時間:2012-03-12 12:20:56 作者:不思議游戲 瀏覽量:94
問題:
在正常情況下,或用一些搜索引擎搜索某關(guān)鍵詞時,頻繁彈出以roogoo.com為指向的廣告窗口,目前殺軟是能報警的,但在處理上,卻存在問題,它采用驅(qū)動隱藏保護,找不到源頭,無法清除,即使隔離或刪除了,可能會出現(xiàn)上不了網(wǎng)的現(xiàn)象。
來歷及工作方式:來歷很簡單,就是那個roogoo.com,自稱“通用搜索”,其工作方式和Yayad等其他流氓幾乎一樣,通過各種流氓方式先給同學(xué)們安裝一個客戶端,然后再向一些企業(yè)兜售,并通過客戶端彈出付費企業(yè)的廣告。
分析:
由于這個東東不斷升級,所釋放的東西也不盡相同,以下分析主要是參照Symantec和毒霸
1.生成下列文件其中的某一個到系統(tǒng)目錄 【先別動,處理參照下面的解決辦法】
%System%\msplus.dll
%System%\msplus1.dll
%System%\msplus2.dll
%System%\msplus3.dll
%System%\msplus4.dll
%System%\quartz32.dll
%System%\wshcon32.dll
%System%\secur.dll
%System%\raspapi.dll
%System%\winipsec32.dll
在hijackthis日志里的體現(xiàn)位置為O10項,比如
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
2.創(chuàng)建注冊表信息 【進入注冊表刪除相關(guān)信息】
HKEY_CLASSES_ROOT\CLSID\{18F57D30-EF36-4C0E-9343-7BFA6DF79B4A}
HKEY_CLASSES_ROOT\Interface\{2805A558-1E98-48FB-8BA5-49A3AD78B129}
HKEY_CLASSES_ROOT\TypeLib\{57F7A59D-8F7F-41B2-98B8-A095456716E9}
HKEY_CLASSES_ROOT\Adplus.XLink
HKEY_CLASSES_ROOT\Adplus.XLink.1
HKEY_LOCAL_MACHINE\SOFTWARE\Roogoo
3.在注冊表里創(chuàng)建鍵值 【進入注冊表刪除下面列出的右窗所創(chuàng)建信息】
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
右窗創(chuàng)建 "FROMID" = "roogoo"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
右窗創(chuàng)建 "2102" = "0"
4.釋放WS2IFSL.SYS文件創(chuàng)建系統(tǒng)驅(qū)動服務(wù),以及在注冊表里體現(xiàn)
【進入注冊表,刪除相關(guān)信息,并刪除病毒文件,如果LEGACY_WS2IFSL
這一項刪除不動的話,參考注冊表殘余信息的處理】
c:\windows\System32\drivers\ws2ifsl.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WS2IFSL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL
解決辦法:上面分析中的“1”,先不要動
1.上面分析中的“1”,先不要動
2.依據(jù)上面分析中2、3、4條中的粗體字部分,進入注冊表刪除相關(guān)信息,并刪除病毒文件
3.再根據(jù)下面這篇日志的來修復(fù)分析中的“1”
整理關(guān)于hjackthis日志中O10項的修復(fù)相關(guān)