今天小编就给大家整理了怎样清除9991.com恶意网站病毒防范(共含9篇),希望对大家的工作和学习有所帮助,欢迎阅读!同时,但愿您也能像本文投稿人“时雨”一样,积极向本站投稿分享好文章。
前言:听朋友说9991.com很厉害,笔者想再怎么厉害的网站同样也是有办法可解的吧!于是登陆到该网站,发现这个网站能自动下载程序到用户的电脑中,修改IE设置,并且非常难以清除,
修改IE设置
作为一个垃圾网站9991.com算是非常厉害的了,这个垃圾网站三个多月的时间从ALEXA排名没有数据现在到了前100,一个网站在我们没有看到任何广告的情况下突然飙升为100上下呢?很明显,用了非常让人讨厌的流氓手段。
世上没有决对的事情,下面就来讲讲我如何清除它:
在“开始”“运行”输入“msconfig”,调出系统配置实用程序,打开启动项,看到有一个update.exe启动着,顺手打开任务管理器,看了一下,没有Update.exe这个程序运行,偶就把这个启动项给勾掉了,然后根据启动项的启动目录,找到C:盘程序文件夹下通用文件夹内,对准Update目录,按下DEL键,居然提示不能删除,郁闷!
看了一下通用文件夹下,还有一个SAND文件夹,这个文件夹也不是什么好玩意,按下DEL,一并清理,将IE主页恢复,重新启动计算机,再次找到Update目录夹,按下DEL,这次它乖乖地和垃圾呆在一起了,
打开IE一看,主页已经被我顺利收复。
全盘搜索了一下,发现在c:windowssystem32下还有一个update.exe,确认了一下日期及公司,一并删除。
注:通用文件夹指的是C:Program FilesCommon Files
笔者的话:
网络本来需要一个相对安静的环境,在我们一至申讨流氓软件的同时,这些流氓网站带给我们的烦恼是有过之而无不及。不断的利用IE漏洞修改我们的设置,给我的网络生活带来了非常大的不便。面对这些问题,我们应该如何办呢?笔者认为在用户加强防范的同时,法律法规上面需要得到更大的加强,对这些流氓网站采取更大的打击力度。流氓网站也是一个大众化的问题,所以程序员们应该开发出更多好软件出来保护我们的网络环境。
作为一名系统维护专员,经常遇到客户抱怨中了恶意网站的招,笔者也经历了无数次与恶意网站对决,一向以完胜告终,但最近遇到的一个恶意网中王却令我足足忙活了一下午,不敢独享,拿出来和各位读者分享。
客户的机器是Windows XP系统,补丁是Update后最新的,IE6也安装了最新的补丁,主页还是显示“about:blank”,但内容已经被恶意网站侵占。修改Blank页这种情况我还是第一次遇到,当时就觉得清除方法不像以前那么简单。
Step1: 拿出Spant(流行病毒专杀工具)查杀后恢复IE无效,用KV 最新病毒库检查也没有病毒。
Step2: 运行程序Msconfig.exe,在程序启动项,注册表中“Run”、“Runonce”、“Runservice”中都没有可疑程序加载,在System.ini与Win.ini和服务中也没有可疑的。
这下弄得我一身冷汗,以前还没有遇到过Spant不能查杀的恶意网站呢。
Step3: 既然Spant不能查杀,在注册表中常常提到的几项修改也会无效的,试着修改了注册表中的相应主页及首页键值,刚修改后启动IE没有问题。重新启动电脑后,恶意网站仍然历历在目,
Step4: 断开网络检查一下,启动IE,居然恶意网页全部清晰的显示出来,看来这个恶意页面并不是从网上而来的,已经在本机寄生(通常在断网的情况下会出现页面无法显示的提示)。
Step5: 看来是Blank这个页面被修改而存在本机,于是找到Blank.htm所在的位置C:windowspchealth
helpctrSystempanelsblank.htm,打开后发现页面是空白的,并没有恶意网页的足迹,看来和我想的不一样,病毒并没有修改Blank.htm这个页面。
Step6: 没有办法了,只好在网上搜索解决办法,还真是搜索到一些内容,在很多安全论坛中都有这个情况的讨论,情况居然和我遇到的一模一样,但都没有得到解决,所有遇到这个病毒的人的最后解决方法都是用Ghost恢复或者重装系统,就连重新安装IE也没用,3721等修复软件对它一点作用没有。
Step7: 这时候看到有人介绍黄山IE修复专家,下载安装后,先恢复IE,再选择“永久免疫”,重新启动计算机,这个顽固病毒终于被我清除了。
黄山IE修复专家
软件版本:7.41
软件大小:4226 KB
下载地址:点击下载
这个病毒的机理,应该是有相应程序的关联,因而修复后过一段时间或者重新启动又会恢复,所以各个启动项和杀毒软件都没能找出异常所在。
现在手机病毒正在模仿电脑病毒的常见破坏手法,如:“当机”、“终止应用程序”、“衍生变种家族”、“无线入侵”、“伪装免费软件”甚至“窃取资讯”,病毒入侵手机后可能会造成文件、电话簿、讯息、相片以及电话本身的操作功能丧失,总体看来,手机病毒虽然开始模仿电脑病毒,但是主动散播力较弱,不轻易用蓝牙接收来路不明的短信就不容易被感染。
预防病毒六步走
第一步,接收蓝牙传送文件应谨慎,以避免收到病毒文件。
第二步,不慎中毒暂时关闭手机上的蓝牙接收功能,以免继续搜寻感染目标。
第三步,收到来路不明的短信,不要打开,应直接删除。
第四步,不要安装来路不明的手机程序。
第五步,去合法、正规的 下载手机铃声、手机游戏;
第六步,安装专门的手机防毒软件。目前网上已有相关的防毒补丁下载,用户只需要将补丁下载并安装至手机中即可。
如何杀蓝牙病毒
如果手机不慎中蓝牙病毒,那么杀毒方法如下:
一、立即关闭蓝牙功能,可避免病毒扩散,传送给其他用户。
二、按照下列步骤清除病毒:
1、在手机中安装一款文件管理软件,
2、允许查看系统目录文件。
3、搜索驱动器A到Y,查找SYSTEMAPPSCARIBE目录。
4、删除CARIBE目录中的CARIBE.APP、CARIBE.RSC和FLO.MDL文件。
5、删除C:SYSTEMSYMBIANSECUREDATACARIBESECURITYMANAGER目录中CARIBE.APP、CARIBE.RSC和CARIBE.SIS文件。
6、删除C:SYSTEMRECOGS目录中的FLO.MDL。
7、.删除C:SYSTEMINSTALLS目录中的CARIBE.SIS。
注:如果无法删除步骤4和5中的CARIBE.RSC文件,说明病毒正在运行。先把可以删掉的文件都删除,然后重启手机,这时就可以删除CARIBE.RSC了。
内地首例“蓝牙病毒”是Cabir病毒(食人鱼,Caribe是中毒后手机屏幕所显示的英文),该病毒会通过手机的蓝牙功能传送到使用者的手机中。中毒后的反应是电量急剧下降,大大缩短正常的待机时间。虽被称作“蓝牙病毒”,但Cabir病毒并不会感染所有拥有蓝牙功能的手机,而是部分内置SymbianS60操作系统的智能手机,如诺基亚7610、6600等。世界上首例可在手机间传播的概念性病毒为“卡比尔”(Worm/Symbian.Cabir.a)
注:如果不需要蓝牙功能,应关闭为好,一则防止中蓝牙病毒,二则关闭蓝牙功能可省一定的电量,如果需要连接蓝牙耳机,应将蓝牙可见选择隐藏,避免接到莫名的蓝牙短信或者软件。蓝牙病毒多感染智能手机,所以在使用智能手机时,要多加小心中蓝牙病毒。
清除自动静音病毒
根据自动静音的现象及它所产生的文件我们可以进入安全模式下来删除静音病毒,
第一步、进入安全模式(电脑开机的时候按F8键)。打开我的电脑,将C盘下的iexploror01.exe和TEMP下的iexploror01.exe删除。
第二步、打开我的电脑,进行搜索:alga。将搜索到的文件全部删除,然后继续搜索:iexp1ore(注意:非iexplore,中见不是L,是123的1,系统中的文件是L),将搜索到的文件一并删除!继续搜索以下几个文件:Lgsyzr、O2FLASH、处理结果同上!
第三步、进入注册表(运行里输入regedit):按F3查找以下几项:Lgsyzr、O2FLASH、alga、iexp1ore,iexplora,servicea将搜索出来的值项都删除去,
第四步、开始-运行。输入msconfig。将启动项中的alga、iexp1ore都禁止!重新启动电脑。然后进入SYSTEM下删除ALGA文件(搜索也行,那样快点)
注:熊猫烧香专杀可杀次病毒
这款较为新颖的恶意软件是我昨天遇到的,今天就被我搞定了,它是一个老的 CVE的java攻击包(可能针对SecurityManager)的负载。压缩与解压缩的在VirusTotal/Malwr上都没有查到,所以这又是一个0day啊。
利用IDA进行初步检测,报出一个错误:
估计制作这家伙的兄弟也知道, 迟早某一天它会被像我这样的人拿来瞅瞅的。确实有许多的修改可以用来搅乱反汇编结果,而丝毫不影响Windows上的运行。
用CFF Explorer来看看,发现NT头部的一个错误在“Data Directories”的“Delay Import Directory RVA”项中。CFF很好的为我们指出0×00000040值是错的。将其清零就可以解决此问题。
保存修改的exe,在IDA中重新打开,之前的错误提示就消失了,一切正常。
在IDA里简单的过一眼就可以知道这是一个MFC程序。我咋知道的呢?在导入表的Library字段很清晰的表明了。
当然了,该程序被压缩了。没有节表修改,典型的内存压缩。
这就意味着静态的分析不再有效,我们需要动态分析来获得更多的信息。来吧,操起Immunity。
在开始immunity和虚拟机之前,exe文件里有些有趣的东西,没有很明显的在IDA里出现,但在CFF explorer里我们可以看到。首先,有几个隐藏在资源目录的文件凸显出来。
第一个是PNG文件。
然后是一个html文件。
在IfranView(最好的图像查看器)里浏览下该PNG文件,仅显示了一个很小的黑图片,这显然不足55kb大小。所以,里面肯定隐藏了点啥。呆会再来收拾它。
来吧,到你了,html文件。用notepad++加载清理,可以看到一些浏览器检测代码:
为啥这里仅是简单的放在了资源节表里,而不同其他代码一起压缩处理?真是个谜啊。先在脑海中记着这些资源节表,稍后处理。现在回头来解压这家伙。
首先开启Immunity调试器和VirtualBox,加载我们的anti-anti-debug python插件。
现在将这货运行起来,待其完全运行之后检测内存。
可以看到有些内存区间被标记为可读可写可执行(RWE),分别在00910000,00930000,00940000和00970000。检测一番,发现4个当中仅有3个包含着代码。该程序仍然有3个隐藏的代码?太酷了吧。
现在我们要从内存中导出程序到文件里,便于后续的分析。使出OllyDumpEx,填入0090区间,可看到00910000和00970000的程序同原始的程序在大小、节表和属性上都匹配。而00950000处的内存与其他的不同:有不同的节表,不同的大小。一定是隐藏着彩蛋啊。
利用‘Binary(Raw)’模式而不是重新构建模式导出exe文件,这样可以保证导出的数据的完整性。
2个无用的节表表明程序被UPX进行压缩了。运行upx工具确认了这一点。意味着我们可以砸出彩蛋了。
新的exe文件正确的解压后多出了40KB,现在我们终于可以在IDA里瞅瞅了。看下strings,有些有趣的信息:
这是啥?HTTP请求信息。看起来这货使用POST请求回传数据啊。
你可能会问C&C服务器在哪呢?似乎不在程序的明文里。还记得前面提到的资源节表吗?再来看看彩蛋的资源节表吧。
瞧,31.207.6.161。作者就这样将其放在明文里,让我们捡了个大便宜。想通过隐匿来获取安全,没门。
我知道你在想啥,主程序运行起来是啥样呢?就让我们来看看吧:
一运行起来,就自动的关闭了我的process explorer,我要运行任务管理器都会被一闪而过的消息窗提醒“任务管理器已经被管理员禁用”,
我也很想展示下截屏,但我动作实在没它那么迅速。动用Immunity打开,发现原始的“golden_egg.exe”不再运行。另一个名为“zpNvNKSi.exe”的程序从临时文件夹运行起来了。根据hash比较,其实是同一个程序:
喜欢我的哈希程序吗?到这下载吧。
广告时间结束了。现在很清楚该程序做啥了——禁用任务管理器,终止不受欢迎的程序,从临时文件夹运行。检查msconfig发现添加了2个自启动文件。
我对它们都进行了检查,确认正是原始程序的完全拷贝。
将程序附加到immunity,检测程序内存和线程数目(“t”键),显示出该程序是多线程的。我数了下,12个线程。
我猜测这些线程互相监控对方,以防被终止。然而将主程序挂起,用Process Explorer打开它,观察内存,通过检测,发现了一些IDA strings未看到的内容:
大胆猜测一下,我认为这货会检查这些程序,如果发现它们运行就强制结束它们。这就解释了当该程序运行时,process explorer为啥就被终止了。要运行这些工具就有点难了,有regedit,LordPE,wireshark,regmon,filemon,procmon,tcpview,taskmgr以及Windows Defender。吼吼,我没看到Process Explorer的小伙伴Process Hacker啊。
再来说内存,上面表明程序要么是混淆了那些字符串,要么就是进行了再次的压缩。不管哪个,把它揪出来。
对那些我们在Process Explorer中看到的字符串进行unicode格式的搜索,可以看到‘taskmgr’在.data节中。 关于这些字符串,难道IDA骗了我们?完全不是这样的。再看一遍,慢慢的利用二分法搜索一遍,的确可以看到这些字符串。 我猜IDA进行搜索时,默认的不显示unicode字符串。你可以在IDA中通过’alt+A’ 快捷键,选择6选项来更改。
检查这些新的unicode字符串,似乎该恶意软件还有更多的功能。
这才有趣啊。因为这货阻止了Wireshark的运行, 我们需要定位到负责终止功能的地方,并进行修复。咋做呢?对TerminateProcess API调用进行定位。这在IDA里很容易就能做到。在导入节表里我们看到一个对TerminateProcess的引用。
似乎是段循环,利用“CreateToolhelp32Snapshot”API遍历进程名称,如果满足条件,就终止掉它们。那些我们之前看到的黑名单似乎验证了这一点。
那我们能做点啥呢?改变程序的运行逻辑,使其不再调用TerminateProcess,也就没啥影响了。检查该部分的外部引用(Xref’s, eXternal REFerenceS), 可以看到函数为00401D2A所调用。有个‘jnz’指令负责决定是否调用那段负责查询、终止进程的过程处理。如果我们能修复这段程序,使其不再调用,将其跳过,就可以运行黑名单上的程序啦。
开搞吧。 我比较喜欢用immunity进行修复,一是它简单,二来我也比较熟悉。定位到运行程序的子过程部分,进行条件跳转的指令在‘0x00401d4e’。将那片区域进行nop填充,使得指令流返回,而不是跳转到终止黑名单进程的00401d2c处。
继续运行程序,开启一个被黑名单的程序进行测试。“regedit”也可以正常运转了,“process explorer”也没有被终止,我们成功了。
现在我们可以利用wireshark进行仔细的网络行为分析了,文件和注册表的分析利用procmon,好好的摆弄Process Explorer处理吧。
用Process Explorer看到程序通过80端口向我们前面挖掘出的C&C服务器发送一个syn包。
Wireshark显示的更多。可以看到发向HTTP C&C服务器的syn包,也有一串的向未知域名的DNS请求。这是咋回事?
服务器会继续回调,但我不想让它这样。可以修改“golden_egg.exe”中的资源节表,使其指向我自己的HTTP服务器,检查它的功能。还有很多可以干的,现在我们已经获得所需要的了,有了C&C地址,解压了程序,也有了它的HTTP特征以及它的行为。案子就这样结束了
昨天,我的卡巴斯基报警,提示发现木马程序:Rootkit.win32.cq,我看了一下,病毒主程序是隐藏在C:WINDOWSTemp文件夹下的Msupd.exe,删除不了.用卡巴斯基也不行.重启后又有了,试了很多次,都没有删除成功.因此我在论坛发了贴子,但一直都没有好的方法.在忍受了一天的病毒折磨之后,没办法,只好试着用手工清除了.最后终于清除成功.好了,废话不多说,现在把我的方法写出来,和大家一起交流,分享.欢迎大家发表意见.
第一步,要想用手工清除,就要用到DOS,可大家都知道,XP没有纯DOS,而我的电脑也没有软驱,于是我只好去网上找了一个小软件,名字叫vfloppy,这是一个虚拟软驱的软件,完全免费,个人感觉还不错.下载地址是download.pchome.net/system/sysenhance/15880.html.
图1
第二步,打开下载的文件,这个软件是绿色的,不需要安装.把它解压即可.解压后的vfloppy包括5个文件,其中BOOTDISK.img和NTFS.img是电脑启动所需的映像文件,vFloppy.exe是它的主程序.运行vFloppy.exe,(如图).点击图中画红线的地方,然后在弹出的窗口中选择并打开NTFS.img文件(如果你的XP系统用的是NTFS格式,否则请选择BOOTDISK.img),然后点击应用.系统提示是否立即重新启动电脑,点击确定,系统自动重启.
第三步,系统重启后,进入系统启动程序选择菜单,一个是用XP启动,另一个就是用虚拟软驱也就是我们刚装的VFloppy启动.选择用虚拟软驱启动.
第四步,几秒钟后,系统自动进入虚拟软驱程序.一路按回车,直到出现Folders和Files两个菜单,先在左边的Folders栏找到WINDOWS文件夹,按下回车,然后用上下箭头找到Temp文件夹;再按下键盘上的TAB键,跳到Files栏,找到病毒主程序Msupd.exe文件,这时候按下F3键,这时你会发现打开了这个主程序的文件,在屏幕右边一栏里你会看到跳动的鼠标,你现在可以随便对这个文件进行编辑(就是随便输入一些内容,什么都行,主要目的是通过修改让这个程序不能运行.),然后按下F10,保存并退出,在随后的主菜单里选择Reboot,重启计算机.
第五步,按住键盘上的F8键,选择运行安全模式.
第六步,进入桌面后,运行注册表,通过“编辑搜索”找到Msupd.exe项,把它删除(在删除之前最好对注册表进行一下备份,以防万一).
第七步,打开我的电脑,找到C:WINDOWSTempMsupd.exe文件,把它改名,什么名都行,最好把扩展名也改了.其实这一步可有可无.再同时按下SHIFT+DEL键,把它删除.
最后,重启计算机,一切OK
病毒名称:Trojan.DL.Agent.xdw
关键字:webwork
该病毒会自动到这个网站下载病毒包:www.17player.cn/ ,用瑞星杀毒软件的朋友可以这样操作:
1.首先确机器在联网模式下,用鼠标右键点击桌面右下角的监控图标,点禁用所有监控,使监控变成红伞,
关于病毒:Trojan.DL.Agent.xdw 的清除杀毒病毒防范
,
2.打开控制面板,在“添加删除程序”中找webwork,点“更改/删除”卸载。 注意:点卸载后,会出现一个卸载界面要求输入窗口中看到的附加码,这会儿如果装有防火墙,会弹出一个联网提示,一定要选择允许通过,否则附加码显示不出来。正确输入附加码后,要手动点“确认”而不能按回车。点确认才能正确卸载。点回车默认动作是取消卸载。
3.卸载后,再次全盘杀毒,应该还会杀到一个。ok,问题解决!
前不久,很多网友都感染了www.7b.com.cn的病毒,首页被改成这个网站,并且无法改回, 是如何做到锁定用户的浏览器首页呢?下面我们就去探个究竟。
提醒:分析病毒存在一定风险,建议在虚拟机下操作。
第一步 查看www.7b.com.cn首页的源代码,可以发现在尾部有如下的字样:
这是一个嵌入到7b网址之家首页的页面,即打开www.7b.com.cn也就同时打开了这个页面。
而“m.das&
#104ow.&
#99om.cn/m.html”表示的是一个字符串,“&后面是每个字符串ASCII的十进制值。
直接把这段乱码保存为HTM文件,用IE打开,就可以看到它的真实面目“m.dashow.com.cn/m.html”,
第二步 查看m.dashow.com.cn/m.html的源代码,把看的
,存HTM打开。屏幕上立即出现了一段令人眼花的东西。把眼花缭乱的东西整理一下,并将出现的CHR在前面用到过,作用是把字符的ASCII转成字符,只不过这次是16进制。然后再将字符拼接成字符串,然后再Execute运行这个命令字符串
。继续用Document.Write替换掉EXECUTE,前后加脚本标记,存HTM打开。
第三步 经过上几步的还原后终于看到了这个恶意页面的最终面目。
on error resume next curl = “m.dashow.com.cn/start.exe”……其后省略。
这段代码中我们可以很清楚地看到m.dashow.com.cn/start.exe这个链接。没错,它就是运行后可以将用户主页锁定为www.7b.com.cn的病毒。
可以用下载工具将这个文件下载下来,如果你的杀毒软件查不到的话最好立即上报。这样可以保证杀毒软件快速查杀这个病毒,并使更少的网友免受该病毒的侵害。
随着网络时代的到来,信息的随时获得令我们尝尽了甜头,但是,任何事物都有两面性,就在我们毫无顾忌的上网冲浪时,网络病毒, 工具已经向你进攻,造成了机器突然死机或是蓝屏,网页不能浏览,QQ不能登录等后果,严重威胁了广大网民的个人上网安全,因而提高个人防黑意识和网络安全知识迫在眉睫。
一、为注册表备份
正所谓“智者千虑,必有一失”,为保证计算机在遭受网络病毒、 工具侵袭时免于“全军覆没”――备份工作是少不了的。首当其冲的就是注册表,它掌管着系统启动项目的生死大权,如果注册
表出现错误就会造成诸如系统无法启动、应用程序无法运行、系统不稳定等故障,而恶意网站中当然少不了对注册表条目的修改,对于用户来说备份注册表越发重要了。
由于修改注册表有时会危及系统的安全,因此不管是WINDOWS 98还是WINDOWS 2000甚至WINDOWS XP,都把注册表编辑器隐藏在了一个非常隐蔽的地方,要想使用它,必须通过特殊的手段才行,
点击“开始”菜单,选择菜单上的“运行”选项,在弹出的“运行”窗口中输入“Regedit”后,点击“确定”按钮,这样就启动了注册表编辑器。
点击注册表编辑器的“注册表”菜单,再点击“导出注册表文件”选项,在弹出的对话框中输入文件名“regedit”,将“保存类型”选为“注册表文件”,再将“导出范围”设置为“全部”(如图1),接下来选择文件存储位置,最后点击“保存”按钮,就可将系统的注册表保存到硬盘上了。有的朋友也许认为这种备份方法比较麻烦,其实还有一种比较简单的方法。
由于注册表文件由system.dat和user.dat这两个文件共同组成,所以同样可以采取备份这两个文件的方法来备份整个注册表,将这两个文件拷贝到一个相对安全的文件夹中,待需要的时候复制到原文件夹中即可恢复注册表,一般为C:/Windows下。恢复的方法比较简单,只要在“注册表”菜单中选择“导入注册表文件”并选择事先备份好的REG文件即可。当我们遭受到恶意网站的攻击,比如出现IE浏览器主页被更改,右键菜单被屏蔽等等不良症状时,可以选择恢复注册表试一试啊!
另外,安装新软件或硬件改动的事情对于我们来说――是家常便饭了,但这时一定记住,要及时更新备份的注册表,如果不重新备份的话,可能会导致这些新安装的程序或硬件不能使用的后果,在这点上希望大家千万注意!
