IE8浏览器主页被5566dh,wz123,v2233等网址修改,而且Win+E键无效,用过很多木马和病毒清除软件报告系统没有木马,在网上搜索发现很多人都中有类似的烦恼,没有人查出木马的踪迹。 这个木马就是mshtmldx.dll和mshtmldy.dll!藏在system32目录下面,通过资源管理器加载,也就是在explorer.exe中,把该木马文件删除之后,系终于恢复正常,速度变快了,而且Win+E也可以用了,松了一口气。
下面简单说一下捕捉过程:使用Procmon.exe工具监视IE 首页注册表 Start Page项,然后改机器时间,终于木马有动作了,对IE首页下手了,但也就被 Procmon.exe给截获了,发现名字为Explorer.exe,不用说,肯定是通过com dll的方式被自动加载了。然后使用procexp.exe工具列举Explorer.exe进程,并且对dll/exe进行签名检查,发现有一些未被签名的dll,其中就有mshtmldy.dll文件,但通过查看版本,发现是Microsoft的,版本信息做的太完美了,让我一开始都没有怀疑它,逐个检查每个dll,都觉得没有任何可疑的。
最后我觉得肯定木马截持了Win+E按键,所以就再使用Regmon.exe工具设置explorer.exe为filter,然后按Win+E键,查看注册表,又发现了资源管理器又了mshtmldy.dll,而且热键操作被mshtmldy.dll处理了。既然这样,它就最可疑了,删除相关的注册表和mshtmldy.dll。未重电脑,再按Win+E,居然可以打开资源管理了,哈哈。。。真是功夫不负有心人,终于逮到你了。经过分析,它会下载文件到 \Windows\tmpus目录下面几个文件,127827.exe, setup1.exe, setup2.exe,对文件进行了分析 发现有UPX壳,用工具脱了它,用editplus打开,看到居然出现UUSEE的字样,难怪大家都在骂UUSEE是流氓,果然是太过分了。删除这些文件,然后重启机器,一切都恢复了正常,木马也在没有发作,应该是被清除掉了。