不定期的IE首页被修改为5566dh,wz123,v2233等网址修复方式

xkam

我的电脑最近发现不定期的IE首页被修改为5566dh,wz123,v2233等网址，而且Win+E键无效，用过很多木马和病毒清除软件报告系统没有木马，在网上搜索发现很多人都中有类似的烦恼，没有人查出木马的踪迹。
　　最后一气之下，自己动手来对付这个木马吧，经过一天的战斗，终于被我找到了，成功清楚了木马。
　　这个木马就是mshtmldx.dll和mshtmldy.dll！藏在system32目录下面，通过资源管理器加载，也就是在explorer.exe中，把该木马文件删除之后，系终于恢复正常，速度变快了，而且Win+E也可以用了,松了一口气。
下面简单说一下捕捉过程：使用Procmon.exe工具监视IE 首页注册表 Start Page项，然后改机器时间，终于木马有动作了，对IE首页下手了，但也就被 Procmon.exe给截获了，发现名字为Explorer.exe,不用说，肯定是通过com dll的方式被自动加载了。然后使用procexp.exe工具列举Explorer.exe进程，并且对dll/exe进行签名检查，发现有一些未被签名的dll,其中就有mshtmldy.dll文件，但通过查看版本，发现是Microsoft的，版本信息做的太完美了，让我一开始都没有怀疑它，逐个检查每个dll，都觉得没有任何可疑的。最后我觉得肯定木马截持了Win+E按键，所以就再使用Regmon.exe工具设置explorer.exe为filter,然后按Win+E键，查看注册表，又发现了资源管理器又了mshtmldy.dll，而且热键操作被mshtmldy.dll处理了。既然这样，它就最可疑了，删除相关的注册表和mshtmldy.dll。未重电脑，再按Win+E，居然可以打开资源管理了，哈哈。。。真是功夫不负有心人，终于逮到你了。经过分析，它会下载文件到 \Windows\tmpus目录下面几个文件，127827.exe, setup1.exe, setup2.exe,对文件进行了分析 发现有UPX壳，用工具脱了它，用editplus打开，看到居然出现UUSEE的字样，难怪大家都在骂UUSEE是流氓，果然是太过分了。删除这些文件，然后重启机器，一切都恢复了正常，木马也在没有发作，应该是被清除掉了。
特发此贴，让中此招的朋友检查一下自己的电脑，是不是和我一样症状，为受UUSEE害的朋友解除烦恼。
和木马斗争过程比较复杂，写的比较简单。有朋友有疑问，我可以再详细说明。
最后再鄙视一下流氓行为~~~(转载)

huang522927633

建议用windows清理助手查杀下

xkam

清理助手等其它恶意查杀软件都试过,无法清除的,现在只有靠自己手工清楚的

[ 本帖最后由 xkam 于 2009-4-16 22:13 编辑 ]

backway

应该是转自360论坛里的吧~
几乎没有工具能扫出问题来的。