解决浏览器被web.9983.com劫持及不定期弹出广告窗口的问题(第3版)

时间:2022-10-10 09:37:16

endurer原创

2005.11.08 第3版 补充了Kaspersky对可疑服务的文件Distfsv.exe等的反应

2005.11.07 第2版 补充了瑞星关于可疑服务的文件Distfsv.exe等的回复。

2005.11.04 第1版 创建

*注:为了安全起见,文中恶意网址的“http://”均用“hxxp://”代替。

昨晚帮同事解决了浏览器被web.9983.com劫持及不定期弹出广告窗口的问题,这里记一下症状、分析和修复过程,并提一些建议。

同事的电脑使用Window XP,安装有金山毒霸2005。

一、症状

IE首页被改为web.9983.com,无法重新设置
无法使用注册表编辑器
开机时并不定期地弹出www.uu500.com等多个广告网页
桌面出现恶意网页

二、分析与修复

1、下载并运行瑞星注册表。用来查看EXE或TXT文件关联是否被修改了,如果被修改了,可以用它来修复。

2、到控制面板里,打开“添加删除程序”,卸载了一搜、雅虎助手等插件。

3、使用HijackThis扫描(您可以到http://endurer.ys168.com的tools/系统分析和修复里下载HijackThis ),发现并修复如下项目:


O4 - HKCU/../Run: [IEXPLORE.EXE] IEXPLORE.EXE hxxp://www.uu500.com
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O6 - HKLM/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1


同时发现两个可疑的服务:


Distributed File System Services: C:/WINDOWS/System32/Distfsv.exe -service

Windows Audio Services: C:/WINDOWS/System32/Winms.exe -service


把它们停止并禁用了。

用瑞星在线扫描,发现如下病毒(“瑞星杀毒助手”保存的扫描记录,您可以到到http://endurer.ys168.com的 tools/杀毒工具 里下载 “瑞星杀毒助手”):


2005-11-3 20:53:49 瑞星杀毒助手
Windows XP (5.1.2600)
文件名 病毒名
C:/$NtUninstallQ1494$/3721.bat *.WinREG.StartPage.d
C:/FOUND.055/FILE0010.CHK Exploit.HTML.Mht
C:/WINDOWS/system32/nt_g_dll.dll *.DL.Agent.dqa
C:/WINDOWS/system32/Winms.exe *.DL.Agent.dpy
C:/WINDOWS/system32/nt_plus_dll.dll *.DL.Agent.dpz
C:/WINDOWS/system.hta Script.Adware.Yobous.d



(关于C:/WINDOWS/system.hta的分析,请参考: 对病毒Script.Adware.Yobous.d的一些分析和建议
(除了C:/WINDOWS/system.hta外,其他病毒文件Kaspersky均可查杀。)

5、用“瑞星杀毒助手”删除了:


C:/$NtUninstallQ1494$/3721.bat
C:/FOUND.055/FILE0010.CHK
C:/WINDOWS/system32/Winms.exe
C:/WINDOWS/system.hta



C:/WINDOWS/system32/nt_g_dll.dll
C:/WINDOWS/system32/nt_plus_dll.dll


无法删除。

用“瑞星杀毒助手”的“改所有文件名”和“下次启动时删除”功能来解决它。

6、找到可疑服务的文件:


C:/WINDOWS/System32/Distfsv.exe
C:/WINDOWS/System32/Distfsv1.dll
C:/WINDOWS/System32/Distfsv2.dll


但不能打包备份,也不能删除。

另外发现文件C:/WINDOWS/System32/autoup.t的内容为:


[UPDATE]
Ver=51016
UpDate=2005.9.20 08:37:24
FileCount=1
File1=hxxp://web.9983.com/autodown/20051016.exe
FileName1=sdt_auto_v51016.exe
FileExc1=1
MeExit=1

[hosts]
File=hxxp://web.9983.com/autodown/host.htm
hosts=1


把hxxp://web.9983.com/autodown/20051016.exe下载回来,发现此文件与Winms.exe完全相同。

7、关闭系统还原功能。具体操作可参考:【系统修复系列之】如何 禁用 或 启用 Windows XP 系统还原

8、清空IE临时文件夹。具体操作可参考:【系统修复系列之】如何 清空IE临时文件夹

9、为了获得可疑文件


C:/WINDOWS/System32/Distfsv.exe
C:/WINDOWS/System32/Distfsv1.dll
C:/WINDOWS/System32/Distfsv2.dll


重新启动计算机到安全模式(具体操作可参考:【系统修复系列之】如何 以安全模式启动 ),把这三个文件打包备份,然后删除。

10、重新启动计算机到正常模式,系统工作正常。

三、建议:

  1。拒绝访问恶意网站。

大家可以把以下内容:


127.0.0.1 web.9983.com
127.0.0.1 www.uu500.com


加入hosts文件(具体操作可参考:【系统修复系列之】如何 检修 和 利用 hosts文件 )。

或者把下列网址


web.9983.com
www.uu500.com


加入拒绝访问列表(具体操作可参考:【系统修复系列之】如何 使用IE中的分级审查功能 )。

  2。选择并安装好的防病毒软件并打开实时监控。 有些防病毒软件实在是中看不中用。

  3。打开系统自动更新功能,并及时打系统补丁(使用Windows XP的朋友请慎重考虑)。可参考:【系统修复系列之】如何 进行系统更新/打系统补丁

  4。使用Maxthon或GreenBrowser来浏览网页。

*2005.11.07补充

瑞星关于可疑服务的文件Distfsv.exe等的回复:


主 题: 瑞星客户服务中心__关于病毒问题的回复
  发件人: send@rising.net.cn   发送时间:2005-11-07 13:12:51

尊敬的客户,您好!
    您的邮件已经收到,感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
    1.文件名:autoup.t
    不是病毒

    2.文件名:Distfsv.exe
    :)病毒名:*.DL.Small.bdi

    3.文件名:Distfsv1.dll
    :)病毒名:*.DL.Small.bdi

    4.文件名:Distfsv2.dll
    :)病毒名:*.DL.Small.bdi


    我们将在较新的17.52.0版本中处理解决,请您届时将您的瑞星软件升级到17.52.0版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。


*2005.11.08补充

Kaspersky将Distfsv.exe、Distfsv1.dll、Distfsv2.dll报为*-Downloader.Win32.Agent.yo