笔者近日发现爱机总是莫名其妙的弹出一些广告网站,并且随机更换,甚是扰人。开始以为仅仅是Maxthon的广告拦截功能出了问题,后来发现即使不开浏览器,每隔几分钟还是会弹出。
按照以往的经验,觉得应该是IE挂钩了恶意程序所导致,查看HijackThis的分析结果,IE却一切正常,继而以广告网站名为关键字搜索注册表也一无所获,用Process Explorer察看系统进程,也无任何可疑之处。看来这些广告并不是简单的利用脚本宣传,而是中了间谍程序。
下载金山毒霸的木马专杀工具检测,发现内存中加载的模块果然已被感染,感染文件名为msinfo.dll,存在于C:\Program Files\Common Files\Microsoft Shared\MSInfo下,因为它被设定为了隐藏和系统文件双重属性,所以必须按照以下方法才能看到,文件菜单上的“工具“——“文件夹选项”——“查看”里,将“显示系统文件夹的内容”和“显示所有文件和文件夹”前打上勾。笔者用UltraEdit32察看MsInfo.dll内容, 发现里面有temp2.inf这个文件的字符串,它会在C:\windows\system32下面创建 Temp2.inf这个文件,进入资源管理器察看,果然其中的内容就是所有广告的地址。原本以为简单删除了事,却报告文件正在被windows使用,用Process Explorer“查找DLL”的功能检测,MsInfo.dll被挂靠到了Explorer进程中。真是顽固的家伙,进入DOS状态,进入C:\Program Files\Common Files\Microsoft Shared\MSInfo目录,用命令attrib -s -h msinfo.dll去掉该文件的隐藏和系统属性,再用DLE命令删除即可。
正常启动后,广告弹出现象消失,进行最后的收尾工作。进入注册表编辑器,将如下两处键值删掉:
①HKEY_CLASSES_ROOTCLSID\{B48F6409-4740-475B-A474-651F54CCE460}\InProcServer32
②HKEY_LOCAL_MACHINESOFTWARE\Classes\CLSID\{B48F6409-4740-475B-A474-651F54CCE460}\InProcServer32
最后清空IE缓存和临时文件,至此,已经将该讨厌的间谍程序彻底清除。
