修改主页为www.131.cc的解决方法 by smallyou93[LSG]

smallyou93 发表于 2009-7-3 19:40

本帖最后由是昔流芳于 2011-2-11 14:49 编辑

MD5：C7D7A2EC21D614F5D1F39C3AAB881D84

运行后，释放多个病毒，动作有：篡改主页、安装服务、安装流氓软件、释放驱动、链接网络、添加IFEO等

其流氓之处，写入注册表，创建一个无法删除的IE图标，指向http://www.131.cc/

清理方法：
清理IFEO

结束进程

删除病毒创建的服务（无经验者可无视）

下载Windows清理助手3

高级功能→文件操作，粘贴，粉碎
（以下是我用CA HIPS监控到病毒创建的文件，仅供参考）
C:\WINDOWS\system32\14421\syster.exe
C:\WINDOWS\system32\fly9473.dll
C:\WINDOWS\system32\dllcache\fly9473.dll
C:\WINDOWS\system32\flymy.exe
C:\WINDOWS\system32\IEMaster.dll
C:\WINDOWS\msapps\hct9320.nfo
C:\WINDOWS\system32\drivers\hemyqvgr.sys
C:\Program Files\Internet Explorer\IETimbar\IETimbar.dll
C:\Program Files\Internet Explorer\IETimbar\cfg.dat
C:\Program Files\Internet Explorer\IETimbar\vercfg.dat
C:\Program Files\Internet Explorer\IETimbar\httpf.dat
C:\Program Files\Internet Explorer\IETimbar\Uninstall.exe
C:\WINDOWS\system32\reallinksvc.dll
C:\WINDOWS\system32\BNITSAPS\msbdcid.ini
C:\WINDOWS\system32\BNITSAPS\rubeh.exe
C:\WINDOWS\system32\BNITSAPS\jgzwt.ini
C:\WINDOWS\system32\BNITSAPS\ifyvs.dll
C:\WINDOWS\system32\BNITSAPS\winvs.dll
C:\WINDOWS\system32\mssrcid.ini
C:\WINDOWS\system32\drivers\msiimw.sys
C:\WINDOWS\system32\behko.exe
C:\WINDOWS\system32\zwtqm.ini
C:\WINDOWS\system32\yvspl.dll
C:\WINDOWS\int21\IntMonitor.exe
C:\WINDOWS\system32\dcfwssvc.dll
C:\WINDOWS\system32\Web.ini
C:\WINDOWS\system32\msscpsvc.dll

删除病毒添加的注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoDriveTypeAutoRun
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess\\BrowseNewProcess
HKEY_CLASSES_ROOT\CLSID\{6270AEE4-AA41-11d4-A25D-008048B63F94}
HKEY_CLASSES_ROOT\AppID\SoduiSvc.EXE
HKEY_CLASSES_ROOT\AppID\usnsvc.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{6270AEE4-AA41-11d4-A25D-008048B63F94}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1163E531-B58E-4BB9-B877-0906A0A22AEC}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\\{871C5380-42A0-1069-A2EA-08002B30309D}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}
HKEY_CLASSES_ROOT\CLSID\{6270AEE4-AA41-11d4-A25D-008048B63F94}\Shell\Open\Command
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Hmily 发表于 2009-7-3 20:26

强大的晕死大牛啊~

鬼魅王子 发表于 2014-7-25 21:39

好厉害的哦~~

1244578372 发表于 2014-7-25 12:15

支持一下！！！！{:301_993:}

wgz001 发表于 2009-7-3 20:58

先膜拜后学习 :lol

Tale 发表于 2009-7-3 21:01

93牛淫

ps520 发表于 2009-7-3 22:39

反回去一看原来代码就是些出来
学习病毒代码啦~~~~

hhyy540 发表于 2009-7-4 00:22

这个不错说的很详细哦学习了

挂挂发表于 2009-7-4 08:25

支持一下！！！！

於陵闲云 发表于 2009-7-4 21:35

支持牛人
最可恶的就是篡改首页了

xxfwajj84 发表于 2009-7-4 22:20

可以提供CA HIPS监控下载吗?

mgstrom 发表于 2009-7-7 10:13

这个不错说的很详细哦学习了

页: [1] 2 3 4 5 6 7

吾爱破解 - 52pojie.cn's Archiver

修改主页为www.131.cc的解决方法 by smallyou93[LSG]