exe或者Ad-aware清楚,也能被HijackThis发现,但是另一个.dll文件使用了特别的加密、反跟踪手段,使得本身能够逃过大部分软件的监测。正是这个文件反复生成能被清除的那另一个.dll文件,造成此症迁延难愈。
本帖主要参考文献
http://www.spywareinfo.com/~merijn/cwschronicles.html
http://www.spywareinfo.com/forums/index.php?showtopic=43492
http://www.computercops.biz/post ... p;highlight=#164255
http://www.spywareinfo.com/forum ... pic=43492&st=60 entry220826 方法一(简单但是可能有损失,未必能解决问题,不推荐) 将注册表恢复到出问题以前(但这期间对注册表做的其它操作也会无效)
或者
系统还原到出问题以前。 方法二(针对9X/Me用户,同样很简单)
启动到安全模式,使用HijachThis找到在O4:……Runservicesonce项启动的一个.dll文件,修复该项。(使用msconfig.exe或者直接改注册表都可以。)然后找到并删除此.dll文件(可能需要先去除其只读、系统、隐藏等属性,这之前还要打开文件夹选项中的“显示隐藏文件”才能看到它)。重新启动到正常模式。 进入安全模式的方法:重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows 方法三(针对2000/XP用户,复杂,请看清步骤,由于操作失误造成的损失只好请您自己承担) 1 下载reglite,这是一个免费的注册表编辑器,功能比Windows自带的有所增强。
http://www.resplendence.com/download/reglite.exe 另外,再请下载最新版CWShredder.exe备用。
4个地址,同一工具。
http://www.merijn.org/files/CWShredder.exe
http://www.zerosrealm.com/downloads/CWShredder.zip
http://www.spywareinfo.com/~merijn/files/CWShredder.exe
http://www.spywareinfo.com/~merijn/files/cwshredder.zip 2 安装并运行reglite,在最上面的地址栏(address)输入下面一行(可以从这里复制粘贴过去) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs 点右面的Go 3 在右下的窗口双击AppInit_DLLs,会弹出一个叫“data editor”的窗口。在最下面的Value那一行,您会看到一个(一般来说应该是一个).dll文件的路径和文件名。这就是那个“隐藏”的文件。记住它的路径、名字以及上一行的Size值。这个文件一般应该在系统文件夹,这里为了叙述方便,假设它为C:\Windows\system32\dllname.dll。 4 此时左下的窗口选中的应该是Windows一项,请再用鼠标点它一下以使对它的选中激活(选中时的颜色为紫色,请确认没错,是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows,千万不要搞错),点击最上面工具条上的Edit,然后在弹出菜单上点击Rename。此时可以给Windows这一项改名字了,请改为notWindows。(改为notWindows主要是为了便于叙述,其实也可以改成别的,重要的是把Windows项改名这一动作本身去除了对那个.dll文件的某些保护。) 5 回到右下窗口再次双击AppInit_DLLs,在Value那一行删除刚才看到的关于那个.dll文件的整个项目。在我假设的例子里,就是在Value那一行删除C:\Windows\system32\dllname.dll这一项。点击该窗口下面第三个按钮“Apply”再点第一个按钮“OK”。 6 重复上面的第4步,但这次是
[1][2]
