作者:xiao   时间:2009-09-19 16:18:39

主题:so.dll wmiprvse.exe knlrun.sys "browse by name"插件

一、背景知识

昨天发现有残留插件“browse by name”,去网上查资料如何清除,发现被它困扰无法清除是一个普遍现象。

有网友声称是MaxDos安装时所带的插件:http://baike.360.cn/4170288/25765148.html

首先,尝试手动删除该插件的注册表项,在360中清除恶意插件的功能模块里查看“browse by name”插件的注册表项,删除后发现过一会刷新就又重新出现。

使用注册表监视工具可以发现是system32/wmiprvse.exe在不停的重新建立这个流氓插件的注册表项,此处的wmiprvse.exe位于system32下,不是系统的程序。

使用IcySword可以发现explorer在不停的创建wmiprvse.exe,而wmiprvse.exe运行后修改下注册表项就立刻退出。

进一步去网上搜索相关资料发现与knlrun.sys有关,按照如下的方法编写一个批处理文件即可以清除掉该流氓插件。http://baike.baidu.com/view/2813762.htm

  reg delete HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/knlrun /va /ftaskkill /im explorer.exe /fdel /q %systemroot%/system32/wmiprvse.exedel /q %systemroot%/system32/drivers/Knlrun.sysping -n 1 127.0.0.1 >nulexplorer.exe

二、在虚拟机上进行实验

目的:

1.验证MaxDos7.1是否捆绑了恶意插件

2.监视其写文件和注册表的行为,反向操作来清除流氓软件

安装文件:

MaxDOS 7.1 集成 GHOST 11.5 版 For Windows 2000/Windows XP/Windows2003 硬盘版

http://pzz.cn/soft/MaxDOS_71_g115.rar md5:b906f0b54ab2206949639ac61a16f38c

监视工具:Filemon,Regmon

快照工具:Regsnap

安装MaxDos7.1之前进行快照。安装时开启注册表和文件的实时监控。

根据监控安装完成,会在System32目录下生成so.dll,wmiprvse.exe两个文件,在System32/drivers目录下生成knlrun.sys文件,并在注册表中添加相应的控制项。360安全卫士会提示有so.dll恶意插件。但是,本次并没有发现wmiprvse.exe生产“browse by name”流氓插件,重启计算机后仍然没有出现此插件,也没有出现explorer不断创建wmiprvse.exe进程的情况。

快照文件和实时监控的结果文件都保存在了SkyDrive的空间中,信息供参考,链接如下:

http://cid-318880de8490eeba.skydrive.live.com/redir.aspx?page=self&resId=318880DE8490EEBA!112

http://cid-318880de8490eeba.skydrive.live.com/redir.aspx?page=self&resId=318880DE8490EEBA!111

分析MaxDos7.1的安装过程,制作出的删除批处理程序如下:

@echo off cd / echo 注意:涉及到注册表操作,故请先备份注册表,以防注册表操作失败时恢复!! echo 没有备份注册表请直接结束程序,不要再往下运行!! pauseecho ------------------------------------------------------------- echo 关闭explorer taskkill /im explorer.exe /fecho ------------------------------------------------------------- echo 清空tmp文件夹下的临时文件,清空预取文件夹prefetch del /f /s /q %windir%/prefetch/*.* del /f /s /q "%userprofile%/Local Settings/Temp/*.*" echo ------------------------------------------------------------- echo 清除核心恶意/病毒文件:C:/WINDOWS/system32/drivers/Knlrun.sys;C:/WINDOWS/system32/so.dll;C:/WINDOWS/system32/wmiprvse.exe del /q /f /a %systemroot%/system32/wmiprvse.exe del /q /f /a %systemroot%/system32/so.dll del /q /f /a %systemroot%/system32/drivers/knlrun.sysecho ------------------------------------------------------------- echo 清除以下文件:C:/Program Files/Common Files/System/uni3B.tmp;C:/Program Files/Common Files/System/unii.dat;C:/Program Files/Common Files/System/uni.exe;C:/Program Files/Common Files/System/unii.xml;C:/Program Files/Common Files/System/unibak.xml;C:/Program Files/Common Files/System/temp.bat;C:/Program Files/Common Files/System/MaxSet.exe;C:/Program Files/Common Files/System/IRIMG1.BMP;(注意:只是建议清除,需要清除的可以在该文件夹下手动删除,此部分可能会导致MaxDos的部分Windows下的功能不能使用,C盘是指安装启动分区的目录即一定是第一个分区,而不一定是当前的系统分区,比如系统安装在D盘则仍然要到C盘下去找这些文件)echo ------------------------------------------------------------- echo MaxDos在启动分区建立的启动文件和MaxDos文件夹,在系统分区的Program Files下的建立的"迈思工作室"文件夹建议保留即可,以使用MaxDos的功能。echo ------------------------------------------------------------- echo 删除以下注册表项 @echo on reg delete HKLM/SOFTWARE/Classes/CLSID/{02AC20DD-5548-4CA7-ACCF-18AFE5A4A072} /va /f reg delete HKLM/SOFTWARE/Classes/Interface/{10C19B07-0096-402C-A2B9-D4AD0D7E4AE6} /va /f reg delete HKLM/SOFTWARE/Classes/NetCafeHlp.AddrHelper.1 /va /f reg delete HKLM/SOFTWARE/Classes/NetCafeHlp.AddrHelper /va /f reg delete HKLM/SOFTWARE/Classes/TypeLib/{1489D187-72A4-4433-AC5B-608292D2E42C}/1.0 /va /f reg delete "HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/{02AC20DD-5548-4CA7-ACCF-18AFE5A4A072}" /va /f reg delete HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/SharedDlls /v "C:/Program Files/Common Files/System/temp.bat" /f reg delete HKLM/SOFTWARE/So /v Type /f rem delete HKLM/SYSTEM/ControlSet001/Enum/Root/LEGACY_KNLRUN /va /f reg delete HKLM/SYSTEM/ControlSet001/Services/knlrun /va /f rem delete HKLM/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_KNLRUN /va /f reg delete HKLM/SYSTEM/CurrentControlSet/Services/knlrun /va /f rem delete HKLM/SYSTEM/ControlSet002/Enum/Root/LEGACY_KNLRUN /va /f reg delete HKLM/SYSTEM/ControlSet002/Services/knlrun /va /f@echo off echo ------------------------------------------------------------- echo 清理完毕,按任意键重启explorer并退出程序 echo 注意:以下注册表项请手动删除!!由于每个机子的“S-1-5-21-1292428093-1229272821-1177238915-1003”值并不相同,所以找相似的子项,或者直接查找{02AC20DD-5548-4CA7-ACCF-18AFE5A4A072}键值,找到后删除!! echo "HKEY_USERS/S-1-5-21-1292428093-1229272821-1177238915-1003/Software/Microsoft/Internet Explorer/URLSearchHooks/{02AC20DD-5548-4CA7-ACCF-18AFE5A4A072}"echo ------------------------------------------------------------- echo 注意:以下注册表必须手动清除!! echo 清除方法:首先找到该注册表项,然后右键选择“权限”,在弹出的对话框中赋予everyone完全控制的权限,确定后,右键选择“删除”。 echo HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Enum/Root/LEGACY_KNLRUN echo HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_KNLRUN echo HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Enum/Root/LEGACY_KNLRUN pause explorer.exe

运行以上内容的批处理文件后,用360查杀恶意插件仍然可以找到恶意插件,把找到的恶意插件删除,重启后就一切正常了。

三、结论

MaxDos官方论坛发布的MaxDos7.1版本的程序确实捆绑了流氓软件。

使用我所做的批处理文件清除的还不够彻底(进行的是筛选性删除,还是漏掉了些注册表项),但配合360查杀恶意插件可以比较完全的清除掉流氓软件。

安装MaxDos7.1后的流氓插件so.dll,wmiprvse.exe,knlrun.sys的清除相关推荐

  1. 安装Ubuntu20.04后我做的那些事:插件,美化

    前言 因为打算学习在Linux中在做开发,所以就在自己的笔记本中安装了Ubuntu20.04LTS,与Win10共存形成双系统.下面就是我在安装Ubuntu后所做的一些事情,总之就是为了好看,好看,还 ...

  2. 正版PS安装蓝湖插件后不显示插件

    正版PS安装蓝湖插件后不显示插件 问题 解决方案 蓝湖提供的常见使用问题解决方案 问题 安装蓝湖插件后,增效工具中显示是空白的 解决方案 1.通过官方提供的安装器进行安装即可 安装器下载地址: htt ...

  3. 如何安装整个linux系统中所需要的mp3播放库插件? 可以在安装rpmfusion仓库后直接通过dnf install进行按照就可以了...

    在vi的界面中, 前面的数字, 表示一行. 而对于中文而言, 并不一定是"一个文本行"就是一行, 而是以 回车(硬回车)为标志, 来判定一行的. 而dd, yy等也是以" ...

  4. 【Android 插件化】基于插件化的恶意软件的加载策略分析 ( 自定义路径加载插件 | 系统路径加载插件 | 用户同意后加载插件 | 隐藏恶意插件 )

    文章目录 一.自定义路径加载插件 二.系统路径加载插件 三.用户同意后加载插件 四.隐藏恶意插件 一.自定义路径加载插件 插件化应用中 , 宿主应用 加载 插件 APK , 需要获取该插件 APK 文 ...

  5. 安装Fedora 15后需做的25件事情

    安装Fedora 15后需做的25件事情 ugmbbc发布于 2011-06-04 11:20:41|45603 次阅读 字体:大 小 打印预览 感谢笨兔兔的投递 Fedora 15于5.24正是发布 ...

  6. 安装Fedora 15后需做的25件事情(转51cto)

    Fedora 15已经于5月24日正式发布.Fedora是一个跟Ubuntu同样针对个人桌面用户的Linux发行版之一,最初从红帽(RedHat)Linux桌面版演变过来,最新的Fedora 15搭载 ...

  7. pycharm中安装可以贴图片的Markdown插件

    方法一:(测试成功) 先安装官方推荐的Markdown support插件,再安装Paste images into MarkDown 如果Paste images into MarkDown插件在线 ...

  8. eclipse中jsp文档无语法着色,安装Eclipse Java Web Developer Tools插件

    一.安装Eclipse Java Web Developer Tools插件 1.eclipse菜单:help/install New Software,打开Available Software窗体: ...

  9. Sublime插件安装与提高Verilog编写效率插件推荐

    前言 相对于Vivado与Quartus自带的编辑器,使用Sublime可以提高Verilog的编写效率.Sublime是可以自己编写插件并使用的,合理的运用插件可以提高开发Verilog生产力. 一 ...

最新文章

  1. 接口访问次数_系统运行缓慢,CPU 100%,Full GC次数过多,这一招帮你全搞定
  2. python目标跟踪_商汤开源最大目标跟踪库PySOT,代码已正式上线!
  3. 移动端网站优化也不容小觑!
  4. MPLS 企业组网有哪些特性?——Vecloud
  5. jQuery基础修炼圣典—DOM篇(二)jQuery遍历
  6. Node.js 启动调试方式
  7. Spring MVC中的视图解析ViewResolver
  8. OCJP认证考试复习课-张晨光-专题视频课程
  9. adf开发_如何在ADF中将参数传递给ActionListener
  10. 分布式系统部署、监控与进程管理的几重境界
  11. Comet OJ - 2019 六一欢乐赛
  12. Angular模板高级使用
  13. 类的静态成员函数和静态成员变量的使用
  14. 函数栈帧的创建和销毁图解
  15. 让代码看起来更舒服(1):选择适合的配色方案 (转)
  16. 分布式缓存的面试题2
  17. PMP_考前冲刺题(2022)(3A通过分享)(180题附答案及解析)
  18. ARINC 429 过滤介绍
  19. FBX 解析 材质与贴图
  20. linux下system函数

热门文章

  1. 哪些单机游戏最好玩,我们来总给一下.
  2. 批量处理word所有回车行
  3. java毕业设计台球厅自助管理系统(附源码、数据库)
  4. 教你如何提升工作积极性
  5. gg-editor的使用
  6. 核电站数字化仪控系统与传统控制系统的比较
  7. 在Linux里陆游功能怎么打开,Linux命令入门篇(三)
  8. [技术杂谈][原创]wifi放大器pro 设备连接网络中 然后超时
  9. OpenStack Stein版搭建详解
  10. 《约瑟夫生者死者游戏》算法 C语言版