|
(Vegeta)
早上來到了宿舍,打開QQ,看看留言,不想被ht,tp://www.88music.com這個網站騷擾,朋友在睡眼朦朧中囈語——中毒了,你先殺毒吧!本想好好學習,天天向上的。哎……
症狀——偶爾在QQ裏給好友發送信息時出現類似下面的話:讓你訪問ht,tp://www.88music.com。朋友就是訪問了這個網站而染上惡意程序的。而且主頁被修改爲:ht,tp://www.88music.com。
發這個帖子的目的是給大家一種對付此類惡意網站的辦法(當然,最好的方法就是不去訪問,但訪問前誰也不會知道要中招,呵……),給大家一種解決問題的思路。拋磚引玉吧。
一定要注意我下面操作的順序。
既然ht,tp://www.88music.com是關鍵,那就要從它入手。
一:解決IE啓始頁問題。首先在IE的屬性裏把開始頁面設置成爲空。還好,這個惡意程序並沒有鎖註冊表和把IE中的修改啓始頁的按鈕屬性修改掉。很簡單。
然後要用最簡單的方法在註冊表裏找到ht,tp://www.88music.com。只要在註冊表裏以此作爲查找目標即可。你會發現有兩處。不要客氣,刪之!他們分別藏在:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\Start Page
分別對應的是——本地用戶和所有用戶。
然後你就會發現啓始頁的問題已經解決,但重新啓動計算機後又變了回來,這是什麼原因呢?見下文。
二:QQ中自動發送信息是駐留程序搗的鬼。想必也和自動修改IE啓始頁有關。既然有駐留程序,那麼它就會修改OS使OS一啓動就開始運行。這是類似破壞程序的共同點!
我先講一下WIN32下的自啓動。(!高手略過!)[開始]中的[啓動]想必大家都知道,這裏就不提了。而註冊表中的"Software\Microsoft\Windows\CurrentVersion\Run"下是可以實現OS啓動時自動加載目的的。當然,不僅僅是這一個項。本例和大都此類軟件一樣也不例外。隱藏在了上面的地方。它的自啓動是靠:"QQ"="C:\\WINDOWS\\sendmess.exe "這句起的作用。將其刪除後,重新啓動計算機,發現惡意程序又把它添上了。(實際是啓動前就又改了回去。)和修改啓始頁後的症狀一樣。原來是忘了刪除C:\\WINDOWS\\sendmess.exe這個文件,找到這個程序後,卻發現刪不了它,說是正在運行,沒關係。我們可以在DOS下刪除它。然後進入WINDOWS,分別修改IE啓始頁和註冊表的自啓動項(後者不改也無妨)。這樣就OK了。
總結——
C:\\WINDOWS\\sendmess.exe這個程序不刪,它會自動修改OS自啓動項和IE的啓始頁。使OS每次啓動都要運行它,並且每次上網都要訪問它的主頁。這時,即使你把sendmess.exe刪了,它也會因爲訪問了那個網站而把惡意程序自動下載到你的計算機中,這樣就又被其所控制住了。所以——修改啓始頁和刪除sendmess.exe同等重要!
希望大家能看懂小弟的拙文,只是把今天所遭遇的問題及其解決方法寫了出來。考試在即,時間匆忙,恐有錯誤,還請見諒。謝謝!!!
詳細分析sendmess.exe稍後,吃飯去。
————————————————————
【跟貼】續——征服:ht,tp://nicex.4y.cn
(Vegeta)
花了我近1個小時。這次比較麻煩。簡單寫吧,我還要去上自習——
打開註冊表發現——
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
@="abchelp.exe"
很可疑。
用Pview95查看OS進程:發現——Abchelp.exe進程。
用FI查看是UPX1.20壓縮,絕對可疑!脫殼,反彙編,分析如下:
進入DOS,刪除——c:\windows\system\abchelp.exe、c:\windows\system\DirectX.exe、c:\windows\system\WINhelp32.exe.
在WIN.INI和SYSTEM.INI裏刪除上面紅色畫線區域共兩處。
刪除——
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
@="abchelp.exe"中的"abchelp.exe"
另:c:\windows\system\IEXPLORE .EXE很可疑,可能也是破壞程序,但反彙編分析中沒有發現別SERVER程序調用。大家可以繼續分析。
匆忙,閃嘍!
|
