问题:
Win10的机器突然出现IE10浏览器打开页面就跳到“ie.75011.net”网站上去了,打开Chrome就跳到“123.75011.net”地址上去了。显然,机器遭到了木马病毒的入侵,且木马病毒与75011.net网站有关。
分析:
查看IE的快捷方式,发现没有被修改,这是以往木马病毒劫持浏览器惯用的手段;查看iexplore.exe文件,未发现明显异常(签名为微软Microsoft Corporation)。
通过网络搜索资料,发现确实是一种木马软件,病毒文件有2个:
c盘system32目录下,“ntoskrnl.exe”程序恶意- c盘drivers目录下,“juss3310s.sys”驱动程序恶意
经核实,C:\Windows\SysWOW64\drivers\juss3310s.sys为病毒文件,c:\windows\system32\ntoskrnl.exe未发现明显异常。
注意:千万不要贸然删除ntoskrn.exe文件,有可能其并没有被感染,删掉该文件后会导致系统不能启动,只能还原或重装操作系统了。
解决:
病毒文件juss3310s.sys无可读权限,当前用户甭说想删除它,就连更改、查看其权限都不行。这里给出一种删除方式。
1、启用administrator管理员账户
点Windows系统->命令提示符->右键更多->以管理员身份运行,然后执行命令:net user administrator /active:yes
注意:首次以administrator身份登入时会出现要等待很长时间的白屏,请耐心等待。
2、进入到Win10安全模式
进入安全模式的方法是,按着shift点+重启
(1)系统重启后进入高级启动选项,然后依次选择“疑难解答”->“高级选项”->“启动设置”->“重启”
(2)使用数字键4或者功能键F4,选择“启用安全模式”。
也可以根据自己的需要选择其他启动模式。
(3)进入到driver目录,删除病毒文件
使用administrator用户登录, 进入到C:\Windows\SysWOW64\drivers\目录,删除juss3310s.sys文件。
删除木马文件后,重启机器,打开IE浏览器和CHROME浏览器,发现不再跳转到前述网站。
注意:在机器恢复正常后,应禁用管理员用户,管理员用户没有密码,可以直接登录。
后记:
不管病毒软件的作恶者是谁,其肯定受利益方“75011.net”网站指使,或者该网站直接制造和传播了病毒文件。不管其出于何种目的,制造和传播木马病毒都是可耻的,也是涉嫌违法的行为。
1、该网站相关信息:
IP地址:47.89.251.215(美国 阿里云)
Registrar: GoDaddy.com, LLC(日本域名注册商)
Registrar Abuse Contact Email: abuse@godaddy.com
Registrar Abuse Contact Phone:*******42505
Registrant Organization: huangqiuyue
Registrant State/Province: Beijing
Registrant Country: CN
注册人为:北京,音(huangqiuyue)
网站显示ICP备案号:京ICP证050897号
2、病毒文件信息
病毒文件juss3310s.sys签名为上海一家叫***瀚的管理公司。
1467
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
