手工清除IE首页遭篡改为www.9348.cn病毒
2009-12-01 00:12
204 查看
最近不小心下载软件,安装过程中发觉不对劲,立即终止安装进程,但为时已晚。
重启IE时,发现首页被篡改为www.9348.cn/?2205xxx。经过查找,在临时文件夹留下了尚未来得及安装的system.dll和百度工具条安装文件(证明百度与捆绑恶意软件,进行病毒营销的恶意网站脱不了干系
)。快速启动栏中的IE浏览器快捷方式后面加上了9348.cn网站的地址。注册表中与首页相关的注册表项均被篡改。虽然本人极少使用IE,但这种流氓手段太恶心了,难道就让他们得逞?
于是开始尝试手工清除。
手工设置IE选项的首页地址为about:blank,保存后再次进入选项,发现又被篡改了。hosts文件也遭到清空,只剩下127.0.0.1 localhost。
看来这个病毒非一般手段可以对付。
网上介绍的各种手工清除方法大多为杀毒软件厂商的枪手帖,需要下载他们的专用工具,但看起来效果不大。
onestab使用的工具是大名鼎鼎的:SysinternalsSuite
工具包中的 procexp[进程查看器], autoruns[启动项查看器], regmon[注册表监视器]。
首先,启动procexp进程查看器,查找可疑进程,无果。
启动autoruns自动项目查看器,查找可疑启动项目,重点在services 和 drivers,特征是没有签名的驱动程序和服务。发现一个jeddfd的服务项,没有签名,启动文件为 system32/drivers/wdiys.sys【服务名和文件名是随机产生的】。
启动regedit,进入HKLM/SYSTEM/ControlSet001/Services,找到该服务名下的ImagePath项,正是刚才提到的sys文件,于是重命名为syss。F5刷新,发现又被改回来了,证实此项就是病毒的源头。
以安全模式重新启动,进入regedit,还是改不回来,说明病毒已经抢先一步进入了系统。
启动RegMon.exe,准备好regedit,开始捕捉,手工更改ImagePath键值,看看是哪个程序把注册表项改回来了,结果如下:
发现保护病毒注册表项的是System进程,该进程是系统进程,是由内置账户SYSTEM启动,不能终止的。
难道就没有办法防止病毒更改注册表项?
有,就是利用权限控制
。
右键单击病毒所在的注册表项目,选“权限...”,在用户和组名称中删除"SYSTEM",再添加"SYSTEM"用户,权限设置里全部选“拒绝”。这样做的目的是防止System进程修改该注册表项目。再回到Regedit,修改服务的ImagePath(在sys或dll后缀名后加上.BAK或VIRUS)。刷新注册表,发现没有被改回来。接近大功告成。
接下来的事情就简单了。重启电脑(系统已经找不到病毒的系统服务文件),进入regedit,查找9348.cn,把IE首页重新改回about:blank。
至于残留的病毒驱动程序文件,可以安全地添加上 FUCK9348.CN的扩展名,转移到别处作为标本。本人发现的该文件长度为28,704 字节。
===================
以上内容为onestab本人手工清除IE首页被篡改病毒的实战经验总结。
要点是善用SysinternalsSuites中提供的强大功能,查找可疑的系统启动项目(未签名的Service和 Driver),精准定位以后,配合权限设置,彻底删除病毒。
重启IE时,发现首页被篡改为www.9348.cn/?2205xxx。经过查找,在临时文件夹留下了尚未来得及安装的system.dll和百度工具条安装文件(证明百度与捆绑恶意软件,进行病毒营销的恶意网站脱不了干系
)。快速启动栏中的IE浏览器快捷方式后面加上了9348.cn网站的地址。注册表中与首页相关的注册表项均被篡改。虽然本人极少使用IE,但这种流氓手段太恶心了,难道就让他们得逞?
