博主发现IE默认主页被篡改且不断弹出信息框,怀疑是恶意BHO插件所致。经排查,发现“ntdelebt.exe”进程和被病毒替换的“mshta.exe”文件。覆盖“mshta.exe”后,IE问题解决,但QQ又出现异常。重装QQ后问题彻底解决,还指出病毒会产生“AUTOEXEC.hta”脚本文件。
一开始怀疑是恶意BHO插件搞的鬼,就用我写的一款软件(可以显示和删除IE加载的各种控件)查了一下,果然发现一个不明BHO(我一般都定期检查IE的插件^_^),就把它删了,再把默认主页修复,心里想这么容易就搞定了。
又一天打开IE,那个页面又跳出来,而且不久后,会不断的弹出一个信息框,内容是
:^o^,标题是:系统错误。看来是个恶作剧,不过狐狸尾巴露出来了(有了这个信息框加
快了我找到病毒程序)。于是我用SPY++查询了一个这个信息框,它属于一个叫“ntdelebt.exe”
的进程。打开任务管理器,找到这个程序,结束它然后把它删除,然后检查一下注册表中
开机启动的键和系统服务,没发现什么异常,找不到启动这个程序的地方,看来病毒还没
清理干净。果然重启后打开IE,该死的网页仍然跳出来,而且存在于c:/的ntdelebt.exe还在。
再次检查系统中的进程,发现有多个mshta.exe进程,这是个系统文件,应该没什么问题,但是频繁的运行多个进程,总让人怀疑。于是搜索一下这个文件,在system32下找到
这个文件,而且系统中多个地方有这个文件。比较一下,system32下的那个和i386下的大小不同,应该是被病毒替换了,于是覆盖了system32下的mshta.exe文件。
再次重启,果然这次打开IE时不会出现那个网页,IE的默认主页也没被修改。但是高兴不久,当我打开QQ时,不愿意看到的事情又发生了。这让我想到QQ这几天速度比较慢,而且经常自已弹出一个帮助窗口,而且ntdelebt.exe又是采用jpg图像的图标。于是我把QQ重装了一下,OK,问题终于搞定了!
顺便说一下,该病毒会在c:/产生一个AUTOEXEC.hta的脚本文件,该脚本由mshta.exe
解释执行。
扫一扫
643
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
