近日在论坛上看到一个求助,说是点击QQ空间、微博、邮箱等会自动跳转到假中奖页面上,因为求助者后来没有继续,所以没有进一步详细的措施,只有根据其所提供的类似案例做个记录。
此问题与毒霸社区一例很象,那例中是病毒篡改了DNS导致用户访问特定网页自动跳转到假中奖的页面,因为DNS被改了域名什么的就无意义了。修改DNS是通过改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{1D7A3019-423A-4A79-9B40-949DCB29A406}(此串号不同电脑各不相同)\NameServer下的值实现的,病毒有自己的启动项,负责保证每次开机启动时篡改DNS。因此查杀方案除了要搜寻删除可疑的启动项外,还要修复DNS,正常的DNS可向当地自己使用宽带的电信运营商询问,或者在正常时进入CMD运行ipconfig/all命令查询,即使你是自动获取IP与DNS,也是有DNS的,不是看不见就没有。
回到论坛上那例求助,虽然现象类似,但没有找到有关的启动项,无法进一步确认,不过可以在出问题时,在进入CMD命令提示符窗口,运行ipconfig/all命令检查DNS是否为正常,如果不正常,说明被篡改,需要修复。当然病毒潜入与潜伏的方法很多,不一定在启动项中找不到就一定没有,也可能启动完就自动删除,等关机时再重新恢复,这样也见不到启动项,再或者就是没找全启动项,如果在局域网中,ARP欺骗也是可能的原因,还有HOSTS文件,因为没有更多信息,多猜无益,只做记录。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1336.html
