御剑临风
禁止发言
威武大将军
积分 2135
发帖 2192
注册 2008-8-22
|
#1 web5566 病毒(附查杀过程)
今天下午上网,nod32报了一个病毒,没有管他,重启后,发现主页被改成www.web5566.cn了。
心里感觉很是不爽,这个简单,无非就是修改了下主页,改过来就可以,ie上面点右键,属性,主页,没有异常,恩,这个难不住我,肯定在注册表里面
开始,运行,regedit.exe 编辑,查找,web5566 ,确定,不一会,就搜索出一个键值,修改~
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" " www.web5566.cn
得,把后面这个尾巴去掉就成了。然后继续按F3,又搜索了一个
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\"" www.web5566.cn
又把尾巴去掉,心想,这下可以了,没想到,点击qq上的链接的时候,还是这个阴魂不散的5566
根据以往的经验,这个肯定是又个服务或者驱动正在运行着,或者又个插入线程的dll文件在系统中,于是乎,把wsyscheck请出来
打开,查看进程,正常,查看服务,正常。晕了,这是怎么回事??难道是ghost??
下面把windows清理助手,金山的清理专家,优化大师的流氓清理,挨个上阵,结果,主页依旧。我懵了
我的目的不是为了修复他,而是为了把这个根源找出来,于是又把wsyscheck请出来,挨个进程,服务查看,没有问题,不死心,又把冰刃请出来,挨个进程看。。
就在看到bho这个标签的时候,发现一个很陌生的东东,除了迅雷的bho以外,下意识的顺手删除了,这脑子才清醒过来,可能就是他,再去打开ie,没问题了,晕自己一下,还没看清楚这个东东是什么。。。
问题解决了,也走了不少弯路,网上说用各种ie的修复工具都能修复,但是都没说出具体原因是什么,我发现了,但是脑袋一热,手一快,删除了,但以后遇到就简单得很了,他修改了注册表,但是没有增加服务,没有增加驱动,仅仅用了一个手段比较没有水平的bho来实现他的目的。
本来没准备写这个东西,所以没抓图,后来写了,想找个样本,却始终找不到,就这么凑合着看看吧。写的也很清楚了。
(转摘)
| |
※ ※ ※ 本文纯属【御剑临风】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
斩尽天下人
御剑临风 天下归一
泱泱中华 四海臣服
御剑临风 唯我独尊 |
|
|
