軟體 - 惡意網頁.清除之道

[psac]

惡意網頁9991.com、51.com、7mp3.com清除之道

剛才看到有網友詢問9991.com、51.com、7mp3.com的清除之道，我前兩天野遇到了這個問題，頗費周折最終才解決，首先先介紹在網絡查到的解決方法，使用qq的朋友別用多多qq表情他也是傳播者

第一種：
首先說說中了這個「病毒」的症狀：1、主頁被改成www.9991.com 2、定時連網，效驗主頁，定時改主頁為www.9991.com... 3、間諜工作，幫9991增加流量...
徹底清除方法：
1、可以下載最新的修復軟件，目前最新的黃山IE修復已可以清除，最新的3721同YAHOO助手也行...不過沒幾個人去用吧，哈哈
2、手動刪除，開始-執行-MSCONFIG，去掉
C:\WINDOWS\Winsys.exe
C:\Program Files\Common Files\Upd\Update.exe
這兩個啟動的選擇，再把Winsys.exe和UPD整個目錄刪除
3、刪除其他C:\WINDOWS和C:\WINDOWS\SYSTEM32下的相關文件，似乎其可疑文件是任意產生的...例如res.exe、up.dll、UPDATE.exe、spted.dll等
4、刪除C:\WINDOWS\SYSTEM32\WBEM\IRJIT.dll，執行REGEDIT，搜索IRJIT.dll，將相映的服務（System Event Logger）整個刪除，不能找到IRJIT.dll相關訊息為止。

服務System Event Logger和文件IRJIT.dll都披著MICROSOFT的馬甲，以為真的是XP自帶的服務和文件呢...仿真度99%...
其實就是源頭！不用懷疑，DEL就是啦！

PS：千萬不要用9991.com提供的修復，其實是另一個流氓軟件...
第二種（全面的解析）
發現並不是什麼惡意網站
初步分析與C:\WINNT\SYSTEM32\WBEM\IRJIT.DLL有關

【分析一】
IRJIT.DLL已經調用了RUNDLL32.EXE
舉例如下：
[RUNDLL32.EXE]
CommandLine = C:\WINNT\SYSTEM32\RUNDLL32.EXE C:\WINNT\SYSTEM32\WBEM\IRJIT.DLL,Export 1087

【分析二】
IRJIT.DLL自動創建了系統服務
但是系統服務的名稱是變化的
舉例如下：
O23 - Service: Microsoft Update Service (BKMARKS) - - C:\WINDOWS\system32\rundll32.exe c:\windows\system32\wbem\irjit.dll,export 1087
O23 - Service: Local Connection Manager (BNESS) - - C:\WINNT\system32\rundll32.exe c:\winnt\system32\wbem\irjit.dll,export 1087
（卡卡助手掃瞄到的相關服務）

[DNS Cache / lDOMANE]

（System Repair Engineer掃瞄到的相關服務）

說明：
對於這個服務
用HIJACKTHIS有時會掃瞄不到
（我是用HIJACKTHIS來解決的，但本論壇大多數朋友的日誌並沒有掃瞄到該服務）

【解決測試方案】
通過System Repair Engineer匯出的日誌查找IRJIT.DLL創建的系統服務

開始－－控制台－－管理工具－－服務
禁用其服務

開始－－執行
輸入regedit
確定
進入註冊表
展開[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
刪除其所在的系統服務資料夾

開機時按住F8<可以不停地按動F8>
選擇"安全模式"或"SAFE　MODE"進入安全模式
然後刪除c:\winnt\system32\wbem\irjit.dll

進入正常模式下
重置一下IE首頁

＝＝＝＝＝＝＝＝＝＝＝＝
另外
發現http://www.9991.com/劫持還與下面的相關資料夾有關連
C:\Program Files\Common Files\SAND\
C:\Program Files\Common Files\Update\
c:\windows\system32\update.exe
c:\windows\system32\res.exe
等等

＝＝＝＝＝＝＝＝＝＝＝＝

http://www.9991.com/提供了首頁解鎖修復工具－－fix.exe
http://www.9991.com/fix.exe
下載之後直接雙擊就可以設置主頁為空白頁
然後再重置一下IE首頁
提醒：流氓網站的修復工具不知是否可靠？


下面是我遭遇後的解決方式：
因為我平時比較注意系統的啟動和一些異常文件，所以在ie彈出上述網頁以後，並沒有在意，僅僅按照一般的方式進行了ie主頁的常規恢復，一切正常，過兩天以後ie主頁再次被修改（這也是該惡意網站的高明之處，讓你認為無害掉以輕心），才意識到遭遇了流氓軟件綁架，隨即利用流氓軟件清理工具惡意軟件清理助手等工具和上述的兩種方法都無法清理（黃山別用），同時上述兩種方法所涉及的服務和文件在我系統內均無，安全模式關閉系統還原註冊表查找對應文件和隱藏文件均沒有發現，借用木馬沙星、木馬清道夫等木馬工具把所有可疑文件刪除亦未果，經過上述這些折騰感覺無望時，無意採用kv2006進行未知病毒檢測，發覺windows/system32/iehelper.dll可疑，就將其刪除後，ie下拉框中再無三個網站，並可以在註冊表中清理三個網站的連接，至此惡意網頁才算清理完畢，這個LJ軟件可能改頭換面了，希望大家留意9991.com惡意網頁的源碼已在一些網站開始出售


