endurer原创
2005.11.08 第3版 补充了Kaspersky对可疑服务的文件Distfsv.exe等的反应
2005.11.07 第2版 补充了瑞星关于可疑服务的文件Distfsv.exe等的回复。
2005.11.04 第1版 创建
*注:为了安全起见,文中恶意网址的“http://”均用“hxxp://”代替。
昨晚帮同事解决了浏览器被web.9983.com劫持及不定期弹出广告窗口的问题,这里记一下症状、分析和修复过程,并提一些建议。
同事的电脑使用Window XP,安装有金山毒霸2005。
一、症状
IE首页被改为web.9983.com,无法重新设置
无法使用注册表编辑器
开机时并不定期地弹出www.uu500.com等多个广告网页
桌面出现恶意网页
二、分析与修复
1、下载并运行瑞星注册表。用来查看EXE或TXT文件关联是否被修改了,如果被修改了,可以用它来修复。
2、到控制面板里,打开“添加删除程序”,卸载了一搜、雅虎助手等插件。
3、使用HijackThis扫描(您可以到http://endurer.ys168.com的tools/系统分析和修复里下载HijackThis ),发现并修复如下项目:
O4 - HKCU/../Run: [IEXPLORE.EXE] IEXPLORE.EXE hxxp://www.uu500.com
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O6 - HKLM/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
同时发现两个可疑的服务:
Distributed File System Services: C:/WINDOWS/System32/Distfsv.exe -service
Windows Audio Services: C:/WINDOWS/System32/Winms.exe -service
把它们停止并禁用了。
用瑞星在线扫描,发现如下病毒(“瑞星杀毒助手”保存的扫描记录,您可以到到http://endurer.ys168.com的 tools/杀毒工具 里下载 “瑞星杀毒助手”):
2005-11-3 20:53:49 瑞星杀毒助手
Windows XP (5.1.2600)
文件名 病毒名
C:/$NtUninstallQ1494$/3721.bat Trojan.WinREG.StartPage.d
C:/FOUND.055/FILE0010.CHK Exploit.HTML.Mht
C:/WINDOWS/system32/nt_g_dll.dll Trojan.DL.Agent.dqa
C:/WINDOWS/system32/Winms.exe Trojan.DL.Agent.dpy
C:/WINDOWS/system32/nt_plus_dll.dll Trojan.DL.Agent.dpz
C:/WINDOWS/system.hta Script.Adware.Yobous.d
(关于C:/WINDOWS/system.hta的分析,请参考:
对病毒Script.Adware.Yobous.d的一些分析和建议 )
(除了C:/WINDOWS/system.hta外,其他病毒文件Kaspersky均可查杀。)
5、用“瑞星杀毒助手”删除了:
C:/$NtUninstallQ1494$/3721.bat
C:/FOUND.055/FILE0010.CHK
C:/WINDOWS/system32/Winms.exe
C:/WINDOWS/system.hta
但
C:/WINDOWS/system32/nt_g_dll.dll
C:/WINDOWS/system32/nt_plus_dll.dll
无法删除。
用“瑞星杀毒助手”的“改所有文件名”和“下次启动时删除”功能来解决它。
6、找到可疑服务的文件:
C:/WINDOWS/System32/Distfsv.exe
C:/WINDOWS/System32/Distfsv1.dll
C:/WINDOWS/System32/Distfsv2.dll
但不能打包备份,也不能删除。
另外发现文件C:/WINDOWS/System32/autoup.t的内容为:
[UPDATE]
Ver=51016
UpDate=2005.9.20 08:37:24
FileCount=1
File1=hxxp://web.9983.com/autodown/20051016.exe
FileName1=sdt_auto_v51016.exe
FileExc1=1
MeExit=1
[hosts]
File=hxxp://web.9983.com/autodown/host.htm
hosts=1
把hxxp://web.9983.com/autodown/20051016.exe下载回来,发现此文件与Winms.exe完全相同。
7、关闭系统还原功能。具体操作可参考:【系统修复系列之】如何 禁用 或 启用 Windows XP 系统还原
8、清空IE临时文件夹。具体操作可参考:【系统修复系列之】如何 清空IE临时文件夹
9、为了获得可疑文件
C:/WINDOWS/System32/Distfsv.exe
C:/WINDOWS/System32/Distfsv1.dll
C:/WINDOWS/System32/Distfsv2.dll
重新启动计算机到安全模式(具体操作可参考:【系统修复系列之】如何 以安全模式启动 ),把这三个文件打包备份,然后删除。
10、重新启动计算机到正常模式,系统工作正常。
三、建议:
1。拒绝访问恶意网站。
大家可以把以下内容:
127.0.0.1 web.9983.com
127.0.0.1 www.uu500.com
加入hosts文件(具体操作可参考:【系统修复系列之】如何 检修 和 利用 hosts文件 )。
或者把下列网址
web.9983.com
www.uu500.com
加入拒绝访问列表(具体操作可参考:【系统修复系列之】如何 使用IE中的分级审查功能 )。
2。选择并安装好的防病毒软件并打开实时监控。 有些防病毒软件实在是中看不中用。
3。打开系统自动更新功能,并及时打系统补丁(使用Windows XP的朋友请慎重考虑)。可参考:【系统修复系列之】如何 进行系统更新/打系统补丁
4。使用Maxthon或GreenBrowser来浏览网页。
*2005.11.07补充
瑞星关于可疑服务的文件Distfsv.exe等的回复:
主 题: |
瑞星客户服务中心__关于病毒问题的回复 |
发件人: |
send@rising.net.cn<script language="JavaScript" type="text/javascript">
</script> |
发送时间:2005-11-07 13:12:51 |
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:autoup.t
不是病毒
2.文件名:Distfsv.exe
:)病毒名:Trojan.DL.Small.bdi
3.文件名:Distfsv1.dll
:)病毒名:Trojan.DL.Small.bdi
4.文件名:Distfsv2.dll
:)病毒名:Trojan.DL.Small.bdi
我们将在较新的17.52.0版本中处理解决,请您届时将您的瑞星软件升级到17.52.0版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
*2005.11.08补充
Kaspersky将Distfsv.exe、Distfsv1.dll、Distfsv2.dll报为Trojan-Downloader.Win32.Agent.yo
分享到:
相关推荐
除独家采用的“沙箱”技术外,360安全浏览器还集成了恶意代码智能拦截、下载文件即时扫描、恶意网站自动报警,广告窗口智能过滤等强劲功能,是目前市面上最安全的浏览器。是用户实现上网浏览功能的好帮手。 360安全...
但总有很大一部分人不满足于IE的功能及外观,但又屈于IE的兼容性于是就有了——基于IE内核和Chrome内核的双核浏览器-几米浏览器。 1.页面渲染引擎:双核智能切换,不管什么网站均可应对自如,享受最快最安全的浏览...
1. 修复部分主页被劫持的环境下,打开浏览器出现闪退的问题 2. 修复默认浏览器保护切换点击无效的问题 3. 解决部分网站打开无法正常使用的问题 4. 修复部分环境的“查找下一个”频繁出错的问题 猎豹安全浏览器...
点击谷歌、火狐、百度、IE11等浏览器,全部自动打开流氓网站hao123.com,说明浏览器已被hao123.com劫持,请看解决办法。
还原被劫持的浏览器。 以下 6 个提示可帮助还原您的浏览器设置: 1 - 停止级联弹出窗口 如果您的屏幕上出现了看似无穷无尽的弹出窗口,则可能需要首先停止泛滥势头。 为此,在 Microsoft Windows XP 或 Windows ...
解决浏览器不支持video问题
浏览器,自动打开流氓网站hao123.com,找到解决方案了!!!
dll劫持payload.dll弹出计算器
E017-渗透测试常用工具-使用Beef对客户端浏览器进行劫持
解决办法: 1、修改快捷方式、在快捷方式上右击属性对话框手工删除网址的部分 2、加载了启动项的,在注册表、启动项、服务中搜索相关网址信息,找到后删除 3、使用wmitools工具删除wmi恶意代码 压缩包里包括wmitools...
来自ISP的广告劫持 你浏览任何网站网页都弹出广告,这就是广告劫持了 什么原理,如何解决让他不弹广告呢.zip
HijackThis(浏览器被劫持修复工具)v2.0.5.rar
专业用于浏览器劫持修复的工具,支持 IE、Firefox、Google Chrome、Opera…等各种常见浏览器。
浏览器被劫持木马查杀hrkill-1.0.0.50
互联网内容插入广告的可行性分析——以hm.baidu.com被劫持篡改插入代码为例.pdf
节节浏览器提供最方便最有效的上网流量控制,是3g无线上网的好帮手。 节节浏览器功能: 小巧。仅一个200KB左右的EXE文件,是目前所有浏览器软件中最小的。 绿色。即下即用,无需安装,不写注册表,不注册组件,...
浏览器劫持源码 浏览器劫持.e
浏览器被hao360,hao123,2345,搜狗,www.xie116.xyz/ 劫持的方法
怎么样发现并解决网站被劫持问题-网站被劫持的解决方法.doc
-最佳体验:我们使您能够不受干扰地访问所有喜欢的Web服务。 更智能的搜索 -出发前须知:我们会在您的搜索结果中直接突出显示受感染的网站。 -反劫持:我们确保您永远不会重定向到恶意搜索引擎。