|
10号遇一网友在QQ上求助,机器主页被锁定为http://good.allxun.com,用360等软件扫描都没有发现可疑的。在网上搜了一下,很多人都提出各种办法和猜测,但都没有很明确的说法。有点怀疑是飘雪的变种。由于没有流氓软件样本,只好让对方把SRENG的扫描日志发过来,初步分析了一下,应该是飘雪的一个变种(目前存在四个变种了)。SRENG的日志驱动部分如下:
驱动程序
[a320raid / a320raid]
<\SystemRoot\System32\DRIVERS\a320raid.sys><Adaptec, Inc.>
[AAC / AAC]
<\SystemRoot\System32\DRIVERS\AAC.SYS><Adaptec, Inc.>
[aar1210 / aar1210]
<\SystemRoot\System32\DRIVERS\aar1210.sys><Adaptec, Inc.>
[abp480n5 / abp480n5]
<\SystemRoot\System32\DRIVERS\abp480n5.sys><Microsoft Corporation>
[Intel(r) 82801 Audio Driver Install Service (WDM) / ac97intc]
<system32\drivers\ac97intc.sys><Intel Corporation>
[adpu160m / adpu160m]
<\SystemRoot\System32\DRIVERS\adpu160m.sys><Microsoft Corporation>
[adpu320 / adpu320]
<\SystemRoot\System32\DRIVERS\adpu320.sys><Adaptec, Inc.>
[Aha154x / Aha154x]
<\SystemRoot\System32\DRIVERS\aha154x.sys><Microsoft Corporation>
[aic78u2 / aic78u2]
<\SystemRoot\System32\DRIVERS\aic78u2.sys><Microsoft Corporation>
[aic78xx / aic78xx]
<\SystemRoot\System32\DRIVERS\aic78xx.sys><Microsoft Corporation>
[dpti2o / dpti2o]
<\SystemRoot\System32\DRIVERS\dpti2o.sys><Microsoft Corporation>
[Hpt366 / Hpt366]
<\SystemRoot\System32\DRIVERS\Hpt366.sys><Microsoft Corporation>
[ini910u / ini910u]
<\SystemRoot\System32\DRIVERS\ini910u.sys><Microsoft Corporation>
[rjcimom / rjcimomf]
<\SystemRoot\System32\DRIVERS\rjcimomf.sys><N/A>
[st3bus28 / st3bus28]
<system32\DRIVERS\st3bus28.sys><Generic>
[st3mp28 / st3mp28]
<system32\DRIVERS\st3mp28.sys><Generic>
[TosIde / TosIde]
<System32\DRIVERS\toside.sys><Microsoft Corporation>
[ViaIde / ViaIde]
<System32\DRIVERS\viaide.sys><Microsoft Corporation>
[viamraid / viamraid]
<\SystemRoot\system32\DRIVERS\viamraid.sys><VIA Technologies inc,.ltd>
然后让这位网友用Unlocker把所有标明是<Microsoft Corporation>的驱动全部删掉(这里显示文件是Microsoft的,但是文件没有经过微软的数字签名,99%是假冒的),删除了以下文件:
System32\DRIVERS\abp480n5.sys
System32\DRIVERS\adpu160m.sys
System32\DRIVERS\aha154x.sys
System32\DRIVERS\aic78u2.sys
System32\DRIVERS\aic78xx.sys
SYSTEM32\DRIVERS\cd20xrnt.SYS
System32\DRIVERS\dpti2o.sys
System32\DRIVERS\ini910u.sys
System32\DRIVERS\ql10wnt.sys
但是重启后发现首页还是被锁定为http://good.allxun.com,觉得有点奇怪,不可能啊,启动组,服务什么的都检查了,用360什么的都查不到。一定在里面。又仔细看了一遍,看到这一行:
[rjcimom / rjcimomf]
<\SystemRoot\System32\DRIVERS\rjcimomf.sys><N/A>
文件名是8位随机的字母组成的,并且没有属名公司<N/A>,跟飘雪的特征一样。应该是它。让对方用Unlocker删除了,重启之后,果然OK了!
总结一下:跟飘雪的特征一样,只要能找到驱动便可。找到驱动,这里用SRENG这个工具,一个比较强的系统扫描工具,只要找到可疑的驱动,然后用unlocker删除便可。
办法及操作步骤:
1)下载SRENG
SRENG的官方下载地址(免费软件) http://www.kztechs.com/sreng/download.html (全名System Repair Engineer,也可到各大下载站搜索下载)
2)解开,运行——智能扫描——用记事本查看日志。
3)查找驱动:找到一个驱动为8位随机的字母或数字,并且公司注明为<N/A>的
4)用Unlocker删除位于systemroot\system32\drivers目录下的这个文件重启后重设一下主页便可。
本文章的办法对中了其它xxx.allxun.com的办法同样适用。
|
