网站首页
维修网点
QQ专家在线
电脑保修
工具软件
在线查毒
电脑问题搜索
官方论坛
站点地图
友情链接
XML
RSS 2.0
联盟点:
北京
上海
深圳
广州
南京
杭州
成都
西安
厦门
武汉
重庆
天津
更多城市
加入收藏夹
设为主页
认识电脑
电脑优化
电脑保养
故障症状
学习维修
维修资料
病毒门诊
数据恢复
使用技巧
电脑常识
笔记本
安全技术
系统漏洞
专题导读:
操作系统
Windows Vista系统故障
Windows Xp系统故障
Windows 2003系统故障
Windows 2000系统故障
Windows 98系统故障
软件使用
网络配置
网络攻击
病毒
木马
主板
CPU
内存
硬盘
键盘
显卡
声卡
鼠标
显示器
音箱
刻录机
光驱、光盘
电源、UPS
网络设备
扫描仪
打印机
其它硬件
服务器
游戏平台
手机/MP3
相机/摄像头
USB
无线应用教程
软件漏洞
硬件漏洞
您的位置:
网站首页
>>
病毒门诊
>>
IE浏览器主页被挟持修改为飘雪piaoxue.com的分析与解决办法
IE浏览器主页被挟持修改为飘雪piaoxue.com的分析与解决办法
发布日期: 2006-10-27 1:43:09 查看数:
还可能被修改为xfkz.com,注意这个飘雪piaoxue.com已经很久了,苦于身边没有中此病毒的电脑,同时又从各种日志上看不出来任何问题,昨天朋友给推荐看了篇帖子,介绍了该问题的解决办法,后来又找了些相关的文章,这个东东来头不小,如果按照完整描述来看,处理掉它较为麻烦
[10月22日更新]感谢MJ0011的开发、以及nslog的独家发布,Piaoxue飘雪 Feixue飞雪 Trojan.downloader.qqhelper三病毒专杀及免疫工具放出,仅用于Windows XP
飘雪飞雪QQHelper专杀工具下载
使用方法:
1、暂时关闭所有杀毒软件,以免冲突
2、运行程序,点击“查杀”,会提示是否查杀成功
3、若查杀成功,请按提示重新启动系统
4、重启后再运行程序(注意运行前关闭防毒软件),点“重启后清理” 即可彻底清除病毒
免疫功能 直接点“免疫飘雪/飞雪”,只需免疫一次即可
[10月19日更新]请来访者参考使用网友zme推荐的方法,从反馈上来看,效果非常不错
感谢网友zme的反馈与分享:在zme的留言中,zme分享了他个人的解决办法,暂时还没能解决的来访者,可以参考zme的解决办法来处理,下载并使用最新版本的arswp.exe,下载地址为http://www.arswp.com/,请来访者们及时反馈处理结果,再次感谢zme的分享
感谢Bowen及其他网友的反馈,从Bowen的反馈上来看,该病毒为采用了隐藏的驱动方式,释放文件以及在注册表里添加的服务信息为
c:\windows\system32\drivers\uxlmwuif.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\uxlmwuif.sys
貌似sys文件为随机名,众多rootkit查杀工具对此并无反应
以下是这几天关注piaoxue的进度
先下载一个小工具gmer.exe
运行gmer.exe,在界面上面的标签中,找到rookit项,会出现下面内容,以红字高亮显示,此为隐藏驱动信息
Service C:\Windows\System32:lzx32.sys [hidden] .......
