‹‹ 上一主题 | 下一主题 ››
发新话题
打印

解读彩票首页与美女视频的现象原因

papa

中将(版主)

积分
623 
威望
832  
元宝
0  
铜钱
508  
1楼 发表于 2007-12-19 21:47  只看该作者

解读彩票首页与美女视频的现象原因

今天收到两个病毒样本。一个是开机或者打开浏览器就自动弹出彩票网页的样本,另一个是打开百度等链接就自动弹出美女视频链接的病毒。首页彩票网截图如下:


前者与以往修改Internet Explorer注册表项目、写入BHO、加载服务或驱动等的病毒惯用手法有所不同。
即使用户使用一些工具重置Internet Explorer注册表项目也没有用,而BHO和服务以及驱动等也没有任何可疑痕迹。那么究竟是谁修改了主页,并且开机便打开了呢?
经过金山清理专家的联网诊断得知userinit键值有异常,病毒文件为c:\windows\system32\userint.exe(注意:与系统文件userint.exe相差一个字母“i”,图标为文本图标从而很具迷惑性)。

清理专家报告反映如下:
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
          [Userinit]            <C:\Windows\system32\userinit.exe C:\WINDOWS\system32\userint.exe>

清理方法:
运行金山清理专家的在线全面诊断,诊断后注意隐藏已知的安全项目。如图所示:


将『启动项管理』中『登录加载项』里面的userinit首先定位文件将病毒文件删除。如图所示:

再次回到『启动项管理』中『修复该项』即可。如图所示:


解压附件后运行其中的fix_彩票.reg,最后将internet选项设置进行调整即可。如图所示:


fix_彩票.rar (318 Bytes)

美女视频大多数仅在部分网站,或者一些网站服务器与遭受恶意挂马、会话劫持等。病毒行为主要通过修改hosts文件,把百度等域名劫持到相关链接。劫持百度的截图如下:



修复方法:
将C:\windows\system32\dirvers\etc文件夹下的hosts文件使用记事本打开后,只保留一行内容:127.0.0.1 localhost 编辑保存后即可。

清理专家杀毒辅助相关使用教程以及hosts文件修复工具请见:
http://bbs.duba.net/thread-21849402-1-3.html

[ 本帖最后由 papa 于 2007-12-19 22:08 编辑 ]

搜索更多相关主题的帖子: 彩票 美女 视频 首页 现象

TOP

笨小孩等人爱

笨笨


六级士官

淡泊以明志,宁静而致远!

积分
2049 
威望
4083  
元宝
0  
铜钱
1518  

圣诞帽 圣诞树

2楼 发表于 2007-12-19 22:08  只看该作者
谢谢分享
佛语:虽然我们不能改变周遭的世界,我们就只好改变自己,用爱心和智慧来面对这一切。

TOP

车水马龙

少尉

积分
2589 
威望
4403  
元宝
0  
铜钱
1226  
3楼 发表于 2007-12-20 08:23  只看该作者
我也来看看啦,学习之中哦。

TOP

车水马龙

少尉

积分
2589 
威望
4403  
元宝
0  
铜钱
1226  
4楼 发表于 2007-12-20 08:25  只看该作者
引用:
原帖由 笨小孩等人爱 于 2007-12-19 22:08 发表
谢谢分享
头像是圣诞老人哦,祝你圣诞快乐啦。

TOP

liuchun121

春哥


少将

勇敢的小兵

积分
10937 
威望
22133  
元宝
0  
铜钱
5208  

情感天使 新人进步奖 COS新星 圣诞礼盒

5楼 发表于 2007-12-20 08:42  只看该作者
学习
生活中若没有朋友,就像生活中没有阳光一样。

TOP

车水马龙

少尉

积分
2589 
威望
4403  
元宝
0  
铜钱
1226  
6楼 发表于 2007-12-20 08:44  只看该作者
引用:
原帖由 liuchun121 于 2007-12-20 08:42 发表
学习
怎么都用圣诞老人的头像啦,呵呵。

TOP

快乐~~星空

二级士官

积分
645 
威望
1291  
元宝
0  
铜钱
435  
7楼 发表于 2007-12-20 13:28  只看该作者
支持一下!

