混得清静: May, 2006

勇's profile混得清静PhotosBlogListsMore

Tools

Help

<< First < Previous Next > Last >>

May 12

[转]关于msdc32.dll

这是我找到的比较完整的解决方法，而且有效，解决了我的问题。所以转之。

首先检查注册表启动项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 发现完全正常，里面只有默认的输入法和诺顿防火墙。

接着用Tcpview.exe查看和网络连接的情况，没有发现有连接到我机器的IP。然后再用Regmon监视注册表，这时发现了可疑的进程调用的注册表位置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
里面有个IPSec32.DLL，
位置是C:\PROGRA~\COMMON~\system\msdc32.dll,_S1 首先删除这个键值，然后找到这个文件夹,在打开了“显示所有文件和文件夹”后还是看不到msdc32.dll ，于是又打开了“隐藏受系统保护的操作系统文件（推荐）”，终于找到了这个msdc32.dll，直接删除当然是删除不了的，写保护了嘛，于是我就给它改了个名字11msdc32.dll，打算重启后删除，但是重启后发现这个文件夹下有了2个文件11msdc32.dll和msdc32.dll，而此时注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run 里删除的IPSec32.DLL键值又自动回来了，这使我意识到木马文件绝不仅仅是这一个dll文件。

晕～好烦，接下来通过AutostartExplore 和icesword 的协助分析，终于彻底弄明白了这个木马的特征和机理，

下面详细给大家解释一下：

这个病毒没有单独的进程，所以当你查看进程时会发现你的进程很正常，没有多余的进程。那是因为它捆绑在了explorer.exe上面，细心的用户会发现你explorer.exe 进程的大小会比以前大了点。

这个木马一共有2个dll动态链接库和一个exe文件，分别在这三个地方：
C:\PROGRA~1\COMMON~1\system\msdc32.dll
C:\PROGRA~1\COMMON~1\system\mod\mstd.dll
C:\WINDOWS\ .exe （这个注意一下exe前面的是空格，这个设计也很巧妙，使你在命令提示符下无法删除）

在重启后进入安全模式，把这三个文件删除，然后展开注册表，查找“msdc32.dll”（应该会查到3个吧，可能会因为机器不同而有所不同），然后都统统删除。

此时还没完，把注册表展开到[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon] 里面有一个userinit.exe 是系统的，而后面逗号后的c:\windows\.exe 这是病毒加的，意思就是启运userinit与.exe 捆绑嘛，把逗号后的c:\windows\.exe 删除。这时再重启就一切正常了。

下面谈谈这个病毒，用UltraEdit编辑了一下msdc32.dll，发现它是从这里下载

更新信息的：[url]http://c1.cn/getinfo/updatelist.txt[/url]
下载[url]http://c1.cn/dw/1.dll[/url]文件。
下载下来的就是mstd.dll，
mstd.dll从这里下载广告信息：
[url]http://c1.cn/getinfo/actionlist.txt[/url]
目前（也就是2006.3.17的17：32）我下载它的广告信息，如下：
id0=995083D4ECE58166F3948CA4499A0693

userid0={*}

date0=7200000

count0=7

action0=pop

content0=www.byair.com

state0=0

version0=1

id1=5083D4ECE58A4499A0693166F3948C99

userid1={*}

date1=1800000

我们可以很清楚的看到[url]www.byair.com[/url]和[url]www.58.com[/url]这两个网站作了广告，大家和

我一起鄙视这两个网站啊！！！