做点好事,新病毒,刚被人找到清除方法
转自:http://www.pxue.com/Html/760.html
杀掉"孔子学府"(http://kzxf.com)流氓网站 - - 飘雪工作室
现在驱动级的广告恶意软件越来越多了,昨天晚上不知道怎么回事就中了这个http://kzxf.com/,查找了N久,弄到晚上10点多也没有找到它的出处,无奈只好放弃到今天早上来修复它。
首先,怎么也没有想到的是现在的广告网站居然变成了孔子学府,不知道这样的网站做AdWare有什么用呢?经过多次的更改系统主页,再被此AdWare改回来的失败之后,想到了用注册表监视工具对付它的方法,到网上下载NTRegMon工具,点击Options>Filter/HighLigth...,在弹出设置窗口中Include后面填入:
Code:
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
此键值为注册表中IE开始页面地址。
RegMon列出的信息表明为每隔几秒钟,进程:system(进程ID:4)即重写一次此键,值为:http://kzxf.com/
System进程为系统主进程,看来是该病毒以驱动方式加载的,打开工具:Process Explorer,点击System,在下面窗口中,发现可疑模块C:\WINDOWS\system32\drivers\dzvjop08.sys,及C:\WINDOWS\system32\drivers\ocjkyo19.sys,右击,选择“关闭句柄”,此模块关闭,在设备管理器中,查看>显示隐藏>在非即插即用中,找到这两个,右击,选择卸载,重新启动电脑,问题解决!
右击复制出来的dzvjop08.sys,发现其属性已经改的和微软自带的模块差不多了,在偶计算机上唯一的漏洞就是版本号不对,此文件为:5.00.2195.5438,而偶地系统为win2003SP1,这个版本的系统模块肯定不会出现在偶地计算机上。
用UltraEdit打开此文件,发现了http://kzxf.com/关键字符。
附记:在偶杀掉这个病毒后,该网站出现了:Service Unavailable,唉,学什么不好,学人家去做恶意软件,自己的网站又承受不了这么大的压力,这就叫搬起石头跟自己过不去!
