各位好,在这个星期里对“smartda.exe”这东西有了进一步的了解,好,天气炎热,直接进入正题。
大家已经知道smartda.exe相关是“开心运程”的程序,现在大家一般遇到的可能都是由共享软件/免费软件里附带安装来的,当安装程序运行后会把一个叫meobjsdt.dll的插入到Explorer.exe进程中,接着开始下载“开心运程”的安装程序,具体下载是从app.smartdove.com上下载e4sst.dat到临时目录,下载完成后会改名为st_2008.exe,并被运行开始安装。
安装时没有任何窗口和提示,装完了用HijackThis扫描一下可发现以下一些相关信息(BHO和服务):
| Quote: |
O2 - BHO: MEobjectSDT - {4136C3F6-7636-49bf-A122-D4DA53B1ADDF} - %System%\meobjsdt.dll(可能会有)
O2 - BHO: MEobjectSDT - {D4D5C535-BA95-4327-870D-A33826FDD17A} - %System%\gogobm.dll
O23 - Service: SDAgent Service (SDAgentService) - smartdove - %ProgramFiles%\Common Files\SDAgent\smartda.exe | |
如果系统是Windows 9x,那么就没有smartda.exe的服务,取而代之的是启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SDAgentService"="%ProgramFiles%\Common Files\SDAgent\SMARTDA.EXE"
好了,该请走它们了。
先卸载“开心运程速递”,可以从“添加/删除程序”里卸载,也可以直接运行%ProgramFiles%\SDAstro\Uninst.exe来卸载,卸载后使用HijackThis修复之前提到的BHO和服务(或启动项),最后再删除相关文件和目录:
%System%\gogobm.dll
%System%\meobjsdt.dll
%System%\xbeiaec.dll
%ProgramFiles%\Common Files\SDAgent\
%ProgramFiles%\SDAstro\
第二个来说说的是新的TopFox——TopFoxII,就是那个会通过QQ自动发送看似图片其实是EXE程序的还带点色情的那个QQ小病毒,从表现来看,基本上和之前的那个差不多,生成的病毒文件名一样,释放病毒文件的位置也一样,也同样会修改系统explorer.exe、notepad.exe和iexplore.exe文件,也会从网站上下载其它木马程序,不过建立的启动项名称有些不同:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LoadPFW"="wmimgr.exe"
另外在注册表里添加的标记是“TopFoxII”:
HKEY_LOCAL_MACHINE\Software\TopFoxII
清除方法这里就不说了,可参考之前几个星期的综述,基本一样的。
最后再说两个bot类病毒,一个是Rbot变种sysmon32.exe,这个东西最近经常能看到,这里提一下吧。
sysmon32.exe病毒运行后复制自身到系统目录System32\sysmon32.exe,并释放一个Rootkit文件msdirectx.sys到系统目录System32\msdirectx.sys,msdirectx.sys是用来隐藏病毒自身的,包括文件、病毒启动项、服务等信息。如果你感染了这个病毒可以尝试先使用杀毒软件删除掉病毒文件,然后再到注册表编辑器里删除掉HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirectx项,最后重启再删除msdirectx.sys。
这里介绍两个我用过的偏门方法:一,可尝试在机器刚启动时就从进程里结束掉sysmon32.exe的进程,刚启动时可能是因为msdirectx.sys还没发挥作用,在进程里能看到sysmon32.exe,可抓住这个机会结束它的进程;二,可先删除/修复sysmon32.exe的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe sysmon32.exe"
修复之后马上重启机器,因为病毒不是立即就会恢复这个启动项的,需要一点点时间,所以呢如果操作快的话可以在病毒恢复它之前重启机器,如果成功,那么sysmon32.exe就不会在机器启动时自启动了,也就是说重启动后可以直接删除掉病毒文件了。
还有一个是Codbot变种,这个是在后半星期里出现相对较多的,病毒文件%System%\dfrgfat16.exe,建立服务:
| Quote: |
| O23 - Service: Managing FAT and NTFS partitions (Defragmentation Manager) - Unknown owner - %System%\dfrgfat16.exe | |
要清除也不难,如遇此毒,建议先从注册表编辑器里删除它的服务项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Defragmentation Manager,然后重启计算机,重启后再直接删除System32\dfrgfat16.exe。
最后的最后再提一下有关预防的问题。做好预防,是重要的,是很重要的,是非常重要的!像对付bot这类的病毒,一定一定要做好预防措施,否则是治标不治本的,严重的可能就是杀了也白杀,前功尽弃。预防要做好,切记切记!
posted on 2005-08-30 00:15
枫月小筑 阅读(301)
评论(0) 编辑 收藏 引用 所属分类:
病毒救援