internet.exe病毒
internet - internet.exe - 进程信息
进程文件: internet 或者 internet.exe
进程名称: MAGICCALL virus
描述:
internet.exe是MAGICCALL病毒相关进程。
就算在安全模式下进入注册表想删除相关项也不行。该木马病毒运行后,向系统添加一个名为Internet Connection Manager(管理Internet网络连接)的自启动系统服务(用于实现远程监控),源文件为c:windowssystem32internet.exe,并向ie浏览器添加了一个名为IEHELPER.DLL的插件,以上就是这个程序的最终目的。
病毒运行时:
1、x:windowssystem32driver文件夹下添加一个名为mspcidrv.sys的系统驱动,
2、HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppinit_Dlls下添加NTDLL32.DLL项(注意,这个大有用处)
3、HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects下添加了该项(启动浏览器时自动激活NTDLL32.DLL)
4、HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun下添加了两处启动项,分别都指向c:windowssystem32.internet.exe,
5、驱动mspcidrv.sys加载后会改写三个系统服务描述表项,分别为NtDeleteKey、NtDeleteValueKey、NtSetValueKey,并HOOK,使得针对那两个最终目的的注册表项的删除注册表项、删除注册表键值、更改注册表键值这三个操作就失去作用了,这是为了保护Internet Connection Manager系统服务和IEHELPER.DLL插件的注册表项不会被清除。
4、而HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppinit_Dlls下的这个NTDLL32.DLL项,这就是实现内存恢复的关键。实际上这个是一个插入系统进程的DLL文件,在程序启动时,它就作为一个系统线程插入explorer进程,并对注册表项进行监视,它分别检测上述两个最终目的的两处注册表项,发现它们被删除就立刻重写, 这一招的作用是,在驱动还在的情况下,如果注册表项被删除(通过某些工具软件如:Rootkit Unhooker),就立刻重写,保证两个最终功能的完整是因为这个线程自己本身也是要靠驱动保护的,所以在驱动失效,而它自己的注册表项又已被清除的情况下,它也只能维持在驱动被清除之前的那一次进程插入,以保证下次开机时两个最终目的启动项的完整。
清除方法:
1、搜索下载Rootkit Unhooker并安装。
2、进入Windows任务管理器(同时按ctrl+alt+del)结束explorer进程,然后同样在任务管理器 “文件新建任务”选中并运行你安装的Rootkit Unhooker程序,将mspcidrv.sys所挂钩的服务移出,即上面提到的NtDeleteKey、NtDeleteValueKey、NtSetValueKey三项服务。
3、任务管理器 “文件新建任务”选中运行注册表编辑器regedit,分别搜索并删除(现在可以删了)与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。
4、任务管理器 “文件新建任务”“msconfig”,“服务”选项中停用Internet Connection Manager系统服务。“启动”选项中去掉跟internet.exe相关的启动项。
5、重启机器,进入windowssystem32删除病毒残留internet.exe 、Ntdll32.dll、IEHELPER.DLL文件和system32drivers目录下的mspcidrv.sys。完成!