鼠标右键选中它,"Delete the service"即可
请阅读全文并进行尝试后再留言,我不会回复并删除那些没头没脑的留言
但是通过一个完整描述来看,这个新rootkit是能躲过部分rookit查杀工具的,其中gmer.exe也在列,那就继续老套路,
下面列举该rootkit的行为及解决办法
释放文件,该文件为彻底隐藏状态
C:\Windows\System32:lzx32.sys
创建隐藏服务
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386]
躲避部分rootkit查杀工具
流氓行为(极尽其能事,我就不列举了)
赛门铁克的解决办法:
1、关闭系统还原
2、用系统安装盘启动,进入系统控制台,关闭其服务pe386
3、正常启动并进入安全模式下,用最新毒库的赛门铁克产品全盘扫描,此时的结果是已经删除了C:\Windows\System32:lzx32.sys
4、删除其注册表服务信息
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386]
5、清除系统临时文件
此时,已经完毕,个人认为此举可能有为赛门铁克产品宣传之说,由于病毒库的局限性,可以参考下面的办法
利用rootkit查杀工具的解决办法
1、使用一些rootkit查杀工具,比如常见的
RootkitRevealer、BlackLight、Rkdetector、gmer.exe、endoscope.EXE、DarkSpy、Anti-Rootkit
例如在上面提到的piaoxue.com,gmer.exe就能很好的解决掉它,毕竟是小工具,作者更新频繁,操作上也比较简单
2、删除系统临时文件、注册表信息等等
就常见流氓软件来说,采用这个rootkit的似乎不多,我倒是第一次见到,算是开了眼,这个玩意要是泛滥起来,对于不明就里的网民们来说,还是有些恐怖的,毕竟它在hijackthis和sreng日志里没有半点体现。
希望中此标的来访者,不论问题解决与否,给些详细反馈信息,偶会及时再整理
10月17日更新:暂不能解决的网友,请用最新版本的sreng扫描日志发到我信箱,依据目前收集到的信息,piaoxue可能存在变种,在使用rootkit查杀工具过程中,如果出现隐藏驱动信息的,请列举出隐藏驱动的详细信息,这有利于你问题的解决。
另外,如果该病毒确是使用上述中的那种rootkit,而gmer.exe又没有很好的体现,建议使用其他一些rootkit查杀工具,比如RootkitRevealer、BlackLight、Rkdetector、gmer.exe、endoscope.EXE、DarkSpy、Anti-Rootkit等,当然,前提是在完全确认gmer.exe无功后的基础上
本人基本不用QQ,请不要留下QQ
10月18日更新:假定判断为rootkit,请使用上面列举的rootkit查杀工具来进行查杀,请反馈之,如果有搞定的,是否方便将样本打包发给我?
上下页导航
上一页:
感染型病毒Trojan-Downloader.Win32.Delf.axl专杀修复工具
下一页:
一个QQ盗号马wdm.exe的分析以及解决办法
【打印】
字体
【大】
【中】
【小】
【关闭】
热点主题
彻底解决Trojan.PSW.QQPass病毒
Trojan-psw.win32.online Games.es 病毒清除办法
auto.exe和autorun.inf查杀方法
有争议的conime.exe
sxs.dll sxs.exe病毒专杀工具及sxs.exe病毒手动删除方法
清除pctools.dll 新萌科技(上海)有限公司-垃圾广告
copy.exe病毒 硬盘双击打不开了
清除Svchost.exe
手工删除update.exe病毒
lsass.exe病毒的查杀方法,附专杀工具
ARP病毒临时解决方法
八步轻松清除desktop.ini病毒
~my1.tmp清除的最佳方法(cnwin和pctools)
autorun.inf、servet.exe和ie777.exe木马的手工杀毒方法
1.exe 2.exe 3.exe 4.exe 5.exe 6.exe 7.exe 8.exe病毒
解决EXE文件打不开的问题(4种方法)
感染型病毒Trojan-Downloader.Win32.Delf.axl专杀修复工具
TRojan.PSW.QQPASS病毒手把手彻底删除(winscok.exe,infostealer)
SVCHOST.EXE应用程序错误解决方法
威金蠕虫:所有的exe图标都变色变模糊
最新主题
如何映像劫持杀毒软件
关于病毒主动防御的新见解
木马容易盯上的注册表位置
彻底清除无法显示隐藏文件的病毒
Flash特务(Orz病毒)分析报告
利用FLASH漏洞传播的对抗型“特务病毒”出现
如何预防ARP病毒以及做好个人电脑病毒防护
用最简单的方法摆脱病毒的纠缠
提升权限 把无法删除病毒扫地出门
Troj.6to4ex恶意软件的清除
Adobe flash漏洞,请尽快将Flash Player升级到9.0.124
不同情况下病毒查杀技巧
在系统里对U盘写保护防毒
win32.virut病毒的清除方法
当病毒囚禁了输入法
教你识别危险进程
完美解决双击无法打开C、D、E、F盘等Autorun病毒
MIDI机器狗
网络资源推荐
站务联系:XBell@163.com 在线QQ:573861490
备案序号:粤ICP备06093858号
版权所有 2006 电脑维修知识网 最佳分辨率 1024 X 768
Copyright © Http://www.PcHiHi.com/ All rights reserved.
