人不学习不进步,确实如此,病毒木马修改IE主页的方法演变了很多,从单纯的注册表RUN启动项,到加载自己的驱动,或者使用WEB桌面和修改IE快捷方式属性等等,不学习还真不知道网络世界变化快。mshtmldy.dll、mshtmldx.dll也是如此,它们导致IE主页可能被修改成www.5566dh.cn、www.wz123.com、www.v2233.com等。
如果不是从网上搜索到相关的文章,还真不知道有这种方法。仔细研究了下,从一般的SREng等工具扫描出来的日志中真无法发现它们的启动项目,不过却可以在进程中发现mshtmldx.dll插入explorer.exe系统进程中,而且它与mshtmldy.dll都是微软的文件信息,版本号什么的一应俱全,很难一眼从一大堆文件中识别出来。而从狙剑扫描的日志中可以看到mshtmldx.dll加入到文件夹与目录的右键菜单:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers、HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers,不清楚是否还有其它注册表项。另外该玩艺还会下载文件到c:\Windows\tmpus\。对系统的影响还有劫持WIN+E(打开资源管理器)、无法使用回收站“清空回收站”菜单命令(点击“清空回收站”无反应)。
所以清除方法就是删除这两个文件c:\windows\system32下的mshtmldy.dll、mshtmldx.dll,并搜索注册表删除与之相关的键值项目,另外清理tmpus文件夹。
本文参考来源:http://baike.360.cn/4071464/23213362.html
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/306.html
