12   2  /  2  页   跳转

[求助] 主页被劫持

收藏
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2009-03-27 18:32 | 短消息 资料
字号: 11楼

回复 10F zk1979 的帖子

那试试大蜘蛛吧
安全模式里使用
gototop
 
zk1979
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2009-03-26
  • 来自:
发表于: 2009-03-27 20:34 | 只看楼主 短消息 资料
字号: 12楼

回复 9F aaccbbdd 的帖子

大蜘蛛查出病毒30列,有18列隔离,我再用瑞星查杀这18列,得到的答案是没有病毒,我该怎么操作?
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2009-03-27 20:41 | 短消息 资料
字号: 13楼

回复 12F zk1979 的帖子

大蜘蛛查杀结果截图看看
gototop
 
zk1979
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2009-03-26
  • 来自:
发表于: 2009-03-27 23:03 | 只看楼主 短消息 资料
字号: 14楼

回复:主页被劫持

放弃,明天重做系统!
gototop
 
marshu
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2009-03-28
  • 来自:
发表于: 2009-03-28 20:58 | 短消息 资料
字号: 15楼

回复: 主页被劫持

起初发现的问题是主页更改以后自动又被病毒强制改为http://www.net.cn.jiemei.bibipv.cn/blankblankblankblankblankblankblankblankblankblank.htm

跳转www.wawate.cn/。在注册表内清除还是无法更改、

使用360、卡卡、Windows清理助手、360compkill、均无法清除

后来无意间在开始菜单的启动项中发现了一个启动文件QQ.EXE

我忽然记得貌似我没有让他启动、

于是手动删除后又一次发现该文件自动复制到启动中。

此病毒的注释为

Path=%windir%\\system32\\

SavePath

Setup=%windir%\\system32\\ravtask.vbs

Silent=1

Overwrite=1

于是拨云见日。发现问题在%windir%\\system32\\ravtask.vbs此文件中

打开ravtask.vbs:内容为:

Set a = Wscript.CreateObject("Wscript.Shell")

Do While True

a.run "antsystem.bat",0

WScript.Sleep 6000



Loop

进一步找到

antsystem.bat

这个文件就是他的最终文件。于是乎删掉antsystem.bat和ravtask.vbs。再次删除启动中的QQ.EXE

这次终于没有了。主页也恢复了正常。

目前我发现的就这么多。具体别处还有没有病毒没有发现。




http://user.qzone.qq.com/227503/blog/1238244560
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT