http://zhidao.baidu.com/question/13640309.html?si=2internet.exe病毒 internet - internet.exe - 进程信息 进程文件: internet 或者 internet.exe 进程名称: MAGICCALL virus 描述: internet.exe是MAGICCALL病毒相关进程。 就算在安全模式下进入注册表想删除相关项也不行。该木马病毒运行后,向系统添加一个名为Internet Connection Manager(管理Internet网络连接)的自启动系统服务(用于实现远程监控),源文件为c:\windows\system32\internet.exe,并向ie浏览器添加了一个名为IEHELPER.DLL的插件,以上就是这个程序的最终目的。 病毒运行时: 1、x:\windows\system32\driver文件夹下添加一个名为mspcidrv.sys的系统驱动, 2、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下添加NTDLL32.DLL项(注意,这个大有用处) 3、HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects下添加了该项(启动浏览器时自动激活NTDLL32.DLL) 4、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加了两处启动项,分别都指向c:\windows\system32.internet.exe, 5、驱动mspcidrv.sys加载后会改写三个系统服务描述表项,分别为NtDeleteKey、NtDeleteValueKey、NtSetValueKey,并HOOK,使得针对那两个最终目的的注册表项的删除注册表项、删除注册表键值、更改注册表键悄拿答值这三个操作就失去作用了,这是为了保护Internet Connection Manager系统服务和IEHELPER.DLL插件的注册表项不会被清除。 4、而HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下的这个NTDLL32.DLL项,这就是实现内存恢复的关键。实际上这个是一个插入系统进程的DLL文件,在程序启动时,它就作为一个系统线程插入explorer进程,并对注册表项进行监视,它分别检测上述两个最终目的的两处注册表项,发启慧现它们被删除就立刻重写, 这一招的作敏郑用是,在驱动还在的情况下,如果注册表项被删除(通过某些工具软件如:Rootkit Unhooker),就立刻重写,保证两个最终功能的完整是因为这个线程自己本身也是要靠驱动保护的,所以在驱动失效,而它自己的注册表项又已被清除的情况下,它也只能维持在驱动被清除之前的那一次进程插入,以保证下次开机时两个最终目的启动项的完整。 清除方法: 1、搜索下载Rootkit Unhooker并安装。 2、进入Windows任务管理器(同时按ctrl+alt+del)结束explorer进程,然后同样在任务管理器 “文件\新建任务”选中并运行你安装的Rootkit Unhooker程序,将mspcidrv.sys所挂钩的服务移出,即上面提到的NtDeleteKey、NtDeleteValueKey、NtSetValueKey三项服务。 3、任务管理器 “文件\新建任务”选中运行注册表编辑器regedit,分别搜索并删除(现在可以删了)与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。 4、任务管理器 “文件\新建任务”“msconfig”,“服务”选项中停用Internet Connection Manager系统服务。“启动”选项中去掉跟internet.exe相关的启动项。 5、重启机器,进入windows\system32\删除病毒残留internet.exe 、Ntdll32.dll、IEHELPER.DLL文件和system32\drivers\目录下的mspcidrv.sys。完成! ·最新病毒样本显示internet.exe正在被deskadtop这个恶意软件所利用。mspcidrv.sys是恶意软件deskadtop的核心驱动,位于X:\WINDOWS\system32\drivers\ 解决办法如下:(1)运行Icesword,点开“注册表”,找到HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\mspcidrv将这个mspcidrv项全部删除(注意:一定要在Icesword这个软件中才能成功删除,直接在系统运行regedit进入注册表删除不掉的)(2)使用“奇虎360安全卫士”查杀恶意软件,会提示找到deskadtop这个恶意软件和一些附加文件,全部清理之!(为保险起见,最好再用roguecleaner即“恶意软件清理助手”检查一遍) deskadtop这个恶意软件还附带了createdomtree.dll charset.dll iehelper.dll internet.exe webpageparser.dll这5个文件,全部位于X:\WINDOWS\system32\ 可以运行Icesword点开“文件”找到它们删除之。请注意:有些文件并不是用“强制删除”就一定能删除,反而用普通的“删除”却可以删掉。本文档来自深圳傲网(www.szao.net),查看全面内容请浏览http://www.szao.net/style/info/shownews.asp?id=267 我能找到的就这么些了,希望对您有所帮助.呵呵参考资料:百度百科
标签:internet,启动项,WINDOWS
