昨晚在中國狂熱破解聯盟內下了一款網絡電視軟件,沒想到居然捆綁了HuaCi,千橡互聯,3721等。於是我便進行了以下步驟做刪除計劃。
準備軟件:
1. RogueCleaner.exe;
2. ToolHelp32.exe;
3. WINDOWS任務管理器;
4. IceSword1.18.
一、劃詞搜索:
1、打開RogueCleaner先掃描一遍發現“3721上網助手”、“劃詞搜索”、“HWS木馬”、“IRJIT木馬”等垃圾;
2、嘗試用RogueCleaner清除它們,其它的一切OK,唯獨劃詞搜索,這時才顯露出它的不平凡之處;
2.1 惡意軟件清理失敗;
2.2 啓動項目刪除失敗;
3、於是,找到系統目錄,在I:/Program Files/下發現了HuaCi目錄,嘗試刪除,也是失敗;
4、打開註冊表管理器,把HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/MoveSearch刪除,失敗!嘗試修改Run爲其它名稱,再次刪除MoveSearch----OK!然後改回Run的名字,OK重啓機器;
5、重啓後再刪除I:/Program Files/HuaCi,居然還是失敗!鬱悶了!到網上搜了搜發現原來它用到了DDK低層系統內核技術!
abhcop: I:/WINDOWS/system32/drivers/abhcop.sys (以內核驅動方式運行,服務已登記在HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/abhcop);
hcalway: I:/WINDOWS/system32/drivers/hcalway.sys
(以文件驅動方式運行,服務已登記在HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/hcalway);
打開IceSword,把以上註冊表登記的服務幹掉之後,重啓機器進入安全模式,然後以Administrator登陸,刪除I:/WINDOWS/system32/drivers/abhcop.sys,I:/WINDOWS/system32/drivers/hcalway.sys,I:/Program Files/HuaCi。成功!OK之後,再次打開RogueCleaner進行收尾工作。
完成!
二、千橡互聯:
打開任務管理器,發現DLL的宿主 rundll32.exe 運行了。然後啓用以前編寫的ToolHelp32.exe(包裝toolhelp32.dll/psapi.dll的所有功能,進程演示),查找該進程的所有模塊(DLL),發現瞭如下組件:
I:/Documents and Settings/yuhang/Templates/4f3e088/2.dll
I:/Documents and Settings/yuhang/Templates/4f3e088/3.dll
I:/Documents and Settings/yuhang/Templates/4f3e088/4.dll
用過XP的都知道,yuhang是當前的用戶名。然後,根據我以往的經驗,斷定4f3e088是個隨機的目錄名。右擊發現,這個垃圾出自於千橡互聯!這樣的垃圾軟件居然還敢把自家公司的大名寫進去,就不怕世人唾罵嗎?先不管他了,垃圾歸垃圾,我還是先要解決它!在任務管理器內把rundll32.exe進程幹掉!然後再刪除4f3e088目錄。再檢測Explorer.exe進程模塊,又發現了另一個隨機命的DLL綁到其上了:
I:/WINDOWS/3052a9.dll
先“結束進程”幹掉Explorer.exe,然後再通過“開啓任務。。。”開啓Explorer.exe,然後再刪除I:/WINDOWS/3052a9.dll。
檢測System32,發現了下面也多了一個隨機的目錄。我暈!又是千橡互聯的那四個拷貝!刪!!!……具體大家可到GOOGLE尋求刪除之道。