9991的來歷：（感興趣的朋友可以在百度搜索9991和外甥這兩個關鍵字）
當時51.com（也是9991的公司）這個域名還沒有決定要做什麼內容的，指到他們的一個導航站。但當時他們的計劃是做出一個類似於3721式的插件，來搶奸中國的大部分網民，而我的任務就是發展網站群，做內容編輯等，當時他們還搞了一個類似於"青娛樂"的軟件來，上面就是一些搞笑的，三級的小電影來，還有一些flash小遊戲等，並且希望它在第一年中安裝了中國的四分之一的電腦上，當時他對我說了一個數位，中國目前有4000萬台上網電腦，我們的目標就是把它安裝到1000萬，當然我表示對這個成績表示懷疑，他說這是我們最基本的安裝量，我又問他有什麼辦法能在一年時間內有這麼大的裝機量？他神秘地說，這個具體有推廣部在做，已經有制定的詳細的可靠的方案，現在是擔心內容這一塊不足夠吸引用戶。

他說，我們在網上免費提供了幾年的資料統計，分析瞭解了什麼是網民最喜歡的，所以這次重新創業一定能成功。現在回想起來，他當時所謂的獨特的推廣方式原來就是所謂的牛氓軟件了。然後我問，既然是做內容，為什麼要用軟件的方式呢？通過網頁的方式，不是更好麼？他說：這個流量不穩定，我們要的是穩定的流量，軟件的好處就是用戶裝上了，他就不容易刪除，我們有一整套系統來追蹤的用戶的使用習慣的，只要你能裝上，什麼時候被刪除他們那邊都是有統計的。我當時並不以為然，現在回想起來，9991.com以格式化硬碟的方式都不能刪除他們的程式，難怪當時他對我說得那麼自信。

然後就談到他們的域名 51.com, 我問他們目前這個域名怎麼辦？暫時還沒有想好這個域名做什麼，不過他們一定會慎重對待這個百萬買過來的域名的，當時這個域名是56.com賣給他們的。51.com原先是提供郵箱的，現在已經轉換到56.com了。其實這個域名沒有百萬的，好像只有90多萬。和他交談的時候，旁邊的另一個人也插了幾句，談了一些互連網方面的事。然後我就問：如果真做到1000萬的裝機量就意味著什麼？他說那時就簡單了，有了這麼多的用戶量後，做什麼還不容易，用這一千萬的流量，可以立即做出一個世界排名前幾名的網站來，比如QQ。當然有了這麼多用戶，也就可以上市了，比如3721等。

-------------------------------

病毒式網絡營銷手段可以算是一種非常好的推廣方式，以前就有QQ尾巴類，讓中招的電腦自動給好友發訊息，讓好友去某一個網站看一些東西，這種病毒使他的好友中招後再發他的好友進行傳播，這樣那個網站流量就會短期內變得巨大。現在這種病毒老套了，大家的免疫力都增強了，傳播已經大打折扣。據說Hao123.com當初也是這麼發家的，無論真假，這種推廣方法還是讓很多人夢寐以求，於是乎網上的病毒就越來越多，手段越來越高深。最近9991.com的崛起，讓人對這個病毒式病毒營銷感到害怕！它從開始推廣到現在Alexa排名100才一兩個月時間，它的影響力多麼巨大，系統會時不時的修改註冊表，將瀏覽器首頁設為9991.com，然後病毒潛付期很長，發作時間也不定，病毒可常駐記憶體，自動升級，網內自動傳染。

[psac]

如何防止惡意網頁篡改註冊表

　　1.升級IE為6.0版本並利用Windows Update下載微軟修正檔Microsoft Windows Script 5.6；

　　2.在「Internet選項」→「安全」→「自定義級別」中將ActiveX插件和控件、Java腳本等全部禁止，不過這樣做在以後的網頁瀏覽過程中可能會造成一些正常使用ActiveX的網站無法瀏覽；

　　3.通過修改註冊表來禁止惡意網頁使用註冊表編輯器Regedit，具體做法是：打開註冊表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System，在Policies下面新增一個主鍵，取名System，然後在右邊空白處新增一個DWORD串值，名字取為DisableRegistryTools，把它的值修改為1，這樣可有效防止惡意網頁篡改註冊表；

　　4.對於Windows98用戶，可把C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP中的「ActiveXComponent.class」刪掉；

　　5.對於WindowsMe用戶，可把C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP中的「ActiveXComponent.class」刪掉；

　　6.對Windows2000用戶，可把Windows2000服務裡面的遠端註冊表*作服務「Remote Registry Service」禁用，以防止惡意網頁篡改註冊表。具體方法為：「管理工具」→「服務」→「Remote Registry Service」(允許遠端註冊表*作)」，將這一項禁用；

　　7.利用第三方軟件(比如超級兔子IE保護器、優化大師等)設置來防止；

　　8.開啟殺毒軟件(瑞星、KV殺毒王等)的實時「網頁監控」功能。

[superxboy]

我也中過9991.com...也是弄了好久才清掉=.=

[poss]

最近凡是有進入到大陸的軟體網站,無意中都會被網站在IE裡安裝插件,完全無法避免,等到發現
已經不知道是那個時候被安裝了,用了很多方法都無法卸除,這篇文章很有參考的價值,謝謝分享,