概述
别名
TrojanDownloader:Win32/Renos.DU [MS Onecare], Trojan-Downloader.Win32.Agent.ahdd [Kaspersky], Generic Downloader.x [McAfee], Win32/SillyBHO.P [CA AV] 类别
Browser Helper Object: (BHO)。 无论 Internet Explorer 何时启动都会加载的组件,它分享 IE 的内存上下文并能在可用窗口和模块执行任何操作。 BHO 可以检测事件、创建窗口显示查看页面的附加信息、监控消息和操作。 Microsoft 将其称为“我们送去渗透浏览器国土的间谍”。BHO 不会被个人防火墙拦截,因为防火墙将其看作您的浏览器自身。 有些使用这种技术的 exploit 程序会搜索您在 IE 里浏览的所有页面并将标志 (banner) 广告替换成其他广告。 有些会监视并报告您的操作。 有些则会更改您的主页。 Trojan: 有隐藏意图的任何程序。 特洛伊木马程序是侵入计算机的主要方式之一。 如果您的程序在访问聊天室、新的小组或阅读未经请求的邮件后被破坏,则该程序可能感染了具有某种破坏目的的特洛伊木马程序。 单词 Trojan(特洛伊)可以用作动词:要 trojan 一个程序意即向现有的程序添加破坏性功能。 例如,被 trojan 了的登录程序可能会被编程为接受某个不限定用户的特定密码,这样骇客就可以在任何时间使用该密码登录回系统。 Rootkit 经常包含像这样被 trojan 了的程序组。
发源
发源日期
2008年9月
检测和删除
手工删除
按照以下步骤从您的机器删除SillyBHO P。先备份您的注册表和系统,并设置一个还原点,防止发生错误。
撤消 DLL 的注册:
使用 Regsvr32 撤销以下 DLLs 的注册,然后重启:
hare32.dll
清除注册表:
使用注册表编辑器清除以下注册项(如果存在):
HKEY_CLASSES_ROOT\adomto.bho
HKEY_CLASSES_ROOT\adomto.bho\clsid
HKEY_CLASSES_ROOT\adomto.bho\curver
HKEY_CLASSES_ROOT\aquamin
HKEY_CLASSES_ROOT\aquamin\clsid
HKEY_CLASSES_ROOT\clsid\{0f95467c-ab44-4274-beea-2a75ab01b77e}
HKEY_CLASSES_ROOT\clsid\{0f95467c-ab44-4274-beea-2a75ab01b77e}\inprocserver32
HKEY_CLASSES_ROOT\clsid\{0f95467c-ab44-4274-beea-2a75ab01b77e}\inprocserver32 threadingmodel
HKEY_CLASSES_ROOT\clsid\{0f95467c-ab44-4274-beea-2a75ab01b77e}\progid
HKEY_CLASSES_ROOT\clsid\{0f95467c-ab44-4274-beea-2a75ab01b77e}\programmable
HKEY_CLASSES_ROOT\clsid\{0f95467c-ab44-4274-beea-2a75ab01b77e}\typelib
HKEY_CLASSES_ROOT\clsid\{0f95467c-ab44-4274-beea-2a75ab01b77e}\versionindependentprogid
HKEY_CLASSES_ROOT\interface\{127e4b35-eccb-4295-870b-9c712b1d9ce3}
HKEY_CLASSES_ROOT\interface\{127e4b35-eccb-4295-870b-9c712b1d9ce3}\proxystubclsid
HKEY_CLASSES_ROOT\interface\{127e4b35-eccb-4295-870b-9c712b1d9ce3}\proxystubclsid32
HKEY_CLASSES_ROOT\interface\{127e4b35-eccb-4295-870b-9c712b1d9ce3}\typelib
HKEY_CLASSES_ROOT\interface\{127e4b35-eccb-4295-870b-9c712b1d9ce3}\typelib version
HKEY_CLASSES_ROOT\interface\{33acd6c9-af35-4e8b-aca7-d957d2032b92}
HKEY_CLASSES_ROOT\interface\{33acd6c9-af35-4e8b-aca7-d957d2032b92}\proxystubclsid
HKEY_CLASSES_ROOT\interface\{33acd6c9-af35-4e8b-aca7-d957d2032b92}\proxystubclsid32
HKEY_CLASSES_ROOT\interface\{33acd6c9-af35-4e8b-aca7-d957d2032b92}\typelib
HKEY_CLASSES_ROOT\interface\{33acd6c9-af35-4e8b-aca7-d957d2032b92}\typelib version
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{0f95467c-ab44-4274-beea-2a75ab01b77e} 删除文件:
使用资源管理器删除以下文件(如果存在):
hare32.dll
hare32.dll
调查
文件分析
SillyBHO P
调查方式
间谍软件研究中心 |
