星期四, 11月 16, 2006

Windows 處處皆後門 part 2

上個月底才寫 Windows 處處皆後門 ,沒想到今天又遇到另一個自動執行的地方:機碼的WinLogon\UserInit。起因是一個砍不掉的PDLL.DLL。基本上這隻名為LineAge的木馬會利用偽svchost.exe執行,並且自動恢復pdll.dll,所以就算用安全模式進去也砍不掉,用preinstall xp開機去砍都會復原。有幾個位置的檔案都有可能是木馬:
1. svchost.exe ----> 位於c:\windows下,真的系統檔在c:\windows\system32下
2. rundll32.exe----->位於c:\windows下,真的系統檔在c:\windows\system32下
3. explorer.exe----->位於c:\windows\system32下,真的系統檔在c:\windows下
4. pdll.dll--------->位於c:\windows\system32下,系統無此檔案
我掃的那台svchost.exe藏在C:\program files\windows media player下。

清除步驟如下:
  1. 開機按F8進安全模式,可以先用startup control panel把不該自動執行的地方全砍。
  2. 執行regedit,找 HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft> Windows NT>CurrentVersion>Winlogon
  3. 看右方的Userinit 值可能像"%SystemRoot%\System32\userinit.exe,%Windows%\svchost.exe,"
  4. 將UserInit改成 "%System%\System32\userinit.exe," 或是"C:\Windows\System32\userinit.exe,"
  5. 再檢查其他自動執行的機碼,如HKLM>Software>Microsoft>Windows>CurrentVersion>Run 和 HKCU>Software>Microsoft>Windows>CurrentVersion>Run
  6. 關機重開再按F8進安全模式再將位於system32之外的svchost.exe全砍掉,還有system32裏的pdll.dll。
  7. 重開機後應該正常。再利用其他防毒軟體及防後門軟體掃一次,事出必有因,可能源頭還在電腦裏。

另一個很猛的軟體是NOD32,由於之前用卡巴斯基掃一次我的慢電腦要8小時,今天抓NOD32試用版來掃只要1小時,真是如廣告般的神速,只是遇到LineAge這個後門,它也清不掉。

看來我是拿不到MSDN Premium了,哈哈!

沒有留言: