当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
杀掉"孔子学府"(http://kzxf.com)流氓网站 | |||
2006-9-23 8:08:52 文/45itcom收… 出处:电脑软硬件应用网 | |||
现在驱动级的广告恶意软件越来越多了,昨天晚上不知道怎么回事就中了这个http://kzxf.com/,查找了N久,弄到晚上10点多也没有找到它的出处,无奈只好放弃到今天早上来修复它。
首先,怎么也没有想到的是现在的广告网站居然变成了孔子学府,不知道这样的网站做AdWare有什么用呢?经过多次的更改系统主页,再被此AdWare改回来的失败之后,想到了用注册表监视工具对付它的方法,到网上下载NTRegMon工具,点击Options>Filter/HighLigth...,在弹出设置窗口中Include后面填入: Code:
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page 此键值为注册表中IE开始页面地址。 RegMon列出的信息表明为每隔几秒钟,进程:system(进程ID:4)即重写一次此键,值为:http://kzxf.com/ System进程为系统主进程,看来是该病毒以驱动方式加载的,打开工具:Process Explorer,点击System,在下面窗口中,发现可疑模块C:\WINDOWS\system32\drivers\dzvjop08.sys,及C:\WINDOWS\system32\drivers\ocjkyo19.sys,右击,选择“关闭句柄”,此模块关闭,在设备管理器中,查看>显示隐藏>在非即插即用中,找到这两个,右击,选择卸载,重新启动电脑,问题解决! 右击复制出来的dzvjop08.sys,发现其属性已经改的和微软自带的模块差不多了,在偶计算机上唯一的漏洞就是版本号不对,此文件为:5.00.2195.5438,而偶地系统为win2003SP1,这个版本的系统模块肯定不会出现在偶地计算机上。 用UltraEdit打开此文件,发现了http://kzxf.com/关键字符。 附记:在偶杀掉这个病毒后,该网站出现了:Service Unavailable,唉,学什么不好,学人家去做恶意软件,自己的网站又承受不了这么大的压力,这就叫搬起石头跟自己过不去! 电脑软硬件应用网站长注解:本文为网络转载,参考以上步骤前因该注意的问题:操作以上步骤前请清理IE临时文件夹。如果以上方法都无法解决此问题,请登陆http://www.45its.com/mianfeiliuyanban/index.asp?user= jinjunhe留言提问(提问请附上HijackThis扫描日志,以便我们分析问题)。 |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |