廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2681 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 4199.com注入進程總彙及類似病毒清除方法
4199.com注入進程總彙及類似病毒清除方法。

首先推薦軟件lcesword(http://www.crsky.com...47.html)它可以嚴格控制進程行爲,並能以紅色提醒顯示“隱藏”進程。
1、Rundll32.exe進一步查看其模塊信息就可以看到運行的病毒文件Ms4m.dll嘗試清除其隱藏啓動注冊表鍵值。但觀察發現雖然此rundll32.exe不會再生,但硬盤上對應的文件卻無法正常刪除,說明Ms4m.dll並非只有Rundll.exe一個進程。
2、用lcesword查看係統進程的模塊信息,發現原來Ms4m.dll還駐入了係統進程Explorer進程以及安全中心Wscntfy進程中,此外還可以發現一個明顯的疑點,Wscntfy進程居然還調用了IM通訊工具QQ文件夾下的Mqya.dll。
3、先通過安全中心設置關閉Wscntfy進程,然後使用lcesword打開Explorer進程的模塊信息,點選Ms4m.dll文件然後點強制結束即可。
4、啓動其他程序修複Hosts文件,刪除病毒文件及其隱藏的注冊表值,推薦使用Hijack This。
5、完成清除後將QQ文件夾整個刪除,在從新安裝即可。

4199.com...網站可以說是浏覽器劫持的一次技術突破,禁止注冊表,修改文件關聯等已不在是保護浏覽器劫持的主要手段。引入進程保護來動態劫持浏覽器帶來不菲的成績。其Alex流量排名在三個月內無殺入前200名之內,可見被劫持的用戶人群數量之巨大。因此新形式變化應該引起用戶主動轉換分析思路。而不是懷疑原有分析工具和清除工具的能力。

對於此類超越傳統的浏覽器的劫持手段,用戶切勿寄望於360安全衛士、超級兔子之類的工具、專殺工具永遠也跟不上病毒更新的腳步,經常清除不了劫持卻反被病毒清除。所以還是要靠我們自己。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2006-12-21 13:12 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.052751 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言