昨天,一位网友说他的电脑中的浏览器出了问题。
症状: 1。开机时和浏览网页时会自动打开www.rm78.com、vod.xp99.net等一大堆广告窗口,有几个广告窗口甚至把整个屏幕都遮住了《endurer注:对于这类窗口,可以按Alt+F4来关闭,或者按Ctrl+Alt+Del调用任务管理器来关闭(对于windows 2000/XP,可以用Ctrl+Shift+Esc直接调出任务管理器)》
2。桌面出现一些广告网页
3。IE首页被设置为恶意网站网址且不能修改
4。注册表编辑器被禁用....
出现问题后,朋友在这台电脑上安装了瑞星2005,但没有打开实时监控。在这些广告窗口弹出时,瑞星会报告发现并清除病毒,以下是瑞星的杀毒日志的片段:
--------------------------------------------------------------------------------
病毒名称 处理结果 发现日期 扫描方式 路径 文件 病毒来源
Js.hta.StartPage 忽略 05-09-29 08:38 实时监控 C:\Documents and Settings\administrator\Local Settings\Temporary Internet Files\Content.IE5\RTOH241X ie2[1].hta 本机
Js.hta.StartPage 清除失败 05-09-29 08:38 实时监控 C:\Documents and Settings\administrator\Local Settings\Temporary Internet Files\Content.IE5\91APXTTA ie2[1].hta 本机
Js.hta.StartPage 删除成功 05-09-29 08:39 实时监控 C:\Documents and Settings\administrator\Local Settings\Temporary Internet Files\Content.IE5\V4ZSJW0C ie2[1].hta 本机
Js.hta.StartPage 删除成功 05-09-29 08:39 实时监控 C:\DOCUME~1\administrator\LOCALS~1\Temp 142435738960.tmp 本机
Trojan.VBS.Wisis.e 删除成功 05-09-29 08:40 实时监控 C:\$NtUninstallQ1494$ sp4custom.dll 本机
Trojan.WinREG.StartPage.d 删除成功 05-09-29 08:40 实时监控 C:\$NtUninstallQ1494$ 3721.bat 本机
Hack.DDoS.IceShield 删除成功 05-09-29 08:44 手动扫描 C:\WINNT\Downloaded Program Files chm.exe 本机
Hack.DDoS.IceShield 删除成功 05-09-29 08:44 手动扫描 C:\WINNT services.exe 本机
Script.WebImport.b 删除成功 05-09-29 08:44 手动扫描 C:\Documents and Settings\administrator\Local Settings\Temporary Internet Files\Content.IE5\V4ZSJW0C yxk[1].hta 本机
Script.VBS.Qhost.d 删除成功 05-09-29 08:44 手动扫描 C:\Documents and Settings\administrator\Local Settings\Temporary Internet Files\Content.IE5\V4ZSJW0C count457847[1].hta 本机
Js.hta.StartPage 清除失败 05-09-30 07:56 实时监控 C:\Documents and Settings\lirui\Local Settings\Temporary Internet Files\Content.IE5\2GPOE95Z rm78[1].hta 本机
Js.hta.StartPage 删除成功 05-09-30 07:56 实时监控 C:\Documents and Settings\lirui\Local Settings\Temporary Internet Files\Content.IE5\RTOH241X rm78[1].hta 本机
Js.hta.StartPage 清除失败 05-10-01 10:40 实时监控 C:\Documents and Settings\lirui\Local Settings\Temporary Internet Files\Content.IE5\OXC5MB0X av17[1].hta 本机
Js.hta.StartPage 删除成功 05-10-01 10:41 实时监控 C:\Documents and Settings\lirui\Local Settings\Temporary Internet Files\Content.IE5\GPC7KNSV av17[1].hta 本机
Script.StartPage.n 清除成功 05-10-01 10:42 实时监控 C:\Documents and Settings\lirui\Local Settings\Temporary Internet Files\Content.IE5\OXC5MB0X soucn4246567[1].hta 本机
Js.hta.StartPage 删除成功 05-10-01 10:43 实时监控 C:\Documents and Settings\lirui\Local Settings\Temporary Internet Files\Content.IE5\OXC5MB0X rm78[1].hta 本机
--------------------------------------------------------------------------------
不过下次下机还会出现。进入安全模式,用瑞星扫描没有发现病毒。
分析:
利用QQ的远程协助功能进行。
朋友的电脑使用的是Windows 2000 SP4 + Internet Explorer v6.00 SP1。
下载并使用HijackThis(您可以到http://endurer.ys168.com/的tools文件夹下载hijackthis英文版和汉化版)扫描log分析,发现:
1。hosts文件被修改。一些网址对应的IP地址设为61.177.56.251。
这些网址不仅包括一些广告窗口网址和恶意网站的网址(以毒攻毒
),如:
