手工清除IE首页遭篡改为www.9348.cn病毒

最新推荐文章于 2018-11-27 09:53:57 发布
最新推荐文章于 2018-11-27 09:53:57 发布
阅读量3.8k 收藏 2
点赞数
文章标签: ie system 工具 杀毒软件 百度 service
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/onestab/article/details/4909667
版权

最近不小心下载软件,安装过程中发觉不对劲,立即终止安装进程,但为时已晚。
重启IE时,发现首页被篡改为www.9348.cn/?2205xxx。经过查找,在临时文件夹留下了尚未来得及安装的system.dll和百度工具条安装文件(证明百度与捆绑恶意软件,进行病毒营销的恶意网站脱不了干系 )。快速启动栏中的IE浏览器快捷方式后面加上了9348.cn网站的地址。注册表中与首页相关的注册表项均被篡改。虽然本人极少使用IE,但这种流氓手段太恶心了,难道就让他们得逞?

于是开始尝试手工清除。

手工设置IE选项的首页地址为about:blank,保存后再次进入选项,发现又被篡改了。hosts文件也遭到清空,只剩下127.0.0.1 localhost。
看来这个病毒非一般手段可以对付。
网上介绍的各种手工清除方法大多为杀毒软件厂商的枪手帖,需要下载他们的专用工具,但看起来效果不大。
onestab使用的工具是大名鼎鼎的:SysinternalsSuite 工具包中的 procexp[进程查看器], autoruns[启动项查看器], regmon[注册表监视器]。
首先,启动procexp进程查看器,查找可疑进程,无果。
启动autoruns自动项目查看器,查找可疑启动项目,重点在services 和 drivers,特征是没有签名的驱动程序和服务。发现一个jeddfd的服务项,没有签名,启动文件为 system32/drivers/wdiys.sys【服务名和文件名是随机产生的】。

启动regedit,进入HKLM/SYSTEM/ControlSet001/Services,找到该服务名下的ImagePath项,正是刚才提到的sys文件,于是重命名为syss。F5刷新,发现又被改回来了,证实此项就是病毒的源头。

以安全模式重新启动,进入regedit,还是改不回来,说明病毒已经抢先一步进入了系统。
启动RegMon.exe,准备好regedit,开始捕捉,手工更改ImagePath键值,看看是哪个程序把注册表项改回来了,结果如下:

28.03529930	System:4	CloseKey	HKLM/SYSTEM/ControlSet001/Services/jeddfd	SUCCESS		

28.03532600	System:4	CreateKey	HKLM/System/CurrentControlSet/Services/jeddfd	REPARSE		

28.03534508	System:4	CreateKey	HKLM/SYSTEM/ControlSet001/Services/jeddfd	SUCCESS		

28.03539085	System:4	SetValue	HKLM/SYSTEM/ControlSet001/Services/jeddfd/ImagePath	SUCCESS	"system32/drivers/wdiys.sys"	

28.03540039	System:4	SetValue	HKLM/SYSTEM/ControlSet001/Services/jeddfd/Type	SUCCESS	0x1	

28.03540802	System:4	SetValue	HKLM/SYSTEM/ControlSet001/Services/jeddfd/ErrorControl	SUCCESS	0x1	

28.03541565	System:4	SetValue	HKLM/SYSTEM/ControlSet001/Services/jeddfd/DisplayName	SUCCESS	"wdiys"	

28.03542328	System:4	SetValue	HKLM/SYSTEM/ControlSet001/Services/jeddfd/Start	SUCCESS	0x0	

28.03543091	System:4	CloseKey	HKLM/SYSTEM/ControlSet001/Services/jeddfd	SUCCESS		

28.03544617	System:4	OpenKey	HKLM/System/CurrentControlSet/Services/jeddfd	REPARSE		

28.03546333	System:4	OpenKey	HKLM/SYSTEM/ControlSet001/Services/jeddfd	SUCCESS


发现保护病毒注册表项的是System进程,该进程是系统进程,是由内置账户SYSTEM启动,不能终止的。
难道就没有办法防止病毒更改注册表项?
有,就是利用权限控制
右键单击病毒所在的注册表项目,选“权限...”,在用户和组名称中删除"SYSTEM",再添加"SYSTEM"用户,权限设置里全部选“拒绝”。这样做的目的是防止System进程修改该注册表项目。再回到Regedit,修改服务的ImagePath(在sys或dll后缀名后加上.BAK或VIRUS)。刷新注册表,发现没有被改回来。接近大功告成。
接下来的事情就简单了。重启电脑(系统已经找不到病毒的系统服务文件),进入regedit,查找9348.cn,把IE首页重新改回about:blank。
至于残留的病毒驱动程序文件,可以安全地添加上 FUCK9348.CN的扩展名,转移到别处作为标本。本人发现的该文件长度为28,704 字节。
===================
以上内容为onestab本人手工清除IE首页被篡改病毒的实战经验总结。
要点是善用SysinternalsSuites中提供的强大功能,查找可疑的系统启动项目(未签名的Service和 Driver),精准定位以后,配合权限设置,彻底删除病毒。

方工
关注
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
计算机文化基础—病毒
69小石头的博客
03-27 2282
计算机病毒知识总结 一、搜狗百科定义 编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Compute...
忽视 http://www.9348.cn/ 的阿Q方法
viggin的专栏
07-07 2835
9348.com篡改首页的超级流氓、超级不爽、怎么都清除不掉、各地网友纷纷发文谴责且无奈的病毒已经很久了,今儿个在实习单位被冷落的空当,居然找到了一种“眼不见心不烦”的清除方法,那就是在IE的快捷方式点右键-属性,“目标”中填写C:/Program Files/Internet Explorer/iexplore.exe http://www.google.cn,也就是路径名+实际首页
又遇www.9348.cn劫持IE浏览器
Purpleendurer@CSDN
06-20 8122
endurer 原创2009-06-20 第1版昨天又有一位朋友的电脑中的IE浏览器被hxxp://www.9348.cn劫持,而且症状比前一位还要重:输入Windows登录密码后,要等N久才能进入桌面,有时无法拔号上网,偶尔能上网,又不定期弹广告……系统巨慢~以带命令行提示符的安全模式进入Windows,使用电脑中原来存有的老版本的pe_xscan 扫描 log 并分析,发现如下可疑项:
IE主页被改为http://www.9348.cn?原来是QQ2009.exe,TXP1atform.exe,svchoct.exe,klan.sys等作怪1
Purpleendurer@CSDN
06-13 1万+
endurer 原创2009-06-13 第1版今晚一位朋友说他的电脑可能中毒了,系统反应很慢,IE主页被改为hxxp://www.9348.cn,不定期弹广告窗口,在桌面上添加广告快捷方式,硬盘双击打不开……请偶帮忙检修。下载 pe_xscan扫描 log并分析,发现如下可疑项(进程模块部分有省略):/---pe_xscan 09-04-28 by Purple Endurer200
IE主页被改为http://www.9348.cn?原来是QQ2009.exe,TXP1atform.exe,svchoct.exe,klan.sys等作怪2
Purpleendurer@CSDN
06-18 3万+
(续:IE主页被改为hxxp://www.9348.cn?原来是QQ2009.exe,TXP1atform.exe,svchoct.exe,klan.sys等作怪1http://blog.csdn.net/Purpleendurer/archive/2009/06/13/4267188.aspx) endurer 原创2009-06-18 第1版 从pe_xscan的log
如何解决浏览器主页被t999.cn劫持
Lucien的博客
02-07 2万+
win+R——>regedit——>HKEY_LOCAL_MACHINE——>SYSTEM——>CurrentControlSet——>Services——>删除Hyipte——>重启
如何去除桌面上图片下边的阴影.docx
09-27
他在安装了一个免费直播网站推荐的播放器后,遇了病毒攻击,杀毒后发现桌面图标出现了蓝色阴影,且可能伴随着广告窗口的不断弹出和IE主页被篡改等问题。这些问题不仅影响了用户的正常使用,而且手工清理往往困难...
赛门铁克反病毒产品的基本防护技巧建议
03-03
5. **建议按照Symantec官方提供的病毒资料进行手工查杀**: - 对于某些难以自动清除病毒,根据官方文档指导进行手动清理可能是必要的。这通常涉及到删除特定的文件或注册表项。 通过以上详细的介绍,我们可以...
IE病毒强烈清除 1.0 版
11-09
这个工具是针对现在网上流行的换IE图标,改非法链接,隐藏正常IE量身定制,希望对广大受害者有帮助,别外,希望用户提供杀不死信息 Email:guizhoutiger@163.com 下面是一位网友的话 昨天在360求助中心遇到一个网友,需要 Vista SP2 升级包。。。 在网上开始搜索,在http://www.gmsw.com.cn/article/show.asp?id=1448这个地址下载了…… 在求助中心发送下载链接地址时,我每次都要先下载来进行扫描,确认是否安全在发给求助人! 由于在“文件夹选项”我把“隐藏已知文件类型的扩展名”的勾子打上了,所以这个程序的“后缀名”不显示,我以为就是个“压缩包文件”,扫描就疏忽了……结果一点击! 可恶,根本不是升级包,竟然是病毒。才发现竟然伪装WinRAR压缩软件! 呵呵,我来帮他解决了
[乐意黎原创]关于IE,Firefox, Chrome等浏览器被t999.cn网页和2345浏览器流氓操作劫持的修复方法
打杂人
11-27 1万+
浏览器被t999.cn网页和2345浏览器,变为默认主页,无法取消,更改。 昨晚 帮某某使用了网上下载 KMS激活工具,想把office激活一下,安装并操作完成之后,打开了word没有再提示说要激活了,以为激活完成了。 没想到问题还没完, 后来打开浏览器,就发现浏览器的主页变成了www.t999.cn。 如下所示, 太烦人了。 Chrome, IE, Firefox, 打开都有是如此。我就知...
处理谷歌浏览器被篡改主页的问题
热门推荐
niaonao
05-19 7万+
处理谷歌浏览器被篡改主页:普通主页篡改处理;非常规情况处理;病毒查杀
浏览器被T999劫持,默认主页无法改变
yangjun12yangjun的博客
12-21 3万+
浏览器被T999劫持,默认主页无法改变 查看文件路径:C:\Windows\System32\DRIVERS\mssafel.sys 右键>属性,时间不对,数字签名为上海域联软件技术有限公司 Win+R,输入regedit打开注册表,注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssafel 注册表名称:ImagePath
劫持浏览器
xiangxiangfeiba的专栏
11-14 647
主页没变,打开ie却是个莫名其妙的网页,东方卫士360查无插件,还以为中毒。结果发现原来是桌面的ie改成了快捷方式,属性——>目标里改成该网页的地址。解决:1、删除桌面上的IE快捷图标 和 快捷栏里的IE 图标 2、在桌面上右键-->>点击属性-->>选择桌面-->>自定义桌面-->>选择ie-->>确定 3、设置主页(ie图标右键-->>属性-->>在地址栏中键入要设的页地址-->>确认
小马 KMS10激活系统后的浏览器小尾巴分析与清除
漂泊的心
03-25 2万+
小马激活KMS10 浏览器总是添加小尾巴, 杀毒又查不到病毒, 这里教你怎么解决
病毒IE图标”手动清除
10-16
病毒IE图标”手动清除
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值