遭遇my123.com劫持浏览器和yok

最新推荐文章于 2020-09-09 01:03:24 发布
最新推荐文章于 2020-09-09 01:03:24 发布
阅读量4.7k 收藏
点赞数
分类专栏: 系统维护 文章标签: 浏览器 system windows c internet 杀毒软件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/1419052
版权

endurer 原创

2006-11-28 第1

一位网友的电脑,最近江民杀毒软件总示发现yok*.*感染病毒,开机时会提示找不到文件,让偶帮忙检查。


打开IE,发现首页被设置为 hxxp://www.my123.com,到瑞星网站下载my123.com专杀工具,到 http://endurer.ys168.com 下载 HijackThis, ProcView。

用瑞星my123.com专杀工具扫描,没有发现可疑文件……汗!

江民KV好像没有历史记录导出功能,汗!

用 HijackThis 扫描 log,发现如下可疑项:
/-------
Logfile of HijackThis v1.99.1
Scan saved at 13:27:08, on 2006-11-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

O2 - BHO: 珊瑚虫超级搜索 - {75FE2B5A-D3A4-4EFA-AC11-ADC9C9459688} - C:/PROGRA~1/yok/toolbar.dll

O4 - HKLM/../Run: [yok.exe] C:/WINDOWS/system32/rundll32.exe C:/PROGRA~1/yok/yok.dll,Rundll32

O4 - HKLM/../Run: [dvhzso26] C:/WINDOWS/system32/rundll32.exe C:/WINDOWS/system32/dvhzso26.dll,DllCanUnloadNow

O8 - Extra context menu item: 珊瑚虫超级搜索 - C:/PROGRA~1/yok/yoksch.htm
-------/

用 HijackThis 生成启动项列表,发现如下可疑服务:
/-------
StartupList report, 2006-11-28, 下午 02:02:12
StartupList version: 1.52.2
==================================================
Enumerating Windows NT/2000/XP services

dvhzso26: System32/DRIVERS/dvhzso26.sys (system)

lybvrlcy: System32/DRIVERS/lybvrlcy.sys (system)

ngaacn74: system32/drivers/ngaacn74.sys (system)

TYKeeper: system32/drivers/TYKeeper.sys (system)

vhehnzrh: System32/DRIVERS/vhehnzrh.sys (system)

Windows 套接字 2 .0 Non-IFS 服务提供程序支持环境: /SystemRoot/System32/drivers/ws2ifsl.sys (disabled)
-------/

用WinRAR找到 C:/WINDOWS/system32/dvhzso26.dll,压缩时提示正在使用,接着江民KV2006实时监控提示dvhzso26.dll感染了rootkit.startpage。
把江民KV2006实时监控关闭后,还是不能打包。

用 ProcView 导出系统进程列表,发现dvhzso26.dll注入到Explorer.EXE进程中。
/-------
Windows XP (5.1.2600 Service Pack 2)
2006-11-28 13:40:51进程列表
C:/WINDOWS/Explorer.EXE
   C:/WINDOWS/system32/dvhzso26.dll
-------/

用 HijackThis 修复上面列出的可疑项,发现修复不成功。
用注册表编辑器把在 HijackThis 的启动项列表中发现的可疑服务的启动类型(start)改为5(禁用)。

清空IE临时文件夹和系统临时文件夹

让网友重启电脑到安全模式下把C:/WINDOWS/system32/dvhzso26.dll打包后删除,
删除C:/PROGRA~1/yok。

过了一会,网友说C:/WINDOWS/system32/dvhzso26.dll删除不了,只删除了C:/PROGRA~1/yok。

再用 HijackThis 扫描 log,生成启动项列表,发现可疑的项目和服务还在。

system类型的系统服务就是牛。

http://purpleendurer.ys168.com 下载 bat_do。


/----------
C:/WINDOWS/system32/dvhzso26.dll
C:/WINDOWS/System32/DRIVERS/dvhzso26.sys
C:/WINDOWS/System32/lybvrlcy.dll
C:/WINDOWS/System32/DRIVERS/lybvrlcy.sys
C:/WINDOWS/system32/ngaacn74.dll
C:/WINDOWS/system32/drivers/ngaacn74.sys
C:/WINDOWS/system32/TYKeeper.dll
C:/WINDOWS/system32/drivers/TYKeeper.sys
C:/WINDOWS/System32/vhehnzrh.dll
C:/WINDOWS/System32/DRIVERS/vhehnzrh.sys
----------/
加入待处理文件列表,bat_do提示文件不存在或者是文件夹时,仍然添加。
点击“全部选中”按钮。
在“设置属性”、“改名”和“删除”前打上钩。
点击“生成命令”按钮。
点击“重启时执行”按钮。

江民KV2006实时监控提示bat_do修改删除表,允许。

对于system类型的系统服务,还是用autoexec.bat来删除相应的文件比较保险。

打开记事本,把生成的复制、粘贴到记事本中,保存为c:/autoexec.bat。

系统提示c:/autexec.bat只读。

在bat_do窗口的“文件/命令框”中输入命令:attrib c:/autoexec.bat -h -r -s
点击“执行命令”按钮。

再在记事本中保存为c:/autoexec.bat,OK!

