internet - internet.exe - 進程信息
進程文件: internet 或者 internet.exe
進程名稱: MAGICCALL virus
描述:
internet.exe是MAGICCALL病毒相關進程。
就算在安全模式下進入註冊表想刪除相關項也不行。該木馬病毒運行後,向系統添加壹個名為Internet Connection Manager(管理Internet網絡連接)的自啟動系統服務(用於實現遠程監控),源文件為c:\windows\system32\internet.exe,並向ie瀏覽器添加了壹個名為IEHELPER.DLL的插件,以上就是這個程序的最終目的。
病毒運行時:
1、x:\windows\system32\driver文件夾下添加壹個名為mspcidrv.sys的系統驅動,
2、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下添加NTDLL32.DLL項(註意,這個大有用處)
3、HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects下添加了該項(啟動瀏覽器時自動激活NTDLL32.DLL)
4、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加了兩處啟動項,分別都指向c:\windows\system32.internet.exe,
5、驅動mspcidrv.sys加載後會改寫三個系統服務描述表項,分別為NtDeleteKey、NtDeleteValueKey、NtSetValueKey,並HOOK,使得針對那兩個最終目的的註冊表項的刪除註冊表項、刪除註冊表鍵值、更改註冊表鍵值這三個操作就失去作用了,這是為了保護Internet Connection Manager系統服務和IEHELPER.DLL插件的註冊表項不會被清除。
4、而HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下的這個NTDLL32.DLL項,這就是實現內存恢復的關鍵。實際上這個是壹個插入系統進程的DLL文件,在程序啟動時,它就作為壹個系統線程插入explorer進程,並對註冊表項進行監視,它分別檢測上述兩個最終目的的兩處註冊表項,發現它們被刪除就立刻重寫, 這壹招的作用是,在驅動還在的情況下,如果註冊表項被刪除(通過某些工具軟件如:Rootkit Unhooker),就立刻重寫,保證兩個最終功能的完整是因為這個線程自己本身也是要靠驅動保護的,所以在驅動失效,而它自己的註冊表項又已被清除的情況下,它也只能維持在驅動被清除之前的那壹次進程插入,以保證下次開機時兩個最終目的啟動項的完整。
清除方法:
1、搜索下載Rootkit Unhooker並安裝。
2、進入Windows任務管理器(同時按ctrl+alt+del)結束explorer進程,然後同樣在任務管理器 “文件\新建任務”選中並運行妳安裝的Rootkit Unhooker程序,將mspcidrv.sys所掛鉤的服務移出,即上面提到的NtDeleteKey、NtDeleteValueKey、NtSetValueKey三項服務。
3、任務管理器 “文件\新建任務”選中運行註冊表編輯器regedit,分別搜索並刪除(現在可以刪了)與internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相關的所有項目。
4、任務管理器 “文件\新建任務”“msconfig”,“服務”選項中停用Internet Connection Manager系統服務。“啟動”選項中去掉跟internet.exe相關的啟動項。
5、重啟機器,進入windows\system32\刪除病毒殘留internet.exe 、Ntdll32.dll、IEHELPER.DLL文件和system32\drivers\目錄下的mspcidrv.sys。完成!