瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】关于浏览器被www.rm78.com,vod.xp99.net等劫持的解决方法

1   1  /  1  页   跳转

【原创】关于浏览器被www.rm78.com,vod.xp99.net等劫持的解决方法

【原创】关于浏览器被www.rm78.com,vod.xp99.net等劫持的解决方法

昨天,一位网友说他的电脑中的浏览器出了问题。

  症状:

  1。开机时和浏览网页时会自动打开www.rm78.com、vod.xp99.net等一大堆广告窗口,有几个广告窗口甚至把整个屏幕都遮住了《endurer注:对于这类窗口,可以按Alt+F4来关闭,或者按Ctrl+Alt+Del调用任务管理器来关闭(对于windows 2000/XP,可以用Ctrl+Shift+Esc直接调出任务管理器)》

  2。桌面出现一些广告网页

  3。IE首页被设置为恶意网站网址且不能修改

  4。注册表编辑器被禁用....


  出现问题后,朋友在这台电脑上安装了瑞星2005,但没有打开实时监控。在这些广告窗口弹出时,瑞星会报告发现并清除病毒,以下是瑞星的杀毒日志的片段:
--------------------------------------------------------------------------------
病毒名称 处理结果 发现日期 扫描方式 路径 文件 病毒来源
Js.hta.StartPage 忽略 05-09-29 08:38 实时监控 C:\Documents and Settings\administrator\Local Settings\Temporary Internet Files\Content.IE5\RTOH241X ie2[1].hta 本机
Js.hta.StartPage 清除失败 05-09-29 08:38 实时监控 C:\Documents and Settings\administrator\Local Settings\Temporary Internet Files\Content.IE5\91APXTTA ie2[1].hta 本机
Js.hta.StartPage 删除成功 05-09-29 08:39 实时监控 C:\Documents and Settings\administrator\Local Settings\Temporary Internet Files\Content.IE5\V4ZSJW0C ie2[1].hta 本机
Js.hta.StartPage 删除成功 05-09-29 08:39 实时监控 C:\DOCUME~1\administrator\LOCALS~1\Temp 142435738960.tmp 本机
Trojan.VBS.Wisis.e 删除成功 05-09-29 08:40 实时监控 C:\$NtUninstallQ1494$ sp4custom.dll 本机
Trojan.WinREG.StartPage.d 删除成功 05-09-29 08:40 实时监控 C:\$NtUninstallQ1494$ 3721.bat 本机
Hack.DDoS.IceShield 删除成功 05-09-29 08:44 手动扫描 C:\WINNT\Downloaded Program Files chm.exe 本机
Hack.DDoS.IceShield 删除成功 05-09-29 08:44 手动扫描 C:\WINNT services.exe 本机
Script.WebImport.b 删除成功 05-09-29 08:44 手动扫描 C:\Documents and Settings\administrator\Local Settings\Temporary Internet Files\Content.IE5\V4ZSJW0C yxk[1].hta 本机
Script.VBS.Qhost.d 删除成功 05-09-29 08:44 手动扫描 C:\Documents and Settings\administrator\Local Settings\Temporary Internet Files\Content.IE5\V4ZSJW0C count457847[1].hta 本机
Js.hta.StartPage    清除失败    05-09-30 07:56    实时监控    C:\Documents and Settings\lirui\Local Settings\Temporary Internet Files\Content.IE5\2GPOE95Z    rm78[1].hta    本机
Js.hta.StartPage    删除成功    05-09-30 07:56    实时监控    C:\Documents and Settings\lirui\Local Settings\Temporary Internet Files\Content.IE5\RTOH241X    rm78[1].hta    本机
Js.hta.StartPage    清除失败    05-10-01 10:40    实时监控    C:\Documents and Settings\lirui\Local Settings\Temporary Internet Files\Content.IE5\OXC5MB0X    av17[1].hta    本机
Js.hta.StartPage    删除成功    05-10-01 10:41    实时监控    C:\Documents and Settings\lirui\Local Settings\Temporary Internet Files\Content.IE5\GPC7KNSV    av17[1].hta    本机
Script.StartPage.n    清除成功    05-10-01 10:42    实时监控    C:\Documents and Settings\lirui\Local Settings\Temporary Internet Files\Content.IE5\OXC5MB0X    soucn4246567[1].hta    本机
Js.hta.StartPage    删除成功    05-10-01 10:43    实时监控    C:\Documents and Settings\lirui\Local Settings\Temporary Internet Files\Content.IE5\OXC5MB0X    rm78[1].hta    本机
--------------------------------------------------------------------------------


不过下次下机还会出现。进入安全模式,用瑞星扫描没有发现病毒。

分析:
  利用QQ的远程协助功能进行。

  朋友的电脑使用的是Windows 2000 SP4 + Internet Explorer v6.00 SP1。

  下载并使用HijackThis(您可以到http://endurer.ys168.com/的tools文件夹下载hijackthis英文版和汉化版)扫描log分析,发现:

  1。hosts文件被修改。一些网址对应的IP地址设为61.177.56.251。
  这些网址不仅包括一些广告窗口网址和恶意网站的网址(以毒攻毒),如:
--------------------------------------------------------------------------------
O1 - Hosts: 61.177.56.251 popme.163.com
O1 - Hosts: 61.177.56.251 www.xk99.com
O1 - Hosts: 61.177.56.251 ad4.sina.com.cn
O1 - Hosts: 61.177.56.251 ad.tom.com
O1 - Hosts: 61.177.56.251 ad.cn.doubleclick.net
O1 - Hosts: 61.177.56.251 search.union.3721.com
O1 - Hosts: 61.177.56.251 union.3721.com
--------------------------------------------------------------------------------


  也包括一些我们可能会访问的网址,如:
--------------------------------------------------------------------------------
O1 - Hosts: 61.177.56.251 post.baidu.com
O1 - Hosts: 61.177.56.251 mp3.baidu.com
O1 - Hosts: 61.177.56.251 image.baidu.com
O1 - Hosts: 61.177.56.251 site.google.com
O1 - Hosts: 61.177.56.251 www.qq.com
O1 - Hosts: 61.177.56.251 www.9sky.com
O1 - Hosts: 61.177.56.251 game.163.com
O1 - Hosts: 61.177.56.251 games.sina.com.cn
--------------------------------------------------------------------------------


  2。发现以下需要修复的项目:
--------------------------------------------------------------------------------
O4 - HKLM\..\Run: [internet.exe] C:/WINDOWS/systems.hta
O4 - HKLM\..\Run: [] regedit -s C:\$NtUninstallQ5926809$\sp4custom.dll
O4 - HKLM\..\Run: [WlN32] regedit -s C:\$NtUninstallQ887678$\WINSYS.cer
O4 - HKCU\..\Run: [IEXPLORE.EXE] IEXPLORE.EXE http://vod.xp99.net
O4 - HKCU\..\Run: [3721] C:\$NtUninstallQ5926809$\3721.bat
O4 - HKCU\..\Run: [IEXPLORE.EXE] IEXPLORE.EXE Http://www.rm78.com
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

--------------------------------------------------------------------------------


修复过程:


有关操作方法可参考:
【推荐】反浏览器劫持的一些常用操作
http://forum.ikaka.com/topic.asp?board=67&artid=6490491



sanadayukimura朋友的  【原创】图说本版的一些基本操作
http://forum.ikaka.com/topic.asp?board=67&artid=6789825



【整理】预防恶意网页的一些建议 解除恶意修改的一些方法
http://forum.ikaka.com/topic.asp?board=67&artid=5939356


  1。检查系统进程,如果有以下进程存在,请先终止它们:

C:\WINNT\Downloaded Program Files\autodown.exe
c:\winnt\system32\d11host.exe(注意文件名中的d和h之间的是数字1)

  2。由于O1项可能会很多,在HijackThis中钩选比较麻烦(远程协助时操作更困难),所以我们用WinRAR进入c:\winnt\system32\drivers\etc文件夹,删除hosts文件。

  3。用HijackThis修复上面[分析2。]中所列的04--07这些项目

  4。删除文件夹:C:\$NtUninstallQ5926809$

  5。删除文件:c:\winnt\system32\d11host.exe(注意文件名中的d和h之间的是数字1)

  6。用WinRAR打开C:\WINNT\Downloaded Program Files文件夹,删除文件autodown.exe。

  7。清空IE临时文件夹。

  8。到安全模式下用WinRAR删除C:\Documents and Settings\administrator\Local Settings\Temporary Internet Files\Content.IE5\V4ZSJW0C文件夹(该文件夹下的Script.VBS.Qhost.d病毒文件count457847[1].hta在一般模式下无法删除)


建议:

  1。拒绝恶意网站。大家可以把以下内容:

127.0.0.1 link.94link.com
127.0.0.1 www.94link.com
127.0.0.1 www.rm78.com
127.0.0.1 vod.xp99.net
127.0.0.1 autodown.98link.com
127.0.0.1 www.98link.com

加入hosts文件。

或者把

link.94link.com
www.94link.com
www.rm78.com
vod.xp99.net
autodown.98link.com
www.98link.com

加入拒绝访问列表。

  2。安装防病毒软件并打开实时监控。

  3。打开系统自动更新功能(使用Windows XP的朋友请慎重考虑)。由于朋友的系统自动更新功能被禁用了,可能缺少一些新的系统补丁,于是先把系统自动更新功能打开,再在线检查是否有新的系统补丁,果然发现了不少新的系统补丁。

  4。使用Maxthon或GreenBrowser来浏览网页。
最后编辑2005-10-09 12:56:47
分享到:
gototop
 

今天测试了一下

瑞星2005(版本17.47.32)将autodown.exe、d11host.exe报为Trojan.DL.98link


Kaspersky将autodown.exe、d11host.exe报为Trojan-Downloader.Win32.Small.bqi
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT