删除netdde32！劫持浏览器下载流氓软件。

6月30日晚，在家用电脑看电影。看完电影后，感觉电脑有点慢，便热重启。没想到，噩梦就此开始。
重启后，电脑巨卡无比，在任务栏上出现一个奇怪的图标，名称为loging（好像是这个）。
感觉事情不对，CTRL+ALT+DEL调出任务管理器。一分钟后，任务管理器才像舞台拉幕般缓缓出现在桌面上。
在进程里看到许多陌生的执行程序，bind_50201.exe，bind_50099.exe，***setup.exe等等。意识到是中了流氓软件。
紧接着，卡巴斯基开始报告有木马程序和广告程序，可是提示用户处理的窗口却会自动关闭，而且似乎选择的都是跳过或者允许。于是屏幕的右下角开始不停闪烁着卡巴斯基的报告。
初步判断木马有屏蔽杀毒软件的功能。
十分钟后，电脑速度恢复正常，打开超级兔子，发现已经被安装了NewAdPopup（新广告弹窗），searchchsite_pg(搜索中文站点)等等广告和流氓软件。打开控制面板，发现安装了CNNIC中文官方上网助手。
先用用程序自带的卸载软件删除CNNIC，然后是用超级兔子进行清理。
清理完成后，打开卡巴斯基，查看被感染的文件报告，选择全部处理，弹出的选择对话框全部被自动关闭。
一定是木马做的祟，幸好可以邮件单击被感染的文件列表进行删除。
所有威胁处理完后，电脑竟然自动重启？！
重启后，EXPLORER加载错误，出现一个DOS窗口，标题为netdde32，和一个错误对话框，写着：
CPU命令错误，后面是一行十六进制码
CTRL+ALT+DEL调出任务管理器，重新加载explorer，依旧报错。
用任务管理器打开IE，想上网查查，可是确无法连接网络。想到原来还没有拨号。
于是又用任务管理器打开拨号连接。
打开QQ，刚开始以为是explorer.exe损坏，向同学要了一个复制到windows目录下，仍然不能运行。
在baidu里搜索netddr32得到以下结果：

文件运行后
释放如下文件
C:\WINDOWS\KB9269O9.log
C:\WINDOWS\system32\netdde32.exe

试图向带有下列字符的窗口发送允许或者跳过的信息
注册表警告
金山毒霸 – 可疑文件扫描工具
mcafee personal firewall plus 警报
virusscan 按访问扫描消息
瑞星注册表监控提示
[color=#FF0000]*注1[/color]

添加 IFEO劫持项目
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe\Debugger:
“C:\WINDOWS\system32\netdde32.exe”

无其他自启动项目

C:\WINDOWS\KB9269O9.log注入到Explorer进程中
监控HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe\Debugger: “C:\WINDOWS\system32\netdde32.exe”
如果一旦被删除 则立即恢复

控制IE连接网络218.93.16.65:80
下载http://up.xxxxd.cn/software/update.txt获取文件下载地址
通过http://up.xxxxd.cn/software/netdde32.exe更新自身
下载http://up.xxxxd.cn/software/QQIEHelper.dll
http://up.xxxxd.cn/software/d039.exe到系统文件夹

d039.exe是一个多个流氓软件的安装包
包括搜狗直通车、CNNIC中文上网等

http://up.xxxxd.cn/software/QQIEHelper.dll是IE插件
插入IE
使IE不断读取http://sm.xxxxd.cn/data/adurllist.ini这个文件里面的内容（一些网址）
[color=#FF0000]*注2[/color]
用于弹出网页

机器启动后，由于explorer被劫持
所以首先启动netdde32.exe
由他把KB9269O9.log注入到Explorer进程中
再由netdde32.exe启动Explorer
此后netdde32.exe的工作即告完成

所有木马植入完毕后
增加如下文件
C:\WINDOWS\system32\netdde32.exe
C:\WINDOWS\d039.exe
C:\WINDOWS\KB9269O9.log
C:\WINDOWS\netdde32.exe
C:\WINDOWS\QQIEHelper.dll
C:\Program Files\Common Files\CPUSH
被安装了搜狗直通车和CNNIC中文上网插件

sreng日志如下[color=#FF0000]*注3[/color]
浏览器加载项
[CAdLogic Object]
   {11F09AFD-75AD-4E51-AB43-E09E9351CE16}
[腾讯QQ]
   {54EBD53A-9BC1-480B-966A-843A333CA162}
[CAdLogic Object]
   {11F09AFD-75AD-4E51-AB43-E09E9351CE16}
[腾讯QQ]
   {54EBD53A-9BC1-480B-966A-843A333CA162}
进程
[PID: 1540]
[C:\WINDOWS\Explorer.EXE]
[Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)][C:\WINDOWS\KB9269O9.log]
[N/A, ]

解决方法：

问题：
木马劫持了Explorer
而且发现那个C:\WINDOWS\KB9269O9.log会时刻监视被劫持的IFEO项目

考虑出两种解决方法
一种是结束explorer
删除C:\WINDOWS\system32\netdde32.exe和C:\WINDOWS\KB9269O9.log
重启按ctrl+alt+del进入注册表
恢复IFEO

不过感觉那个IFEO的注册表键太长了 重启以后还得一通狂找，所以推荐下面的方法

还是用Process explorer
下载地址：
http://dl.pconline.com.cn/html_2/1/59/id=6395&pn=0.html

1.双击我的电脑，工具，文件夹选项，查看，单击选取”显示隐藏文件或文件夹” 并清除”隐藏受保护的操作系统文件（推荐）”前面的钩。在提示确定更改时，单击“是” 然后确定
删除C:\WINDOWS\system32\netdde32.exe

