广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2666 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 4199.com注入进程总汇及类似病毒清除方法
4199.com注入进程总汇及类似病毒清除方法。

首先推荐软件lcesword(http://www.crsky.com...47.html)它可以严格控制进程行为,并能以红色提醒显示“隐藏”进程。
1、Rundll32.exe进一步查看其模块信息就可以看到运行的病毒文件Ms4m.dll尝试清除其隐藏启动注册表键值。但观察发现虽然此rundll32.exe不会再生,但硬盘上对应的文件却无法正常删除,说明Ms4m.dll并非只有Rundll.exe一个进程。
2、用lcesword查看系统进程的模块信息,发现原来Ms4m.dll还驻入了系统进程Explorer进程以及安全中心Wscntfy进程中,此外还可以发现一个明显的疑点,Wscntfy进程居然还调用了IM通讯工具QQ文件夹下的Mqya.dll。
3、先通过安全中心设置关闭Wscntfy进程,然后使用lcesword打开Explorer进程的模块信息,点选Ms4m.dll文件然后点强制结束即可。
4、启动其他程序修复Hosts文件,删除病毒文件及其隐藏的注册表值,推荐使用Hijack This。
5、完成清除后将QQ文件夹整个删除,在从新安装即可。

4199.com...网站可以说是浏览器劫持的一次技术突破,禁止注册表,修改文件关联等已不在是保护浏览器劫持的主要手段。引入进程保护来动态劫持浏览器带来不菲的成绩。其Alex流量排名在三个月内无杀入前200名之内,可见被劫持的用户人群数量之巨大。因此新形式变化应该引起用户主动转换分析思路。而不是怀疑原有分析工具和清除工具的能力。

对于此类超越传统的浏览器的劫持手段,用户切勿寄望于360安全卫士、超级兔子之类的工具、专杀工具永远也跟不上病毒更新的脚步,经常清除不了劫持却反被病毒清除。所以还是要靠我们自己。



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2006-12-21 13:12 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.069078 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言