查看: 8137|回复: 3
收起左侧

[资料库] (转载)一个萝卜一个坑 手把手教你修复主页作者:锈剑

[复制链接]
woxihuan2011
发表于 2013-7-13 18:47:20 | 显示全部楼层 |阅读模式
“主页被改了!又被改了!”这样的呼声时常在耳边响起,这也是我们中毒的一个显著特征,现在主页已经不仅仅是恶意插件喜欢破坏的地方了。主页修改给幕后黑手带来巨大的商机,致使病毒作者都瞄准了这块“肥肉”,而主页防护并没有引起杀毒软件的足够重视,一旦遇上主页被修改的困境,我们当如何解决呢?

实例一 清除www.ku256.com
特点:病毒常来源于某网盘提供的LiteIM软件,该恶意程序会隔一段时间重新修改IE主页,导致反复清除却无法清除干净。
解决步骤:
第1步:运行regmon.exe(下载地址:http://work.newhua.com/cfan/200914/Regmon.rar)。然后打开浏览器,将IE主页修改为空白页,等待IE主页被重新修改为www.ku256.com。按CTRL+E停止监控,按CTRL+F打开查找窗口,然后输入www.ku256.com后单击“查找”,很快我们发现一个名为nudlsbjg.exe(名称是随机产生的)修改了IE主页。
第2步:选中nudlsbjg.exe进程,右键单击,选择“进程属性”,会发现病毒文件位于C:\Program Files\ComPlus Applicationsudlsbjq.exe(见图1)。
第3步:打开任务管理器结束进程nudlsbjq.exe,然后根据上一步中的路径删除掉nudlsbjq.exe文件,重新指定IE主页,再打开时就不会再有www.ku256.com了。



小提示:对付主页被修改的步骤:先尽可能多地修复已知IE被修改的项目,如果这个步骤不能修复进入下一个阶段,找出修改IE主页的元凶,最后是彻底删除恶意程序还IE主页。

实例二 清除www.go2000.cn
特点:它来源于某游戏下载站提供的开心斗地主程序。该恶意程序使用最近比较流行的一种IE主页的方法,比较具有迷惑性。
解决步骤:
修改IE默认主页被空白页,发现双击打开IE主页还是没有恢复,在开始菜单的“运行”窗口输入regedt32,按Ctrl+F搜索go2000.cn,发现以下项目可疑(见图2),双击编辑注册表,将http://www.go2000.cn删除此时运行IE主页恢复正常。



实例三 清除daohang.htm
特点:该恶意程序会 1.替换快速启动栏的IE快捷方式指向一个名为daohang.htm的页面;2.替换开始菜单的IE快捷方式;3.通过映像挟持世界之窗、火狐、傲游、谷歌浏览器等常见浏览器,使得运行这个软件的时候也会打开daohang.htm;4.通过修改IE关联(HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command IEXPLORE.EXE后面添加一个参数daohang.htm)
解决步骤:使用360安全卫士或金山急救箱可以自动修复IE主页,并能够修复多项被病毒修改的系统设置。

实例4 清除www.9348.cn
特点:常见于某木马下载器下载,该恶意程序通过rootkit技术来强制锁定IE主页,普通用户不能清除。
解决方法:
第1步:运行XueTr.exe(下载地址:http://work.newhua.com/cfan/200914/XueTr.zip),切换到“钩子”栏,在“SSDT、Shadow SSDT、内核钩子”栏中找到可疑的hook,主要是针对注册表的hook,比如此例中的内核钩子栏显示C:\windows\system32\drivers目录下有一个名为wxuye.sys的驱动:hook NtQueryValueKey。右键单击NtQueryValueKey,选择“恢复”。

小提示:hook NtQueryValueKey这个函数用于查询注册表键值,由于IE启动的时候会查找默认的IE主页,比如www.google.cn,这个驱动却告诉IE现在的主页是www.9348.cn

第2步:运行Process Explorer(下载地址:http://work.newhua.com/cfan/200914/jcck.rar),按Ctrl+F输入wxuye.sys,单击“查找”,右键单击wxuye.sys,选择“结束进程树”,解除病毒文件占用以后,删除wxuye.sys(killfile.png),再利用启动管理工具如360安全卫士、超级兔子等找到病毒驱动wxuye.sys的启动项目,禁止掉。

小提示:这个例子使用360顽固木马专杀可以清除,另外金山急救箱需经两次重启后才可以删除。由于病毒样本变化大,工具的有效性难以保证,上面我们提供了手动清除的方法,对于这类rootkit型的主页修改,我们可以结合XueTr、冰刃等antirootkit软件先恢复病毒的hook,然后借助文件删除工具和启动项目管理工具可以轻松删除注册表文件和启动项目。

评分

参与人数 1人气 +1 收起 理由
wyj915752168 + 1 这几天辛苦你了

查看全部评分

aixx
发表于 2013-7-13 18:52:01 | 显示全部楼层
学习了
徐庆
发表于 2013-7-13 21:11:44 | 显示全部楼层
很有用,学习了
待宰的排骨猪
发表于 2013-7-14 00:33:05 | 显示全部楼层
我是用组策略绑定ie,再到注册表对ie首页进行权限设置,再对图标进行权限设置。若是后台隐藏进程扫描修改则用wmic命令挖它出来
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 14:03 , Processed in 0.125849 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表