2.打开Process explorer
双击Explorer进程
单击 Threads
找到KB9269O9.log
分别选中Threads中的各个KB9269O9.log 单击下面的suspend
直到选中每个KB9269O9.log时 原先那个suspend都变成了resume
不要关闭process explorer

3.恢复IFEO
这里我们使用autoruns这个软件 http://www.skycn.com/soft/17567.html
打开这个软件后 找到Image hijack (映像劫持)
删除
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe\Debugger: “C:\WINDOWS\system32\netdde32.exe”
4.打开任务管理器
结束Explorer进程
单击任务管理器
上方菜单栏的文件－新建任务－浏览
找到C:\WINDOWS\KB9269O9.log
右键将其删除
至此，主程序netdde32.exe已经被干掉了

下面收拾其他的木马和流氓软件

重启计算机进入安全模式(开机后不断按F8键，然后出来一个高级菜单，选择第一项，安全模式，进入系统)
打开sreng
在“系统修复”-“浏览器加载项”中删除
[CAdLogic Object]
   {11F09AFD-75AD-4E51-AB43-E09E9351CE16}
[腾讯QQ]
   {54EBD53A-9BC1-480B-966A-843A333CA162}
[CAdLogic Object]
   {11F09AFD-75AD-4E51-AB43-E09E9351CE16}
[腾讯QQ]
   {54EBD53A-9BC1-480B-966A-843A333CA162}

删除文件
C:\Program Files\Common Files\CPUSH
C:\WINDOWS\QQIEHelper.dll

重启后下载卡卡安全助手或者金山的毒霸清理专家
清理剩余的CNNIC等流氓软件

[b]PenguinOL：
*注1：卡巴斯基的安全警报和处理窗口也会被强制关闭
*注2：这里主要发现的一个弹出网站就是
www.myad.cn
www.cayi8.com
对以这种宣传方式，个人感到不耻，对这个网站作者的道德及网站自身素质不敢认同
建议大家屏蔽*.cayi8.com和*.myad.cn
*注3：
SREng，全名System Repair Engineer(SREng):一般翻译为系统修复工程师，是世界上最先进的系统辅助分析工具之一。
他的日志比hiJakcthis的更全（体现在hijackthis会遗漏一些启动项）
另外，SREng的日志能提供更详细的诊断信息，方便清除QQ尾巴等顽固病毒。
您可以在http://www.kztechs.com/sreng/download.html下载到简体中文版。
[/b]

另外一个网站对此木马的叙述：

Win32.Hack.Unknown.57080(netdde32.exe KB9269O6.log)
病毒名称：N/A（Kaspersky）
病毒别名：Win32.Hack.Unknown.57080（毒霸）
病毒大小：57,080 字节
样本MD5：7ddf93d94030c98f0c0807f748f2a5e5
样本SHA1：0f35c0074c770c18654203c3179655d3e9d8835b
发现时间：2007.5
更新时间：2007.5
关联病毒：
传播方式：恶意网页、程序捆绑、其它病毒或木马下载
技术分析
这是一个下载广告程序的木马，运行后复制自身到系统目录：
%System%\netdde32.exe
释放dll注入进程：
%Windows%\KB9269O6.log
创建映像劫持：  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]
“Debugger”=”%System%\netdde32.exe”
并监视恢复。
尝试访问网络下载广告程序并安装。
==========
清除步骤

1. 重命名木马文件：
%System%\netdde32.exe
%Windows%\KB9269O6.log
2. 复制一份%Windows%\Explorer.exe，并将复制的Explorer.exe重命名为netdde32.exe存放到%System%目录中
3. 重新启动计算机
4. 删除重命名过的木马文件：
%System%\netdde32.exe
%Windows%\KB9269O6.log
5. 删除新建的%System%\netdde32.exe
6. 删除木马创建的映像劫持
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]
“Debugger”=”%System%\netdde32.exe”

根据地一种方法处理病毒，可是却发现explorer根本打不开，也就无法删除注入的内容了。
于是专用第二种方法。
在regedit(注册表编辑器)中查找netdde32，找到后删除。
删除C:\WINDOWS\system32\netdde32.exe
重新加载explorer，提示调试错误，找不到netdde32，explorer仍然无法启动。
于是用从朋友那拿来的explorer.exe复制到C:\WINDOWS\system32
[b]*注：因为资源管理器无法启动，所以只能用QQ上传文件的选择文件对话框代替。
当然其他软件的选择文件对话框都可以代替。期间试过用winrar，可惜winrar不支持复制粘帖。[/b]
复制完成后再次尝试加载explorer，却出现一个下载询问窗口，询问是否要下载explorer.exe。
晕死，点击运行，继续出现相同窗口。(进入死循环了。)
只能继续删除
C:\WINDOWS\KB926906.log
再次加载explorer，加载成功。
没想到再次巨卡，刚删掉的东西全都回来了。
[img]attachment/1183226254_0.png[/img]
[img]attachment/1183226254_1.png[/img]
卡巴斯基又开始报木马，不过这次窗口没有被强制关闭。用卡巴斯基扫描关键区，找出14个木马和广告程序。
IE又开始弹caiyi8的广告。
当场晕厥。
重复第一个方法继续杀毒，终于解决了这个难缠的木马。

同时还在启动项里发现一个奇怪的加载项Syserver
上网查询得到一下结果：

病毒分类：windows下的pe病毒
病毒名称：trojan.syserver
行为类型：windows下的木马程序
病毒发作：
此病毒启动后将自己拷贝到system32目录下
修改注册表的hkey_local_machine\software\microsoft\windows\currentversion\run
在其中添加一项 syserver 以达到自启动的目的.

处理办法，在注册表内搜索syserver并删除相应键值。
删除system32目录下的syserver.exe