修改主页为www.131.cc的解决方法 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛修改主页为www.131.cc的解决方法

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[原创] 修改主页为www.131.cc的解决方法

smallyou93 卡卡反病毒小组帖子:1545 注册: 2008-12-14 来自:	发表于： 2009-06-27 02:20 \| 只看楼主短消息资料字号：小中大 1楼修改主页为www.131.cc的解决方法样本来自：http://bbs.ikaka.com/showtopic-8636209.aspx 文件名：C7D7A2EC21D614F5D1F39C3AAB881D84.exe(根据MD5命名) 运行后，释放多个病毒，动作有：篡改主页、安装服务、安装流氓软件、释放驱动、链接网络、添加IFEO等其流氓之处，写入注册表，创建一个无法删除的IE图标，指向http://www.131.cc/ HKEY_CLASSES_ROOT\CLSID\{6270AEE4-AA41-11d4-A25D-008048B63F94} 1.png (11.46 K) 2009-6-27 2:19:43 清理方法：清理IFEO 结束进程 0.png (38.79 K) 2009-6-27 2:19:43 删除病毒创建的服务 3.png (46.33 K) 2009-6-27 2:19:43 下载Windows清理助手3 高级功能→文件操作，粘贴，粉碎（以下是我用CA HIPS监控到病毒创建的文件，仅供参考） C:\WINDOWS\system32\14421\syster.exe C:\WINDOWS\system32\fly9473.dll C:\WINDOWS\system32\dllcache\fly9473.dll C:\WINDOWS\system32\flymy.exe C:\WINDOWS\system32\IEMaster.dll C:\WINDOWS\msapps\hct9320.nfo C:\WINDOWS\system32\drivers\hemyqvgr.sys C:\Program Files\Internet Explorer\IETimbar\IETimbar.dll C:\Program Files\Internet Explorer\IETimbar\cfg.dat C:\Program Files\Internet Explorer\IETimbar\vercfg.dat C:\Program Files\Internet Explorer\IETimbar\httpf.dat C:\Program Files\Internet Explorer\IETimbar\Uninstall.exe C:\WINDOWS\system32\reallinksvc.dll C:\WINDOWS\system32\BNITSAPS\msbdcid.ini C:\WINDOWS\system32\BNITSAPS\rubeh.exe C:\WINDOWS\system32\BNITSAPS\jgzwt.ini C:\WINDOWS\system32\BNITSAPS\ifyvs.dll C:\WINDOWS\system32\BNITSAPS\winvs.dll C:\WINDOWS\system32\mssrcid.ini C:\WINDOWS\system32\drivers\msiimw.sys C:\WINDOWS\system32\behko.exe C:\WINDOWS\system32\zwtqm.ini C:\WINDOWS\system32\yvspl.dll C:\WINDOWS\int21\IntMonitor.exe C:\WINDOWS\system32\dcfwssvc.dll C:\WINDOWS\system32\Web.ini C:\WINDOWS\system32\msscpsvc.dll 2.png (54.34 K) 2009-6-27 2:19:43 删除病毒添加的注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\NoDriveTypeAutoRun HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess\\BrowseNewProcess HKEY_CLASSES_ROOT\CLSID\{6270AEE4-AA41-11d4-A25D-008048B63F94} HKEY_CLASSES_ROOT\AppID\SoduiSvc.EXE HKEY_CLASSES_ROOT\AppID\usnsvc.EXE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{6270AEE4-AA41-11d4-A25D-008048B63F94} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1163E531-B58E-4BB9-B877-0906A0A22AEC} HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\\{871C5380-42A0-1069-A2EA-08002B30309D} HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D} HKEY_CLASSES_ROOT\CLSID\{6270AEE4-AA41-11d4-A25D-008048B63F94}\Shell\Open\Command HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 5.png (45.71 K) 2009-6-27 2:19:43 6.png (65.88 K) 2009-6-27 2:19:43 8.png (26.00 K) 2009-6-27 2:19:43 9.png (31.59 K) 2009-6-27 2:19:43 10.png (28.26 K) 2009-6-27 2:19:43 [attach]533408[/attach] 12.png (26.51 K) 2009-6-27 2:19:43 13.png (29.24 K) 2009-6-27 2:19:43 11.png (24.56 K) 2009-6-27 2:26:30 用户系统信息：Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.00 smallyou93 最后编辑于 2009-07-02 07:23:03
smallyou93 卡卡反病毒小组帖子:1545 注册: 2008-12-14 来自:	分享到：

smallyou93 卡卡反病毒小组帖子:1545 注册: 2008-12-14 来自:	发表于： 2009-06-27 02:28 \| 只看楼主短消息资料字号：小中大 2楼回复: 修改主页为www.131.cc的解决方法完成上述操作后，可以用Windows清理助手扫描，清理流氓软件 14.png (37.30 K) 2009-6-27 2:27:30 15.png (45.33 K) 2009-6-27 2:27:30 本帖被评分 3 次本帖被评分 3 次
smallyou93 卡卡反病毒小组帖子:1545 注册: 2008-12-14 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT