瑞星卡卡安全论坛

手刃ssearch,就是出autolivefunc这个错误提示的新浪首页 > 新浪博客 > 明晓的BLOG-你我的空间 >  正文　打印

            手刃ssearch,就是出autolivefunc这个错误提示的



            http://blog.sina.com.cn 2006-12-31 02:39:45 明晓

            症状:开机后频繁出现 autolivefunc 这个错误 弹出菜单。
            运行regedit搜索ssearch，发现有注册项，删除整个ssearch，发现只要一刷新，自己恢复注册表项，根据注册表项里面的建值，发现有一个
            autolive.sys autolive.dll
            还有一个dword值为3721的注册码，点击开始-搜索-文件或文件夹输入autolive.sys 和dll
            发现没有找到相关文件，怀疑是另外文件生成，当我删除ssearch注册项的时候，程序自己生成相关文件，并且金山提示
            发现病毒在： C:\WINDOWS\system32\winup\eoxfzp21.dll
            病毒名：Win32.Troj.Downloader.cn.45056
            病毒类型： 其他病毒
            处理结果：删除
            然后紧接着出现autolive访问网站下载相关文件提示出现网址 和autolive.ini 下载成功 升级成功
            随后又开始弹出窗口出现autolivefunc 问题依旧
           
            尝试解决：运行删除增加文件 没有找到ssearch 和其他可疑项  运行regedit
            除了ssearch有注册其他的文件eoxfzp21.dll autolive.sys autolive.dll 等均未发现
            运行HijackThis.exe 也未发现可疑项目运行360未发现和ssearch相关项目 只有一个
            实用网址导航（酷站导航）c:\windows\system32\advport.dll
            类别：广告软件
            恶意表现：强制安装、弹出广告、无法彻底删除
            出品公司：上海来网广告公司
            运行360清除，提示清除干净，结果重新启动又出来。
            运行一刀切Behead.exe 未发现可疑项
            运行卡卡和360一样效果
           
            分析原因删除ssearch注册项后，驻留在内存，这个驻留没有具体文件，可能是插在关键进程里的调用因为我尝试终止所有进程除了关键进程，在内存中监视注册表，发现ssearch相关注册项不存在，以为主体文件被破坏，然后自己生成
            C:\WINDOWS\system32\winup\eoxfzp21.dll 并且恢复ssearch注册项，
            而此时  C:\WINDOWS\system32\winup\eoxfzp21.dll 被金山杀掉，
            其他的恶意表现无法正常出现，但是同时注册表被恢复以及相关的文件被升级，
            这个时候检测 C:\WINDOWS\system32\winup\eoxfzp21.dll 发现这个文件不存在
            也就是注册表有病毒项，相关当病毒招到破坏后恢复的程序正常执行，而具体病毒表现的文件被破坏，也就是为什么主页没有被修改和没有乱弹出页面的原因，而只出现弹出窗口提示autolivefunc
            错误。
            解决方法 ： 在桌面新建一个空的.txt文件（把扩展名也显示出来） 然后改名advport.dll 然后复制到
            c:\windows\system32
            如果你的windows默认目录不是这个请自行更换。
            注意如果 C:\WINDOWS\system32\winup\eoxfzp21.dll
            此文件没有被删掉也用上面的生成0字节的eoxfzp21.dll 文件覆盖.
           
            然后运行regedit 搜索 ssearch 删除整个ssearch建 删除后多等等 让他自己再多生成几次然后再删掉.
           
            至此全部问题解决。
           
            如果还不行 c:\windows\eoxfzp21.dll  这个文件也要替换
            不过启动的时候可能会抱错但是autolive错误是不会有了。如果删除不了 用icesword 删除然后替换。
           
            后记：虽然解决了问题，而且对此病毒有一定的免疫，但是如果出现新的变种就难说了，
            而且文件名换了 的话
            需要大家自己查找当然编写病毒的人也可以有办法防止这种解决方法我在此不对此解决方法做解析和评论，以免被人利用做出新变种。
            此病毒做的非常巧妙， 360 卡卡拿他无能为力，其他的工具也没有好的办法
            再此bs一下出产此流氓软件+病毒的公司上海某某垃圾公司，还顺便bs一下3721。
           


      http://blog.sina.com.cn/u/537d22300100074v
注意:我已验证这个做法确实有效,但是该软件会生成不同的.DLL文件所以每台机器都不同,为此要求大家找出自己电脑上的不同文件,用卡卡可以找到!关键是要找到
            实用网址导航（酷站导航）c:\windows\system32\advport.dll
            类别：广告软件
            恶意表现：强制安装、弹出广告、无法彻底删除
            出品公司：上海来网广告公司



此帖为转帖,如有任何问题请通知我马上删之!谢谢