扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:My Blog 来源:My Blog 2008年8月25日
关键字: 防病毒 bnmhggo0.dll
由于电脑前几天还原,没有安装任何的杀毒软件,所以一直裸奔到现在,加这次已经是第二次中毒了....,发现裸奔还真有点不大方便 ,不过还好,每次都能把病毒清理出去!好,先看下今天的主角:bnmhggo0.dll
bnmhggo0.dll,其实我也不知道是什么病毒生成该文件的,网上说该病毒主要任务是盗取 “卓越之剑”、”R2” 、”生肖传说” 、”机战” 、“大话2”、”完美国际” 以及”魔兽”等网络游戏的“帐号”和“密码”,不过我不担心,我不玩网络游戏,不怕它盗我的帐号,不过话说回来了,有病毒在电脑里总觉得不爽,当然得把它给清理出局了!
先来看看这家伙偷偷进入电脑后主要做了些什么好事!
该病毒在目录%SystemRoot%\system32下释放动态库“bnmhggo0.dll”,取操作系统文件时间作为病毒文件的时间以增强自身隐蔽性;遍历进程查找“explorer.exe”,申请内存空间将动态库”bnmhggo0.dll”写入,使用远程线程激活病毒写入的代码实现注入,以逃避常规杀毒软件的查杀;修改如下注册表健值使得explorer.exe及其子进程启动时自动加载动态库bnmhggo0.dll:
项:
HKLM\SOFTWARE\Classes\CLSID\{C3D16072-B843-2E1B-450B-50EADDC8EB63}\
键值:VcmnDllModuleName
指向数据:C:\WINDOWS\system32\bnmhggo0.dll
项:
HKLM\SOFTWARE\Classes\CLSID\{C3D16072-2E1B-450B-B843-50EADDC8EB63}\InprocServer32\
指向数据:C:\WINDOWS\system32\bnmhggo0.dll
项:
HKLM\SOFTWARE\Classes\CLSID\{C3D16072-B843-2E1B-450B-50EADDC8EB63}\
键值:VcmnSobjEventName
指向数据:BNMJJHYUIOPTREMN_0
动态库“bnmhggo0.dll”装载执行后, 遍历进程查找以下安全软件进程将其关闭,使用映像劫持手段劫持以下安全软件:
360tray.exe
AntiArp.exe
kavstart.exe
kissvc.exe
KVMonXP.kxp
KVsrvxp.exe
kwatch.exe
QQDoctor.exe
Ravmon.exe
RavMond.exe
RavTask.exe
safeboxtray.exe
将其重定向到“ntsd –d”这条命令,也就是让你电脑上这些杀毒软件失效啦! 枚举窗口查找网络游戏“卓越之剑”、”R2” 、”生肖传说” 、”机战” 、“大话2”、”完美国际”、”魔兽”的登录窗口,使用API函数“SetWindowsHookExA”设置钩子获取用户输入的信息,将盗窃到的游戏“账号”和“密码”通过“HTTP协议”发送到盗号者收信空间中.
下图是我电脑上的:
好了,知道这些后我们就可以开始动手清理了:
用到的工具:sreng2,大家可以到官方网站下载(http://www.kztechs.com)
1.重起电脑,按F8进入安全模式(有些电脑不一定是F8,自己先确认)
2.打开注册表,搜索"bnmhggo0.dll",找到后直接删除该项.
具体如下:
1).点击"开始"--->选择"运行"---->然后输入"regedit"---->回车,打开注册表
2).选中"我的电脑"---->单击莱单栏里的"编辑"---->在下拉莱单中选择"查找"---->在输入框中输入"bnmhggo0.dll"后开始查找,搜索到后直接删除该键值,然后继续查找,直到提示搜索完毕.
3.到%SystemRoot%\system32下找到bnmhggo0.dll,将其删除
4.打开sreng2,选中"启动项目",然后删除被其劫持的安全软件,一般sreng2会用红色字体现这些项目有问题的.可看上面我的中毒图片.另外当然也要删除数据为"C:\WINDOWS\system32\bnmhggo0.dll"项目了,主要是它在捣乱的嘛
OK,问题解决,重起电脑!
祝你好运!
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。