[psac]

前段時間可能也是這樣,能上網,就是不能瀏覽網頁,其他的都
這個病毒很狡猾，把l改成了1
病毒或木馬的這種做法已經很久了，貌似系統行程，其實是假的。

「Windows Explorer用於控制Windows圖形Shell，包括開始選單、工作管理欄，桌面和文件管理。這是一個用戶的Shell，在我們看起來就像工作條，桌面等等，或者說它就是檔案總管。它對Windows系統的穩定性是比較重要的。注意它的正常路徑是 C:\Windows 目錄，否則可能是 W32.Codered 或 W32.mydoom.b@mm 病毒。」


explorer.exe 木馬解除方法

發現一個病毒，在同事的電腦上。症狀就是一個叫做exp1orer.exe的行程總是殺不死。明顯這個exp1orer.exe不是系統行程。找到該檔案的啟動目錄和最近才產生的文件，寫了下面的一個批次處理。一邊殺死行程，一邊移除文件。
----------------------------
rem delvi.bat
:loop
attrib -h -r -s exp1orer.exe
del exp1orer.exe
attrib -h -r -s mshosts.exe
del mshosts.exe
attrib -h -r -s c:\winnt\intrenat.exe
del c:\winnt\intrenat.exe
attrib -h -r -s interapi32.dll
del inetapi32.dll
attrib -h -r -s interapi64.dll
del inetapi64.dll
attrib -h -r -s mfcd3o.dll
del mfcd3o.dll
goto loop
----------------------------
結果發現interapi64.dll移除不了。從而造成一開啟一個套用程式就會產生exp1orer.exe。

搜尋註冊表，發現：

[HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}]
@=「hookmir「

[HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}\InprocServer32]
@=「C:\\WINNT\\system32\\interapi64.dll「
「ThreadingModel「=「Apartment「

[HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}\ProgID]
@=「interapi64.classname「

mir對付傳奇這個遊戲的病毒？緊接著再次搜尋註冊表，關鍵字{081FE200-A103，找到下面的兩個

[HKEY_CLASSES_ROOT\interapi64.classname]
@=「hookmir「

[HKEY_CLASSES_ROOT\interapi64.classname\Clsid]
@=「{081FE200-A103-11D7-A46D-C770E4459F2F}「
------------------------
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
「{081FE200-A103-11D7-A46D-C770E4459F2F}「=「hookmir「

把它們統統移除後，重新啟動電腦。
再去移除interapi64.dll，OK!

總結一下可以啟動就載入的地方：
1、我們熟悉的Run/Winlogon之類的地方
2、IE的插件
3、ShellExecuteHooks