解决浏览器被web.9983.com劫持及不定期弹出广告窗口的问题（第3版）

endurer原创

2005.11.08　第3版　补充了Kaspersky对可疑服务的文件Distfsv.exe等的反应

2005.11.07　第2版　补充了瑞星关于可疑服务的文件Distfsv.exe等的回复。

2005.11.04　第1版　创建

*注：为了安全起见，文中恶意网址的“http://”均用“hxxp://”代替。

昨晚帮同事解决了浏览器被web.9983.com劫持及不定期弹出广告窗口的问题，这里记一下症状、分析和修复过程，并提一些建议。

同事的电脑使用Window XP，安装有金山毒霸2005。

一、症状

IE首页被改为web.9983.com，无法重新设置
无法使用注册表编辑器
开机时并不定期地弹出www.uu500.com等多个广告网页
桌面出现恶意网页

二、分析与修复

1、下载并运行瑞星注册表。用来查看EXE或TXT文件关联是否被修改了，如果被修改了，可以用它来修复。

2、到控制面板里，打开“添加删除程序”，卸载了一搜、雅虎助手等插件。

3、使用HijackThis扫描（您可以到http://endurer.ys168.com的tools/系统分析和修复里下载HijackThis ），发现并修复如下项目：

---

O4 - HKCU/../Run: [IEXPLORE.EXE] IEXPLORE.EXE hxxp://www.uu500.com
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O6 - HKLM/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1

---

同时发现两个可疑的服务：

---

Distributed File System Services: C:/WINDOWS/System32/Distfsv.exe -service

Windows Audio Services: C:/WINDOWS/System32/Winms.exe -service

---

把它们停止并禁用了。

用瑞星在线扫描，发现如下病毒（“瑞星杀毒助手”保存的扫描记录，您可以到到http://endurer.ys168.com的 tools/杀毒工具 里下载 “瑞星杀毒助手”）：

---

2005-11-3 20:53:49　瑞星杀毒助手
Windows XP (5.1.2600)
文件名 病毒名
C:/$NtUninstallQ1494$/3721.bat Trojan.WinREG.StartPage.d
C:/FOUND.055/FILE0010.CHK Exploit.HTML.Mht
C:/WINDOWS/system32/nt_g_dll.dll Trojan.DL.Agent.dqa
C:/WINDOWS/system32/Winms.exe Trojan.DL.Agent.dpy
C:/WINDOWS/system32/nt_plus_dll.dll Trojan.DL.Agent.dpz
C:/WINDOWS/system.hta Script.Adware.Yobous.d

---

（关于C:/WINDOWS/system.hta的分析，请参考：对病毒Script.Adware.Yobous.d的一些分析和建议 ）
（除了C:/WINDOWS/system.hta外，其他病毒文件Kaspersky均可查杀。）

5、用“瑞星杀毒助手”删除了：

---

C:/$NtUninstallQ1494$/3721.bat
C:/FOUND.055/FILE0010.CHK
C:/WINDOWS/system32/Winms.exe
C:/WINDOWS/system.hta

---

但

---

C:/WINDOWS/system32/nt_g_dll.dll
C:/WINDOWS/system32/nt_plus_dll.dll

---

无法删除。

用“瑞星杀毒助手”的“改所有文件名”和“下次启动时删除”功能来解决它。

6、找到可疑服务的文件：

---

C:/WINDOWS/System32/Distfsv.exe
C:/WINDOWS/System32/Distfsv1.dll
C:/WINDOWS/System32/Distfsv2.dll

---

但不能打包备份，也不能删除。

另外发现文件C:/WINDOWS/System32/autoup.t的内容为：

---

[UPDATE]
Ver=51016
UpDate=2005.9.20 08:37:24
FileCount=1
File1=hxxp://web.9983.com/autodown/20051016.exe
FileName1=sdt_auto_v51016.exe
FileExc1=1
MeExit=1

[hosts]
File=hxxp://web.9983.com/autodown/host.htm
hosts=1

---

把hxxp://web.9983.com/autodown/20051016.exe下载回来，发现此文件与Winms.exe完全相同。

7、关闭系统还原功能。具体操作可参考：【系统修复系列之】如何 禁用 或 启用 Windows XP 系统还原

8、清空IE临时文件夹。具体操作可参考：【系统修复系列之】如何 清空IE临时文件夹

9、为了获得可疑文件

---

C:/WINDOWS/System32/Distfsv.exe
C:/WINDOWS/System32/Distfsv1.dll
C:/WINDOWS/System32/Distfsv2.dll

---

重新启动计算机到安全模式（具体操作可参考：【系统修复系列之】如何 以安全模式启动 ），把这三个文件打包备份，然后删除。

10、重新启动计算机到正常模式，系统工作正常。

三、建议：

　　１。拒绝访问恶意网站。

大家可以把以下内容：

---

127.0.0.1 web.9983.com
127.0.0.1 www.uu500.com

---

加入hosts文件（具体操作可参考：【系统修复系列之】如何 检修 和 利用 hosts文件 ）。

或者把下列网址

---

web.9983.com
www.uu500.com

---

加入拒绝访问列表（具体操作可参考：【系统修复系列之】如何 使用IE中的分级审查功能 ）。

　　2。选择并安装好的防病毒软件并打开实时监控。 有些防病毒软件实在是中看不中用。

　　3。打开系统自动更新功能，并及时打系统补丁（使用Windows XP的朋友请慎重考虑）。可参考：【系统修复系列之】如何 进行系统更新/打系统补丁

　　4。使用Maxthon或GreenBrowser来浏览网页。

*2005.11.07补充

瑞星关于可疑服务的文件Distfsv.exe等的回复：

---

主　题：	瑞星客户服务中心__关于病毒问题的回复
发件人：	send@rising.net.cn<script language="JavaScript" type="text/javascript"> </script>	发送时间：2005-11-07 13:12:51

尊敬的客户，您好！
您的邮件已经收到，感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
1.文件名：autoup.t
不是病毒

2.文件名：Distfsv.exe
:)病毒名：Trojan.DL.Small.bdi

3.文件名：Distfsv1.dll
:)病毒名：Trojan.DL.Small.bdi

4.文件名：Distfsv2.dll
:)病毒名：Trojan.DL.Small.bdi


我们将在较新的17.52.0版本中处理解决，请您届时将您的瑞星软件升级到17.52.0版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。

---

*2005.11.08补充

Kaspersky将Distfsv.exe、Distfsv1.dll、Distfsv2.dll报为Trojan-Downloader.Win32.Agent.yo