--------------------------------------------------------------------------------
O1 - Hosts: 61.177.56.251 popme.163.com
O1 - Hosts: 61.177.56.251 www.xk99.com
O1 - Hosts: 61.177.56.251 ad4.sina.com.cn
O1 - Hosts: 61.177.56.251 ad.tom.com
O1 - Hosts: 61.177.56.251 ad.cn.doubleclick.net
O1 - Hosts: 61.177.56.251 search.union.3721.com
O1 - Hosts: 61.177.56.251 union.3721.com
--------------------------------------------------------------------------------
也包括一些我们可能会访问的网址,如:
--------------------------------------------------------------------------------
O1 - Hosts: 61.177.56.251 post.baidu.com
O1 - Hosts: 61.177.56.251 mp3.baidu.com
O1 - Hosts: 61.177.56.251 image.baidu.com
O1 - Hosts: 61.177.56.251 site.google.com
O1 - Hosts: 61.177.56.251 www.qq.com
O1 - Hosts: 61.177.56.251 www.9sky.com
O1 - Hosts: 61.177.56.251 game.163.com
O1 - Hosts: 61.177.56.251 games.sina.com.cn
--------------------------------------------------------------------------------
2。发现以下需要修复的项目:
--------------------------------------------------------------------------------
O4 - HKLM\..\Run: [internet.exe] C:/WINDOWS/systems.hta
O4 - HKLM\..\Run: [] regedit -s C:\$NtUninstallQ5926809$\sp4custom.dll
O4 - HKLM\..\Run: [WlN32] regedit -s C:\$NtUninstallQ887678$\WINSYS.cer
O4 - HKCU\..\Run: [IEXPLORE.EXE] IEXPLORE.EXE http://vod.xp99.net
O4 - HKCU\..\Run: [3721] C:\$NtUninstallQ5926809$\3721.bat
O4 - HKCU\..\Run: [IEXPLORE.EXE] IEXPLORE.EXE Http://www.rm78.com
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
--------------------------------------------------------------------------------
修复过程:《
有关操作方法可参考:
【推荐】反浏览器劫持的一些常用操作
http://forum.ikaka.com/topic.asp?board=67&artid=6490491
和
sanadayukimura朋友的 【原创】图说本版的一些基本操作
http://forum.ikaka.com/topic.asp?board=67&artid=6789825
及
【整理】预防恶意网页的一些建议 解除恶意修改的一些方法
http://forum.ikaka.com/topic.asp?board=67&artid=5939356
》
1。检查系统进程,如果有以下进程存在,请先终止它们:
C:\WINNT\Downloaded Program Files\autodown.exe
c:\winnt\system32\d11host.exe(
注意文件名中的d和h之间的是数字1)
2。由于O1项可能会很多,在HijackThis中钩选比较麻烦(远程协助时操作更困难),所以我们用WinRAR进入c:\winnt\system32\drivers\etc文件夹,删除hosts文件。
3。用HijackThis修复上面[分析2。]中所列的04--07这些项目
4。删除文件夹:C:\$NtUninstallQ5926809$
5。删除文件:c:\winnt\system32\d11host.exe(
注意文件名中的d和h之间的是数字1)
6。用WinRAR打开C:\WINNT\Downloaded Program Files文件夹,删除文件autodown.exe。
7。清空IE临时文件夹。
8。到安全模式下用WinRAR删除C:\Documents and Settings\administrator\Local Settings\Temporary Internet Files\Content.IE5\V4ZSJW0C文件夹(该文件夹下的Script.VBS.Qhost.d病毒文件count457847[1].hta在一般模式下无法删除)
建议: 1。拒绝恶意网站。大家可以把以下内容:
127.0.0.1 link.94link.com
127.0.0.1 www.94link.com
127.0.0.1 www.rm78.com
127.0.0.1 vod.xp99.net
127.0.0.1 autodown.98link.com
127.0.0.1 www.98link.com
加入hosts文件。
或者把
link.94link.com
www.94link.com
www.rm78.com
vod.xp99.net
autodown.98link.com
www.98link.com
加入拒绝访问列表。
2。安装防病毒软件并打开实时监控。 3。打开系统自动更新功能(使用Windows XP的朋友请慎重考虑)。由于朋友的系统自动更新功能被禁用了,可能缺少一些新的系统补丁,于是先把系统自动更新功能打开,再在线检查是否有新的系统补丁,果然发现了不少新的系统补丁。
4。使用Maxthon或GreenBrowser来浏览网页。
