10号遇一网友在QQ上求助,机器主页被锁定为http://good.allxun.com,用360等软件扫描都没有发现可疑的。在网上搜了一下,很多人都提出各种办法和猜测,但都没有很明确的说法。有点怀疑是飘雪的变种。由于没有流氓软件样本,只好让对方把SRENG的扫描日志发过来,初步分析了一下,应该是飘雪的一个变种(目前存在四个变种了)。SRENG的日志驱动部分如下:
驱动程序 [a320raid / a320raid] <\SystemRoot\System32\DRIVERS\a320raid.sys><Adaptec, Inc.> [AAC / AAC] <\SystemRoot\System32\DRIVERS\AAC.SYS><Adaptec, Inc.> [aar1210 / aar1210] <\SystemRoot\System32\DRIVERS\aar1210.sys><Adaptec, Inc.> [abp480n5 / abp480n5] <\SystemRoot\System32\DRIVERS\abp480n5.sys><Microsoft Corporation> [Intel(r) 82801 Audio Driver Install Service (WDM) / ac97intc] <system32\drivers\ac97intc.sys><Intel Corporation> [adpu160m / adpu160m] <\SystemRoot\System32\DRIVERS\adpu160m.sys><Microsoft Corporation> [adpu320 / adpu320] <\SystemRoot\System32\DRIVERS\adpu320.sys><Adaptec, Inc.> [Aha154x / Aha154x] <\SystemRoot\System32\DRIVERS\aha154x.sys><Microsoft Corporation> [aic78u2 / aic78u2] <\SystemRoot\System32\DRIVERS\aic78u2.sys><Microsoft Corporation> [aic78xx / aic78xx] <\SystemRoot\System32\DRIVERS\aic78xx.sys><Microsoft Corporation> [dpti2o / dpti2o] <\SystemRoot\System32\DRIVERS\dpti2o.sys><Microsoft Corporation> [Hpt366 / Hpt366] <\SystemRoot\System32\DRIVERS\Hpt366.sys><Microsoft Corporation> [ini910u / ini910u] <\SystemRoot\System32\DRIVERS\ini910u.sys><Microsoft Corporation> [rjcimom / rjcimomf] <\SystemRoot\System32\DRIVERS\rjcimomf.sys><N/A> [st3bus28 / st3bus28] <system32\DRIVERS\st3bus28.sys><Generic> [st3mp28 / st3mp28] <system32\DRIVERS\st3mp28.sys><Generic> [TosIde / TosIde] <System32\DRIVERS\toside.sys><Microsoft Corporation> [ViaIde / ViaIde] <System32\DRIVERS\viaide.sys><Microsoft Corporation> [viamraid / viamraid] <\SystemRoot\system32\DRIVERS\viamraid.sys><VIA Technologies inc,.ltd>
然后让这位网友用Unlocker把所有标明是<Microsoft Corporation>的驱动全部删掉(这里显示文件是Microsoft的,但是文件没有经过微软的数字签名,99%是假冒的),删除了以下文件: System32\DRIVERS\abp480n5.sys System32\DRIVERS\adpu160m.sys System32\DRIVERS\aha154x.sys System32\DRIVERS\aic78u2.sys System32\DRIVERS\aic78xx.sys SYSTEM32\DRIVERS\cd20xrnt.SYS System32\DRIVERS\dpti2o.sys System32\DRIVERS\ini910u.sys System32\DRIVERS\ql10wnt.sys
但是重启后发现首页还是被锁定为http://good.allxun.com,觉得有点奇怪,不可能啊,启动组,服务什么的都检查了,用360什么的都查不到。一定在里面。又仔细看了一遍,看到这一行: [rjcimom / rjcimomf] <\SystemRoot\System32\DRIVERS\rjcimomf.sys><N/A>
文件名是8位随机的字母组成的,并且没有属名公司<N/A>,跟飘雪的特征一样。应该是它。让对方用Unlocker删除了,重启之后,果然OK了!
总结一下:跟飘雪的特征一样,只要能找到驱动便可。找到驱动,这里用SRENG这个工具,一个比较强的系统扫描工具,只要找到可疑的驱动,然后用unlocker删除便可。
办法及操作步骤: 1)下载SRENG SRENG的官方下载地址(免费软件) http://www.kztechs.com/sreng/download.html (全名System Repair Engineer,也可到各大下载站搜索下载)
2)解开,运行——智能扫描——用记事本查看日志。
3)查找驱动:找到一个驱动为8位随机的字母或数字,并且公司注明为<N/A>的 4)用Unlocker删除位于systemroot\system32\drivers目录下的这个文件重启后重设一下主页便可。
本文章的办法对中了其它xxx.allxun.com的办法同样适用。
|