最近,关注病毒市场的朋友应该发现许多网友在提问QQjiji是怎么一回事。怎么杀不掉,怎么卡巴斯基起动不起来等等。笔者有曾经历这样的经历,现在把它写下来,介绍了互联网新的营销手法。
笔者怎么会中QQjiji的木马呢?原因了笔者原来装了一个软件,这个软件提示有最新的更新包要安装,笔者安装了更新包以后,被人中木马在机子上了。安装一个QQjiji的程序,在c:/program file/common file/system下面。这个QQjiji做什么事呢?第一,经常模仿QQ官方网站的弹出中奖信息,用让户去点,然后进行诈骗活动。第二,强制让你电脑的杀毒软件起动不了,如卡巴斯基,这样,你就没有办法查杀他们。
笔者始终认为,赚钱要走阳光大道,不要出偏门的方法,而这个公司的这种营销手法在我的眼中我始终觉得有点损,幸好我本身就是计算机的高手,这种小病毒对于我来说,我肯定能把它给杀掉,但是,对于广大的用户来说,却是很难。因此,有许多台电脑成为肉鸡。不知不觉中,该网站不但赚足了流量和知名度,也赚钱了人民币。
总终,流氓年年有,今天特别多,互联网营销手法的不断变化,流氓营销也不断涌现,你的电脑准备好了吗?
第一步:
由于“LPK劫持者”木马在系统目录下都恶意添加了“lpk.dll”劫持,造成了运行某些系统工具都有可能程序释放“LPK劫持者”木马。例如在“C:\WINDOWS”系统目录下就恶意添加了木马动态链接库程序“lpk.dll”,所以默认随机启动运行的“explorer.exe”就会重新释放“LPK劫持者”木马,可以说“explorer.exe”反面上来讲也就变成了“LPK劫持者”木马的开机启动项。系统程序“explorer.exe”只是一个例子,如果受害者的计算机设置了多款应用软件随机自动运行,那么这些应用软件反面上来讲就都成了“LPK劫持者”木马的开机启动项。
这怎么办?不用怕,微软提供了指定“DLL劫持”的防范措施。
开始菜单—–运行 输入:“regedit.exe”(双引号去掉),调出“注册表编辑器”。依次展开至分支“HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs”,可以看到子项“KnownDLLs”分支下有多个系统动态链接库程序。
鼠标右键子项“KnownDLLs”菜单中选择“新建(N)”—–“字符串值(S)”,将其命名为“lpk”,“数值数据”设置为“lpk.dll”,确定。
退出“注册表编辑器”,务必重启一下计算机。
这样,一些需要加载“lpk.dll”的应用程序运行时会从系统目录下查找“lpk.dll”并加载,而不再会因为 Windows 操作系统 DLL动态链接库程序的加载顺序从当前目录下查找“lpk.dll”并加载了。
利用这个方法也可以防止其它“.dll”动态链接库程序遭“DLL劫持”!例如2009年初发现的“猫癣”木马同2010年末发现的“LPK劫持者”木马的行为一样,只不过该木马是全盘劫持动态链接库程序“usp10.dll”,导致当初重装系统也无法解决“猫癣”木马。为了防止“猫癣”木马通过全盘劫持“usp10.dll”死灰复燃,可以在注册表分支“HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs”下添加一个名称为“usp10.dll”的键值项。
PS:
采用内核 Windows NT 5.1 系列的操作系统默认情况下只有少数关键的“.dll”系统动态链接库程序在此子项下,而自从 Windows Vista 操作系统下采用 NT 6.1 内核的 Windows 7.0 操作系统下面此子项已经相当齐全,所以在 Windows 7.0 操作系统下发生“DLL劫持”的概率要比 Windows NT/2000/XP 操作系统下要小很多。
如图,这是 Windows 7.0 操作系统的注册表分支“HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs”右侧窗口截图。
第二步:
按“Ctrl + Alt + Del”键调出“任务管理器”,在里面结束“fwpfsp.exe”(不存在就跳过此步骤)和“hrl.tmp”一系列的木马进程,“”代表数字。
第三步:
使用《超级兔子》或者《Windows 优化大师》清理系统临时文件,主要目的是一键删除“LPK劫持者”木马在用户临时文件“C:\Documents and Settings\Administrator(受害者的用户名)\Local Settings\Temp”目录下创建的所有名称为“hrl.tmp”的一系列木马程序,“”代表数字。
删除“C:\WINDOWS\system32”系统目录下的木马主体程序“fwpfsp.exe”。
删除木马服务项,开始菜单—–运行 输入:“regedit.exe”(双引号去掉),调出“注册表编辑器”。依次展开至“HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Enum\Root”分支下面找到名称为“LEGACYNATIONALKDU”的子项,鼠标右键子项“LEGACYNATIONALKDU”菜单中选择“删除(D)”。这时,删除子项“LEGACY_NATIONALKDU”会弹出“删除项时出错”的对话框。
这是因为这个注册表分支在“权限”上被限制了只能访问而不能删除的操作。鼠标右键子项“LEGACY_NATIONALKDU”菜单中选择“权限(P)…”。
安全……把子项“LEGACYNATIONALKDU”下面所有用户权限的“完全控制”打上勾,确定,再删除子项“LEGACYNATIONALKDU”。
返回注册表五大预定义项,重新依次展开至“HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services”分支下面找到名称为“Nationalkdu”的子项,鼠标右键子项“Nationalkdu”菜单中选择“删除(D)”。如图,可以很清楚看到木马服务项“Nationalkdu”指向“C:\WINDOWS\system32”系统目录下的木马主体程序“fwpfsp.exe”。
退出“注册表编辑器”,务必重启一下计算机。
第四步:
“LPK劫持者”木马在每个应用程序安装目录下都恶意添加创建的木马动态链接库程序“lpk.dll”,怎么办?一个一个删除岂不是太麻烦?干脆有人全盘格式化重装系统了。
千万不要全盘格式化重装系统,使用一个DOS命令就能彻底地全盘删除“LPK劫持者”木马在全盘应用程序安装目录下以及其子目录下恶意添加创建的木马动态链接库程序“lpk.dll”。
开始菜单—-运行 输入:“cmd.exe”(双引号去掉),在“命令提示符”的黑色窗口里面输入DOS命令:DEL /F /S /A /Q *:\lpk.dll
PS:
“*”代表驱动器磁盘分区的盘符,上面的截图是删除“LPK劫持者”木马在C盘所有文件夹目录下恶意添加创建的“lpk.dll”,有几个驱动器磁盘分区就按照上述方法做几次。例如删除“LPK劫持者”木马在D、E、F盘所有文件夹目录下恶意添加创建的“lpk.dll”,可以分别输入DOS命令“DEL /F /S /A /Q D:\lpk.dll”、“DEL /F /S /A /Q E:\lpk.dll”、“DEL /F /S /A /Q F:\lpk.dll”(双引号去掉)。
“LPK劫持者”木马并没有恶意替换“C:\WINDOWS\system32”系统目录下正常的系统动态链接库程序“lpk.dll”,那么使用DOS命令删除会不会也把“C:\WINDOWS\system32”系统目录下的正常的系统动态链接库程序“lpk.dll”删除掉呢?不用担心,因为系统动态链接库程序“lpk.dll”是某些系统服务启动后需要加载的重要文件之一,由于正在被这些系统服务调用运行中,所以删除时会提示“拒绝访问”。
第五步:
除了系统目录下一些系统程序“.exe”未被“LPK劫持者”木马破坏之外,其它被木马破坏的“.exe”可执行程序可以通过覆盖重装这些应用软件即可解决问题。目前还没有一款杀毒软件能把“LPK劫持者”木马在“.exe”可执行程序中注入的恶意代码剥离出来,不知道《卡巴斯基》能不能恢复被破坏的“.exe”可执行程序,可以先试试。
先看下csrss.exe进程的说明:
进程文件:csrss or csrss.exe
进程名称:Client/Server Runtime Server Subsystem
进程类别:系统进程
进程描述:客户端服务子系统,用以控制Windows图形相关子系统。
csrss.exe病毒按病毒分类属于蠕虫病毒,它会以csrss.exe为文件名拷贝自己的副本文件到Windows目录下,并添加下面的注册表键值,以便每次Windows启动蠕虫会自动运行:HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SystemSARS32, with value “C:\WINNT\csrss.EXE”。
好了,了解完它的背景,该来对付这个小东西了
方法一:
第一步,结束病毒进程csrss.exe,注意是Windows\csrss.exe而不是Windows\System32\csrss.exe。
第二步,找到以下文件并删除(这些文件并非都有,可能只有几个,但只要有,就删!)
>> System\dxdiag.com
>> System\finder.com
>> System\msconfig.com
>> C:\autorun.inf
>> Programfiles\Internet Explorer\iexplore.com
>> Programfiles\Common Files\iexplore.pif
>> Windows\1.com
>> Windows\csrss.exe
>> Windows\ExERoute.exe
>> Windows\explorer1.com
>> Windows\finder.com
>> Windows\Debug\DebugProgram.exe
>> system\command.pif
>> System egedit.com
>> System undll32.com
同时查看“开始”—“程序”中是否有以下连接安全测试.lnk、计算机安全中心.lnk、系统信息管理器.ink,删!
第三步,打开注册表编辑器:
(1)分别查找“finder.com”、“rundll32.com”、“command.pif”的信息,把找到值中的“finder.com”、“rundll32.com”、“command.pif”改为“rundll32.exe”
(2)查找“iexplore.com”的信息,把找到值中的“iexplore.com”改为“iexplore.exe”;查找“iexplore.pif”的信息,把找到值中类似“%ProgramFiles%\Common Files\iexplore.pif”的信息改为类似“%ProgramFiles%\Internet Explorer\iexplore.exe”
(3)查找“explorer1.com”的信息,把找到值中的“explorer1.com”改为“explorer.exe”
第四步,删除病毒启动项:
[HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
”Torjan Program”=”%Windows%\CSRSS.exe”
[HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
”Torjan Program”=”%Windows%\CSRSS.exe”
在[HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
把”Shell”=”Explorer.exe 1″恢复为”Shell”=”Explorer.exe”
删除[HKEYCLASSESROOT\Applications\iexplore.com]项和[HKEYCLASSESROOT\winfiles]项
第五步,重启计算机,完成。
方法二:
大家都有WINRAR吧?找到Windows\csrss.exe,在csrss.exe上右击鼠标,选择“添加到压缩文件”,这时WINRAR会出现提示窗“压缩文件名和参数”,选择“压缩后删除源文件”,确定,生成压缩文件,这时发现csrss.exe没了,不要高兴太早,现在只是把冲在最前面的病毒体删掉了,而那些幕后指使者们还在逍遥自在。运行注册表医生(要英文原版的,菜单单词都很简单),选择扫描修复所有错误,待修复完成后,重新启动计算机,csrss.exe病毒就被彻底赶出你的爱机了。
总结,第一个方法是大众方法,也是效果比较稳定的方法,第二个方法能解决掉这个病毒,但还不能保证对以后的变种一定有效。当然,这里说的是手动清楚方法,对于许多计算机初学者来说还是用杀毒软件来的比较方便,同时我也强烈建议朋友们即使手动清除了病毒,也要用杀毒软件彻底查一遍,以防万一。