加载中…
中了飘雪www——piaoxue——com病毒的解决方法1
(2006-12-30 16:26:27)| 分类: 零的开始 |
IE浏览器主页被挟持修改为飘雪piaoxue.com的分析与解决办法
[10月19日更新]请来访者参考使用网友zme推荐的方法,从反馈上来看,效果非常不错
感谢网友zme的反馈与分享:在zme的留言中,zme分享了他个人的解决办法,暂时还没能解决的来访者,可以参考zme的解决办法来处理,下载并使用最新版本的arswp.exe,下载地址为http://www.arswp.com/,请来访者们及时反馈处理结果,再次感谢zme的分享
感谢Bowen及其他网友的反馈,从Bowen的反馈上来看,该病毒为采用了隐藏的驱动方式,释放文件以及在注册表里添加的服务信息为
c:\windows\system32\drivers\uxlmwuif.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\uxlmwuif.sys
貌似sys文件为随机名,众多rootkit查杀工具对此并无反应
以下是这几天关注piaoxue的进度
先下载一个小工具gmer.exe
运行gmer.exe,在界面上面的标签中,找到rookit项,会出现下面内容,以红字高亮显示,此为隐藏驱动信息
Service C:\Windows\System32:lzx32.sys [hidden] .......
鼠标右键选中它,"Delete the service"即可
请阅读全文并进行尝试后再留言,我不会回复并删除那些没头没脑的留言
但是通过一个完整描述来看,这个新rootkit是能躲过部分rookit查杀工具的,其中gmer.exe也在列,那就继续老套路,下面列举该rootkit的行为及解决办法
释放文件,该文件为彻底隐藏状态
C:\Windows\System32:lzx32.sys
创建隐藏服务
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386]
躲避部分rootkit查杀工具
流氓行为(极尽其能事,我就不列举了)
赛门铁克的解决办法:
1、关闭系统还原
2、用系统安装盘启动,进入系统控制台,关闭其服务pe386
3、正常启动并进入安全模式下,用最新毒库的赛门铁克产品全盘扫描,此时的结果是已经删除了C:\Windows\System32:lzx32.sys
4、删除其注册表服务信息
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386]
5、清除系统临时文件
此时,已经完毕,个人认为此举可能有为赛门铁克产品宣传之说,由于病毒库的局限性,可以参考下面的办法
利用rootkit查杀工具的解决办法
1、使用一些rootkit查杀工具,比如常见的
RootkitRevealer、BlackLight、Rkdetector、gmer.exe、endoscope.EXE、DarkSpy、Anti-Rootkit
例如在上面提到的piaoxue.com,gmer.exe就能很好的解决掉它,毕竟是小工具,作者更新频繁,操作上也比较简单
2、删除系统临时文件、注册表信息等等
就常见流氓软件来说,采用这个rootkit的似乎不多,我倒是第一次见到,算是开了眼,这个玩意要是泛滥起来,对于不明就里的网民们来说,还是有些恐怖的,毕竟它在hijackthis和sreng日志里没有半点体现。
希望中此标的来访者,不论问题解决与否,给些详细反馈信息,偶会及时再整理
10月17日更新:暂不能解决的网友,请用最新版本的sreng扫描日志发到我信箱,依据目前收集到的信息,piaoxue可能存在变种,在使用rootkit查杀工具过程中,如果出现隐藏驱动信息的,请列举出隐藏驱动的详细信息,这有利于你问题的解决。
另外,如果该病毒确是使用上述中的那种rootkit,而gmer.exe又没有很好的体现,建议使用其他一些rootkit查杀工具,比如RootkitRevealer、BlackLight、Rkdetector、gmer.exe、endoscope.EXE、DarkSpy、Anti-Rootkit等,当然,前提是在完全确认gmer.exe无功后的基础上
本人基本不用QQ,请不要留下QQ
10月18日更新:假定判断为rootkit,请使用上面列举的rootkit查杀工具来进行查杀,请反馈之,如果有搞定的,是否方便将样本打包发给我?
喜欢
0
赠金笔
前一篇:乌龟的谜语
后一篇:本年度最佳春联提前出炉