“千千静听”官方网站挂马(wxptdi.sys,msconkt.sys等***群的查杀)
日期:2007/12/22 (转载请保留此声明)
清除办法:
下载
1.解压缩Xdelbox
在 添加旁边的框中 输入
%systemroot%\system32\drivers\msconkt.sys
%systemroot%\system32\AVPSrv.dll
%systemroot%\system32\cmdbcs.dll
%systemroot%\system32\DbgHlp32.dll
%systemroot%\system32\Kvsc3.dll
%systemroot%\system32\LYLOADER.EXE
%systemroot%\system32\LYMANGR.DLL
%systemroot%\system32\MSDEG32.DLL
%systemroot%\system32\NVDispDrv.dll
%systemroot%\system32\REGKEY.hiv
%systemroot%\system32\SSLDyn.dll
%systemroot%\system32\wxptdi.sys
%systemroot%\608769L.exe
%systemroot%\608769M.exe
%systemroot%\608769MM.DLL
%systemroot%\608769WL.DLL
%systemroot%\AVPSrv.exE
%systemroot%\cmdbcs.exe
%systemroot%\DbgHlp32.exe
%systemroot%\Kvsc3.exE
%systemroot%\NVDispDRV.EXE
%systemroot%\SSLDyn.exE
%systemroot%\system32\fat32.sys(%systemroot%为环境变量,表示你的系统文件夹安装位置,对于系统盘安装在C盘的XP用户即为%systemroot% 以此类推)
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
右键 点击右键菜单中的 “立即重启执行删除”
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后会自动重启进入正常模式
2.重启之后
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SSLDyn><%systemroot%\SSLDyn.exE> []
<cmdbcs><%systemroot%\cmdbcs.exe> []
<WinSysM><%systemroot%\608769M.exe> []
<WinSysW><%systemroot%\608769L.exe> []
<Kvsc3><%systemroot%\Kvsc3.exE> []
<AVPSrv><%systemroot%\AVPSrv.exE> []
<NVDispDrv><%systemroot%\aorwpw.exe> [N/A]
<DbgHlp32><%systemroot%\DbgHlp32.exe> []
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[RAS Asynchronous Media Driver / AsyncMac][Running/Auto Start]
<system32\DRIVERS\msconkt.sys><N/A>(之前的comint32.sys变种)
[RAS Asynchronous Media Driver / CCDECODE][Running/Auto Start]
<system32\DRIVERS\msconkt.sys><N/A>
[PciHardDisk / PciHardDisk][Stopped/Manual Start]
<\??\%systemroot%\system32\fat32.sys><N/A>(机器狗病毒变种)
3.清除机器狗病毒
参考 [url]http://hi.baidu.com/newcenturysu[/url] ... 1da2aca40f5236.html
解决方法第三点即可
4.清除GD*I32.dll,bj*rl.dll,addr*help.dll***群
参考 [url]http://hi.baidu.com/newcenturysu[/url] ... add2ab5fdf0e65.html 即可
5.修复被感染的网页文件
推荐使用CSI的iframkill
下载地址: [url]http://www.vaid.cn/blog/read.php?9[/url]
转载于:https://blog.51cto.com/yuncx/56221
“千千静听”官方网站挂马(wxptdi.sys,msconkt.sys等***群的查杀)相关推荐
- 某可人官方网站挂马Trojan-PSW.Win32.OnLineGames.sbg
某可人官方网站挂马Trojan-PSW.Win32.OnLineGames.sbg endurer 原创 2008-02-29 第1版 1.网站首页包含代码: /--- <iframe src= ...
- qqsafe病毒 arp网站挂马 原理剖析-786ts.qqsafe-qqservicesyydswfhuw8ysjftwf.org(转载)
昨天小站被挂马了,每次打开都会自动弹出一个对话框,提示正准备安装...,然后就消失.查看页面的源文件会发现在代码的最后面被加上了9 ~0 ]* U9 N2 ^ <body>" z ...
- 金山安全报告:二月漏洞频出 网站挂马猖獗
赚足眼球的"猫癣" 一款早在春节之前就已经发出预警的病毒,在大假结束后还是席卷了国内网络,无论称呼"猫癣"还是"犇牛",被电脑用户们牢牢记住 ...
- BT天堂网站挂马事件后续:“大灰狼”远控木马分析及幕后真凶调查
9月初安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序. 鉴于bt天堂电影下载网站访问量 ...
- 2010.1.26网站挂马播报
今天共监测到9个网站被挂马,149个挂马链接,为了防止误点击,把地址稍微做了处理. 以下为挂马网站: h11p://www.cdldbz.gov.cn h11p://www.cfl.cqu.edu.c ...
- 检测网站挂马程序(Python)
系统管理员通常从svn/git中检索代码,部署站点后通常首先会生成该站点所有文件的MD5值,如果上线后网站页面内容被篡改(如挂马)等,可以比对之前生成MD5值快速查找去那些文件被更改,为了使系统管理员 ...
- 全国知名高校网站挂马现象严重 考生面临安全风险
据瑞星"云安全"系统监测,6月18日,"湖北工业大学"."哈尔滨理工大学"."武汉理工大学"等全国知名理工类高校网站被黑 ...
- 《越狱》完结 米帅迷应小心纹身网站挂马
据瑞星"云安全"系统监测,5月18日是世界博物馆日,"中国书画苑"."今日艺术网"."中国艺术品在线"等网站被黑客挂马, ...
- 网站挂马危害及其防御措施
网页挂马是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码.浏览者在打开该页面的时候,这段代码被执行,然后下载并运行某木马的服务器端程序,进而控制浏览者的主机.通俗点说就是将网页木马这样的攻击 ...
最新文章
- HDU5982. Relic Discovery
- 直播预告 | 旷视科技李彦玮:动态网络及其在场景分割中的应用
- 看“意大利文艺复兴艺术展”(1)
- 优化 回归_使用回归优化产品价格
- 移动一个网站集所使用的内容数据库
- 定义和使用结构体变量
- 苹果Mac一定要学会的快捷键
- python+selenium环境配置(windows7环境)
- Selenium调用使用360浏览器,QQ浏览器,遨游浏览器,猎豹浏览器,Chromium
- 如何做好BI项目的规划与实施方案?
- 解决通达OA2017版本手机端选择不到2021年的问题,手机端只能选择到2020年
- 海思16DV300 移动侦测
- 跨境电商shopee这个平台怎么样?百万shopee卖家笑了,不要再犹豫了
- ABOUTCG发布Maya 刚体特效完全教程
- (神州优车)数据交换平台架构分享
- [生存志] 第37节 幽王烽火戏诸侯
- 朋友问我c++学到哪了 加愤怒的小鸟 要看到最后
- File类的基本方法实现
- ClickHouse介绍安装和工作原理(1)
- 显卡出问题,花屏,显示蓝条了,分辨率800*600,想办法终于把问题定位了