TOP

蓝夜521

信|蓝夜^_^


少尉

积分
2650 
威望
5469  
元宝
4  
铜钱
1037  

原创先锋奖 金点子奖

8楼 发表于 2007-12-21 08:37  只看该作者
呵呵,不错,学习了,谢谢了!!

               欢迎光临爱毒霸社区

                         欢迎光临闪电联盟

TOP

282204495

虚无人生


六级士官

风之影者

积分
2059 
威望
4056  
元宝
140  
铜钱
1544  
9楼 发表于 2007-12-21 18:28  只看该作者
学习了
虽然我不能为灾区做些什么。但祝愿灾区人民早日脱离苦海。我为你们祈祷,为你们默哀。让自己能为灾区献上一份祝福。
金山样本收集组2群号:34520456

TOP

蓝夜521

信|蓝夜^_^


少尉

积分
2650 
威望
5469  
元宝
4  
铜钱
1037  

原创先锋奖 金点子奖

10楼 发表于 2007-12-23 01:54  只看该作者
谢谢分享,呵呵

               欢迎光临爱毒霸社区

                         欢迎光临闪电联盟

TOP

king-yn

四级士官

积分
1183 
威望
2610  
元宝
15  
铜钱
1748  
11楼 发表于 2007-12-23 09:11  只看该作者
受教了,很有用

TOP

左手忧伤

<`Injure/z


二级士官

潜水委员会主任

积分
476 
威望
943  
元宝
0  
铜钱
348  
12楼 发表于 2007-12-23 12:01  只看该作者
学习```

TOP

Bill

新兵

积分
28 
威望
50  
元宝
0  
铜钱
25  
13楼 发表于 2007-12-24 02:54  只看该作者
支持金山……
希望金山能把毒霸做强做大……

TOP

xing001

新兵

积分
威望
16  
元宝
0  
铜钱
8  
14楼 发表于 2007-12-27 15:03  只看该作者
我中过!

TOP

zhou

新兵

积分
16 
威望
33  
元宝
0  
铜钱
20  
15楼 发表于 2007-12-27 19:30  只看该作者

用金山毒霸为何杀不尽这两个病毒

我的电脑装的是金山毒霸2007,这些时总有两个病毒杀不干净。

这两个毒是:win32.hack.greybird.al.667648     记录信息:c:\program files\intelnet explorer\explore.exe
                        win32.hack.greybird.al.667648     记录信息:c:\windows\system32calc.exe

每次查毒的时候都能查出来,清除时也显示的是清除成功,但再扫时总是还有。

请问各位大侠,我该怎样处理它们呢?

另外启动电脑时常有些莫明其妙的窗口弹出,比如说xxxxxxx引用的??????,而??????是read程序;
c:\program file\WWW:www.face123.com 和xxx发生冲突等等。具体我不记得了。是不是也和它们有关呢?

TOP

jjj2008

新兵

积分
威望
9  
元宝
0  
铜钱
5  
16楼 发表于 2007-12-31 13:01  只看该作者

有问题

有问题
杀毒工具都比不上

TOP

lan820712

禁止发言

积分
116 
威望
231  
元宝
0  
铜钱
73  
17楼 发表于 2008-1-1 12:21  只看该作者
提示: 作者被禁止或删除 内容自动屏蔽

TOP

mymigao2006

新兵

积分
20 
威望
40  
元宝
0  
铜钱
26  
18楼 发表于 2008-1-4 15:16  只看该作者
每次点击桌面的图标,文件夹或IE浏览器时,毒霸都提示"发现病毒Win32.Troj.Unknown.290120 删除文件C:\WINDOWS\DOWNLO~1\CnsMin.dll" 后,都会弹出Rundll的对话框,提示"加载C:\WINDOWS\DOWNLO~1\CnsMin.dll时出错 拒绝访问".
每次都这样,好像病毒的启动在Explorer.exe里,但不知怎么找到并删除.
望高手赐教!

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题