让网友重启电脑。

网友重启电脑后说,开机时系统提示rundll出错。

让他用msconfig.exe把包含rundll32的启动项取消。


dvhzso26.dll  Kaspersky 报为 Trojan-Downloader.Win32.Agent.bbc。 

 
紫郢剑侠
关注
专栏目录
4、Mysql 主从复制报错[ERROR] [MY-013117] 踩坑
kingchengwen的专栏
07-02 4601
2020-07-01T14:34:42.709318Z 12 [ERROR] [MY-013117] [Repl] Slave I/O for channel ‘’: Fatal error: The slave I/O thread stops because master and slave have equal MySQL server ids; these ids must be different for replication to work (or the --replicate-same-s
yok9金立远程控制-远程服务.rar
04-05
yok9金立远程控制-远程服务.rar yok9金立远程控制-远程服务.rar yok9金立远程控制-远程服务.rar yok9金立远程控制-远程服务.rar yok9金立远程控制-远程服务.rar yok9金立远程控制-远程服务.rar
顽固木马my123.com覆灭记
weixin_34270865的博客
11-16 605
原本以为小菜一碟,杀掉几个小马就行,没想到竟然费了如此周折。。。 用超级兔子一查,中了五种流氓软件,我杀杀杀。。。重启再查,发现有一个VERYCD超级搜索无法清除,IE首页依然固定为my123.com,重启进安全模式清除,每次清除以后又会重新感染。哎哟!这小马不简单啊,居然有守护进程,立马拿出Pjf大侠制作的Iceswrod1.12,以下简称ICE,查...
首页被绑定为"www.my123.com"的手工解除方法
tabby的专栏
11-22 5451
http://hi.baidu.com/nslog/blog/item/f6506ed0b1a9c18fa1ec9c46.htmlcuskfc05.sys mbisqq54.sys plxgjjli.sys
mysql优化
weixin_30940783的博客
06-18 80
表的优化与列类型选择 定长与变长分离 如:id int ,占4个字节,smallint 占2个字节,tinyint 占1个字节,char(n) 占n个字符,也是定长,time也是定长,即每个单元值占的字节是固定的。 核心且常用的字段,可以建成定长,放在一张表,而varchar,text,blob 这种变长字段,适合单放一张表,用主键与核心表关联起来。 2.常用字段和...
华为荣耀V40短接图YOK-AN10短接图.png
04-19
华为荣耀V40短接图YOK-AN10短接图
yok:YOK 是一种工具,可让您在外出时监视其他用户在您的计算机上所做的事情。 它主要设计为隐藏和监视计算机活动,并允许您通过 IRC 扩展 LUA 和控件
06-06
此外,YOK 使您有机会通过距离和匿名控制您的计算机,使用 IRC(互联网中继聊天)作为主要通信平台。 你只需要使用任何客户端(桌面、网络、移动等),登录 #channel 并通过 irc bot 与你的计算机交谈。 为了给您...
YoK --> смотри online-crx插件
04-07
语言:русский 的站点Kinopoisk.ru,转到电影页面,看看 扩展名将在Kinopoisk.ru网站上找到所有链接到电影网站 为此,只需转到电影页面
my123.com的分析以及专杀工具
11-13 2958
作者:网络安全日志   日期:2006/11/12   (转载请保留此申明)     piaoxue这个驱动的另外一个变种,刚刚写了一个主页被锁定为good.allxun.com的,也是它的一异种。看来庞升东拿到这个东西之后,准备让他四处开花结果.....(paixue驱动是YAHOO的一个人写的,后来据说是转手卖给庞升东,然后就有了这么多(piaoxue,feixue,QQHelper,
Windows Socket套接字(四)-Windows套接字错误代码
Greless的后花园
05-26 4587
WSAGetLastError函数 int WSAGetLastError(void); 返回值表示该线程的最后一个Windows Sockets操作失败的错误代码。 在Winsock应用程序中,使用WSAGetLastError函数检索错误代码 ,Windows Sockets替代WindowsGetLastError函数 这些错误代码和与错误代码相关联的短文本描
关于Winsock:Winsock编程注意事项:Windows套接字兼容性问题
一世豁然的专栏
10-11 513
Windows套接字2继续支持所有Windows套接字1.1语义和函数调用,除了处理伪阻塞的那些。 由于Windows套接字2仅在32位预抢占调度环境中运行,因此无需实现Windows套接字1.1中的伪阻塞。 这意味着永远不会指示WSAEINPROGRESS错误代码,并且以下Windows套接字1.1函数不适用于Windows套接字2应用程序: WSACancelBlockingCall WS...
http://aluigi.org/mytoolz.htm
lionzl的专栏
06-15 2375
open source programs created by me for fun or requirement. read here if you don't know how to use my stuff and tips for their recompiling Sections: multiplatform (win/*nix/mac)Windows only
深入解析中间件之-Canal
遥望......
09-09 2612
canal: 阿里巴巴mysql数据库binlog的增量订阅&消费组件 MySQL binlog MySQL主从复制 mysql服务端修改配置并重启 $ vi /etc/my.cnf [mysqld] log-bin=mysql-bin binlog-format=ROW server_id=1 $ mysql -uroot CREATE USER canal IDENTIFIED BY 'canal'; GRANT ALL PRIVILEGES ON *.* TO 'canal'@
浏览器首页被恶意篡改为tb.5258.cc并跳转到其他的网址
chengg0769 平淡无奇见真知
11-20 2702
刚做完的win7系统浏览器首页被恶意篡改为tb.5258.cc并跳转到其他的网址 IE是这样,安装chrome也是这样。好像病毒一样。 尝试很多方法无法修改。 最后使用360急救箱清理。恢复正常。  ...
360杀毒软件无视宏病毒!
caobihole
01-20 413
一位朋友在打开邮箱里的一个xls文件后就出现了异常现象:每次关闭xls文件都会弹出是否保存窗口: 即使没做任何修改的情况下依然如此。 让朋友检查excel中的安全设置(菜单“工具/宏/安全性”),已经设置成“中”。 怀疑朋友电脑中了病毒,让他把那个可疑的xls文件发给我检查。把该文件上传到多引擎在线扫描网站上检测,结果: http://r.virscan.org/report/5b962c...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值