[原创]处理一个恶意绑定网站的木马
2008-09-17 11:40
190 查看
nx88vk.dll
绑定了一个网站,会修改ie首页为:http://www.3929.cn/?tn=102722
1.直接修改ie首页设置,退出再进入设置页面,发现又被动态修改了
2.用nod32,dr.web,360扫描,处理无果,做了个分析报告
3.发现exploer.exe被绑定,多出一个nx88vk.dll
4.用Wsyscheck删除之,发现无法删除
5.进入安全模式使用wsyscheck仍旧无法删除;使用unlocker,靠,发现它还绑定了system进程!
6.使用光盘进入PE系统,手动删除
7.进入系统,有弹出提示:找不到nx88vk.dll,扫描注册表,清除runonce里相关内容,但是发现ie首页依旧被绑定
8.运行冰刃,查看到explorer又被绑定一个l3codea.com,不知道是啥,删除之,再清理注册表
9.重启系统,OK
10.提交这个nx88vk.dll给nod32,一天后可以查出来了,呵呵(不知道是不是我的功劳,目前dr.web仍旧无法扫描出)
同时,还清理了
ujbhs - ujbhs - C:/WINDOWS/system32/drivers/ujbhs.sys - (running)
绑定了一个网站,会修改ie首页为:http://www.3929.cn/?tn=102722
1.直接修改ie首页设置,退出再进入设置页面,发现又被动态修改了
2.用nod32,dr.web,360扫描,处理无果,做了个分析报告
3.发现exploer.exe被绑定,多出一个nx88vk.dll
4.用Wsyscheck删除之,发现无法删除
5.进入安全模式使用wsyscheck仍旧无法删除;使用unlocker,靠,发现它还绑定了system进程!
6.使用光盘进入PE系统,手动删除
7.进入系统,有弹出提示:找不到nx88vk.dll,扫描注册表,清除runonce里相关内容,但是发现ie首页依旧被绑定
8.运行冰刃,查看到explorer又被绑定一个l3codea.com,不知道是啥,删除之,再清理注册表
9.重启系统,OK
10.提交这个nx88vk.dll给nod32,一天后可以查出来了,呵呵(不知道是不是我的功劳,目前dr.web仍旧无法扫描出)
同时,还清理了
ujbhs - ujbhs - C:/WINDOWS/system32/drivers/ujbhs.sys - (running)
相关文章推荐
- 作为一名及格的站长都知道内容为王,外链为皇”,一个上网站想要有一个好的排名除了要有吸惹人高质量的内容外还需要强年夜的外链。对于网站内容要环绕网站主题,若是自己文采欠好可以伪原创下,万万不要用工具伪原创
- 【原创】推荐一个比较好的学习SAP知识的网站
- 推荐一个网站:我爱自然语言处理http://www.52nlp.cn/
- 一个自己写的真正判断文件格式,文件大小,而并不仅仅从扩展名来进行判断的上传方法,进一步加强防止软件或恶意的木马图片上传
- 我靠,经营一个网站容易吗?想伪原创一下啊,下载了一个工具,结果尼玛中招了,我勒个去啊。大家以后小心 伪原创工具 伪原创 病毒 中招 举报为原创 记录
- 一个空间放多个网站(多域名绑定到同一空间不同目录)
- awbeci—一个帮助你快速处理日常工作的网址收集网站
- 如何处理网站被植入恶意的一些代码导致的被机房拦截提示
- 原创批处理之网站屏蔽与解除屏蔽批处理
- 一个被加入下载木马Trojan-Downloader.Win32.Delf.ajm的网站
- 一个文本处理小工具(原创)
- 你想建设一个能承受500万PV/每天的网站吗?服务器每秒要处理多少个请求才能应对?
- [原创]Enterprise Library深入解析与灵活应用(5):创建一个简易版的批处理执行器,认识Enterprise Library典型的配置方式和对象创建方式
- 分享一个分层架构音乐网站源码(第二版本)一步一步构造(二):用户需求的分析与处理
- 一个jdbc的例子(包含sql语句的批处理,事务处理,数据绑定prepare)
- 网站安全性处理(恶意挂马)
- 开源一个小工具 seo伪原创文章处理
- 一个空间绑定多个网站的方法
- 一个ip服务器下安装多个网站多个不用域名进行访问处理法方法和配置
- 我是怎么处理其他网站恶意爬虫博客园的,希望大家喜欢