|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2006-05-29, 03:13 AM | #1 |
榮譽會員
|
軟體 - 有關369.com的小分析和清除
有關369.com的小分析和清除
近日見到有不少的會員,都被369.com綁架了首頁,問題應該就是出自這幾個文件 %SystemRoot%\system32\Serveremail.exe %SystemRoot%\system32\msxml4r.exe %SystemRoot%\system32\wServer.exe %SystemRoot%\System32\exp1orer.exe Preliminary analysis ================== Serveremail.exe 是一個Trojan Downloader 下載 http://www.jfg[REMOVED].net/info/softverfile.txt http://[REMOVED].1mms.net/16.exe Serveremail.exe會讀取softverfile.txt中的網址,下載另一些文件 16.exe是一個NSIS Installer,入面有wServer.exe,b16.exe(msxml4r.exe),101228.exe,198897.exe(很棒小秘書) wServer.exe會下載安裝YAHOO助手 b16.exe(msxml4r.exe),StartPage Trojan,會修改你的首頁 101228.exe,不明LJ軟件 198897.exe,很棒小秘書的釋放安裝程式 Removal Instructions ================== 1. 1. 下載 HijackThis 1.99.1,存到桌面後再解壓 2. 執行 hijackthis.exe ,按 Do a system scan and save a logfile 3. 在O4項,找出並選取含有Serveremail.exe,msxml4r.exe,wServer.exe,LoadEWXD的專案,按 Fix checked 修復 例子: O4 - HKLM\..\Run: [LoadEWXD] C:\Windows\system32\msxml4r.exe O4 - HKLM\..\Run: [LoadEWXD] C:\WINDOWS\System32\exp1orer.exe 4. 根據在HijackThis看到的文件位置,刪除相關文件 例子: C:\Windows\system32\msxml4r.exe 5. 下載惡意軟件清理助手 http://www.tommsoft.com/Products.aspx?pid=2 6. 重新啟動電腦,按F8進入安全模式,使用惡意軟件清理助手,掃瞄 + 清除被裝上的LJ軟件 7. 再次重新啟動電腦,回到正常模式,修改你的首頁,看看你的首頁會不會再被改了~ Write-up by: Krazaf (tkabc) Date: 21/5/2006 Update log: -27/5 Add some new items that may be also related to 369.com |
送花文章: 3,
|