于是开始尝试手工清除。
手工设置IE选项的首页地址为about:blank,保存后再次进入选项,发现又被篡改了。hosts文件也遭到清空,只剩下127.0.0.1 localhost。
看来这个病毒非一般手段可以对付。
网上介绍的各种手工清除方法大多为杀毒软件厂商的枪手帖,需要下载他们的专用工具,但看起来效果不大。
onestab使用的工具是大名鼎鼎的:SysinternalsSuite
工具包中的 procexp[进程查看器], autoruns[启动项查看器], regmon[注册表监视器]。
首先,启动procexp进程查看器,查找可疑进程,无果。
启动autoruns自动项目查看器,查找可疑启动项目,重点在services 和 drivers,特征是没有签名的驱动程序和服务。发现一个jeddfd的服务项,没有签名,启动文件为 system32/drivers/wdiys.sys【服务名和文件名是随机产生的】。
启动regedit,进入HKLM/SYSTEM/ControlSet001/Services,找到该服务名下的ImagePath项,正是刚才提到的sys文件,于是重命名为syss。F5刷新,发现又被改回来了,证实此项就是病毒的源头。
以安全模式重新启动,进入regedit,还是改不回来,说明病毒已经抢先一步进入了系统。
启动RegMon.exe,准备好regedit,开始捕捉,手工更改ImagePath键值,看看是哪个程序把注册表项改回来了,结果如下:
28.03529930 System:4 CloseKey HKLM/SYSTEM/ControlSet001/Services/jeddfd SUCCESS 28.03532600 System:4 CreateKey HKLM/System/CurrentControlSet/Services/jeddfd REPARSE 28.03534508 System:4 CreateKey HKLM/SYSTEM/ControlSet001/Services/jeddfd SUCCESS 28.03539085 System:4 SetValue HKLM/SYSTEM/ControlSet001/Services/jeddfd/ImagePath SUCCESS "system32/drivers/wdiys.sys" 28.03540039 System:4 SetValue HKLM/SYSTEM/ControlSet001/Services/jeddfd/Type SUCCESS 0x1 28.03540802 System:4 SetValue HKLM/SYSTEM/ControlSet001/Services/jeddfd/ErrorControl SUCCESS 0x1 28.03541565 System:4 SetValue HKLM/SYSTEM/ControlSet001/Services/jeddfd/DisplayName SUCCESS "wdiys" 28.03542328 System:4 SetValue HKLM/SYSTEM/ControlSet001/Services/jeddfd/Start SUCCESS 0x0 28.03543091 System:4 CloseKey HKLM/SYSTEM/ControlSet001/Services/jeddfd SUCCESS 28.03544617 System:4 OpenKey HKLM/System/CurrentControlSet/Services/jeddfd REPARSE 28.03546333 System:4 OpenKey HKLM/SYSTEM/ControlSet001/Services/jeddfd SUCCESS
发现保护病毒注册表项的是System进程,该进程是系统进程,是由内置账户SYSTEM启动,不能终止的。
难道就没有办法防止病毒更改注册表项?
有,就是利用权限控制
。
右键单击病毒所在的注册表项目,选“权限...”,在用户和组名称中删除"SYSTEM",再添加"SYSTEM"用户,权限设置里全部选“拒绝”。这样做的目的是防止System进程修改该注册表项目。再回到Regedit,修改服务的ImagePath(在sys或dll后缀名后加上.BAK或VIRUS)。刷新注册表,发现没有被改回来。接近大功告成。
接下来的事情就简单了。重启电脑(系统已经找不到病毒的系统服务文件),进入regedit,查找9348.cn,把IE首页重新改回about:blank。
至于残留的病毒驱动程序文件,可以安全地添加上 FUCK9348.CN的扩展名,转移到别处作为标本。本人发现的该文件长度为28,704 字节。
===================
以上内容为onestab本人手工清除IE首页被篡改病毒的实战经验总结。
要点是善用SysinternalsSuites中提供的强大功能,查找可疑的系统启动项目(未签名的Service和 Driver),精准定位以后,配合权限设置,彻底删除病毒。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 锁定IE默认首页禁止病毒木马篡改
- 清除ie首页被篡改的方法
- 手工清除“林斯”病毒
- “MSN 相片” 最新病毒分析报告以及手工清除方法
- MSN尾巴病毒手工清除方法
- 手工清除病毒的一些简单方法
- 手工清除“魔波”病毒
- 手工清除“磁碟机”病毒经历
- 偷偷篡改IE首页的脚本源码及防御措施
- 常见病毒手工清除方法大集锦(1)
- 手工清除USB病毒
- MSN尾巴病毒手工清除方法
- Winlogon(落雪)病毒手工清除办法
- MSN尾巴病毒手工清除方法
- MSN尾巴病毒手工清除方法
- MSN尾巴病毒手工清除方法
- IE首页被篡改成www.cnweb123.cn的修复办法
- 手工清除自动运行的病毒
- 手工清除U盘里的恶意病毒
- Winlogon(落雪)病毒手工清除办法