清剿9348.cn又一例

　　IE主页被www.9348.cn/?205459劫持，注册表中没有找到该网址的痕迹，IE快捷方式也正常，因此可以肯定本地电脑上有病毒或木马在保护被劫持IE主页、不允许用户进行修复。清除方法如下：

1.删除文件：（注意粗体字部分的文件）
 
c:\windows\system32\xg4hapnygs29.dll
c:\windows\system32\bbxhgsftsbbxt83ar.dll
c:\windows\system32\v54m9wwbungtf2m.dll
c:\windows\system32\skcfujq5edn.dll
c:\windows\system32\jpcccjnkygddp3.dll
c:\windows\system32\qh6xx7vn48svpnk.dll
c:\windows\fonts\zefe48cw9emcfar.fon
c:\windows\fonts\fyrwjf5qfhh.fon
c:\windows\fonts\xpjwngd8cerq.fon
c:\windows\system32\a0c86020.dll
c:\windows\system32\va7spuwgca5f.dll
c:\windows\system32\brv8detwezcn.dll
c:\windows\system32\zhvqm6hmxwpem.dll
c:\windows\fonts\uxusf2rrqy.fon
c:\windows\system32\tanjsfa2tt2dh.dll
c:\windows\system32\qb5bkzy7vr5m.dll
c:\windows\system32\z5wrxqhagksjxwt.dll
c:\windows\system32\ndxq9awmc.dll
c:\windows\system32\ed78ab9.dll
c:\windows\fonts\nppvwvyeyce8h.fon
c:\windows\system32\dhdhws7ffw.dll
c:\windows\system32\jbn2ypqy23vwx.dll
c:\windows\system32\wdgsvbqas3xk.dll
c:\windows\fonts\bzmtuqtck9.fon
c:\windows\system32\a4rxqxcvnbmnnpqs.dll
c:\windows\fonts\yzefwbcszhk6j.fon
c:\windows\system32\drivers\zzps.sys
c:\windows\system32\drivers\vlxyd.sys
c:\windows\system32\drivers\peios.sys
c:\documents and settings\administrator\application data\d3.dll
c:\windows\system32\zlcc.dll
 
2.使用SREng修复下面各项：
 
  启动项目 －－ 注册表之如下项删除：（此部分可能与9348.cn劫持IE主页无关，可能是相关恶意行为附带下载的木马）
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
  <{AB900155-F1F0-4165-9E73-67BC13BBCE89}><C:\WINDOWS\system32\xg4hAPNygs29.dll>  
  <{7A6359F5-6882-4FE9-B1CB-3130860BE4F3}><C:\WINDOWS\system32\BbXhGSfTsBbxT83aR.dll>  
  <{CEBB8F8A-308B-43E9-9789-B6FD6BE1BD97}><C:\WINDOWS\system32\v54M9wWBuNGTf2m.dll>  
  <{76CBCF38-0583-44C7-A1AE-D463DFE625EC}><C:\WINDOWS\system32\skcfujQ5EDN.dll>  
  <{9726072A-8039-4958-B609-565CF7A16B38}><C:\WINDOWS\system32\JPccCJnKygDdp3.dll>  
  <{B8898C49-7B3A-4306-A9EF-8E186EDEE5EA}><C:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll>  
  <{762D618C-E2CB-4217-8275-03302A93073F}><C:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon>  
  <{15882A2F-A06D-486E-8958-E84C86CBF273}><C:\WINDOWS\fonts\fyrwJf5Qfhh.fon>  
  <{0623DE09-E49D-4695-AA24-88BA7B58A395}><C:\WINDOWS\fonts\xPjWNGd8cERq.fon>  
  <{A0C86020-5935-4B87-B20E-0B656D450264}><C:\WINDOWS\system32\A0C86020.dll>  
  <{F8C6B7B5-DAE0-4B78-BF2A-101C9A9CCA27}><C:\WINDOWS\system32\Va7SpUWgCA5f.dll>  
  <{E0528BDA-C850-4F23-93E4-7F907C1EF30E}><C:\WINDOWS\system32\BRv8dETwEzcN.dll>  
  <{41912A21-4337-4E99-8C30-80A8434B0793}><C:\WINDOWS\system32\zHvqM6hMxwpem.dll>  
  <{11B10F7F-FB23-466D-BDC3-9591CF02EC17}><C:\WINDOWS\fonts\uXUsF2RrQy.fon>  
  <{37C5D66A-8B1B-4545-8112-3751194F6A4A}><C:\WINDOWS\system32\taNjsFa2tT2Dh.dll>  
  <{71C4F360-FF1E-413E-B17A-0CA267A78E97}><C:\WINDOWS\system32\qB5BKZy7vR5m.dll>  
  <{0A2D7F10-1153-4061-AA4B-ACB870212B57}><C:\WINDOWS\system32\z5WRXqHagksJxWt.dll>  
  <{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}><C:\WINDOWS\system32\ndxq9awMc.dll>  
  <{A5CA6C70-7185-4466-AB45-B1C34E7A37CA}><C:\WINDOWS\system32\ed78ab9.dll>  
  <{DA112397-5376-4E52-A333-A85284658DEA}><C:\WINDOWS\fonts\NPPVWvYEyCe8H.fon>  
  <{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}><C:\WINDOWS\system32\dhDhwS7fFW.dll>  
  <{A23CA53C-731F-4033-92E8-C1DFB4E71D34}><C:\WINDOWS\system32\JBn2ypqY23vWX.dll>  
  <{822775B8-E45B-4E55-9325-0753A0C1DC00}><C:\WINDOWS\system32\wdGSVBqAs3Xk.dll>  
  <{B2780DCE-0B89-4886-9D4B-8810DE6239AD}><C:\WINDOWS\fonts\bzMtuqTck9.fon>  
  <{A761BE8E-C15A-4DDD-A777-2C683E9E96C8}><C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll>  
  <{D80733C9-9575-47D0-ADA8-EDA82DD04FD8}><C:\WINDOWS\fonts\YZefWbcSzhK6J.fon> 

  启动项目 －－ 服务－－ 驱动程序之如下项禁用：（这是本例中可能与该劫持行为有关的驱动项）
[zzps / zzps] <\??\C:\WINDOWS\system32\drivers\zzps.sys>
[efcypif / efcypif] <\SystemRoot\system32\drivers\vlxyd.sys>
[peio / peio] <\??\C:\WINDOWS\system32\Drivers\peios.sys>
 

具体操作可参考：怎样根据SREng日志的分析报告清除病毒

>> 除非说明均为原创，如转载请注明来源于http://www.stormcn.cn/post/433.html

Tags: 主页  

作者:流风33 | 分类:

病毒救援

| 评论:0 | 浏览: