2008/10/28 | 6700.cn劫持浏览器的最佳解决办法
类别(让工作更简单) | 评论(0) | 阅读(807) | 发表于 22:22
有朋友问到这样的问题,在GOOGLE一下 找到这个最好的解决方法:

原文地址http://baike.360.cn/4024037/12769473.html

10月18号晚经测试,升级过的windows清理助手应该可以解决该问题了。XP和VISTA下可以直接清理掉,我的2000系统在重启删除时蓝屏一次,硬启动后也清理掉了。中招的朋友可先尝试使用windows清理助手看问题是否可以解决,如不行再使用下面以前提供的解决办法。
注意,下面的方法所使用的工具Xdelbox不支持VISTA系统。因为Xdelbox要在boot.ini文件中写入自己的启动项,但在vista系统中微软已经修改了启动方式,该文件貌似不存在了。另外,上午手工帮网友看的一个xp系统,使用xdelbox无效,无法写入启动项到boot.ini文件中,具体原因未知,后使用还原系统中的dos工具箱手动删除掉。想来应该还是修改过的系统版本所产生的问题。如windows清理助手和下面的方法都无效,可留言或发纸条给我。我会抽时间帮您手动清理的。



--------------------------------

最近比较忙,虽然获取到两份样本,可是一直抽不出时间测试。很对不起大家了。今天终于抽出点时间来,才发现几天前测试时系统监控上好像出了问题。导致最后分析失败。看这次的。两份样本分别为tn=102741和tn=102743 程序运行后会生成一个驱动文件和一个DLL文件。其中驱动文件以Boot级启动,DLL文件以线程注入的方式插入到explorer.exe进程。随机生成文件名。




两份样本生成DLL文件大小固定为:45056字节。生成驱动文件为:28512字节和28640字节。如下图:









先处理DLL文件是没有效果的。我们来处理驱动文件。虽然文件名不固定,但是大小应该变化不是特别大.这里我的系统安装在C盘下。生成的DLL文件位置为C:\Windows\System32目录。驱动SYS文件位置为C:\Windows\System32\Drivers目录下,先打开C:\Windows\System32\Drivers目录,按"详细资料"排列文件,点"大小"列按文件大小排序,我们看大小为28k的文件。共找到两个,如下图:




修改时间一样。我们对两个sys文件分别点右键,看属性有什么不同。一般来说,非法文件都是没有版本信息的。这样我们很快就可以找到下图所示。右边那个mvnam.sys就是非法驱动文件。如下图:




OK,文件找到了。我们来删除掉。该XDelBox 上场了。XDelBox下载地址:http://www.dodudou.com/down/download.php?fname=./01.原创软件/XDelBox1.8剑盟版.rar

打开XDelBox,把mvnam.sys的路径C:\Windows\System32\Drivers\mvnam.sys填写到文件路径,点"添加"按钮,在下面的路径上点右键选择"立刻重启执行删除"。


这个时候系统会重启并进入到XDelBox 启动菜单。我们不用动。让XDelBox自己执行。删除完毕会再次重启。好了。驱动文件处理掉了。然后处理DLL文件。其实这个时候DLL文件已经不运行了。我们要做的是找到并删除掉。文件大小45056字节,还是按找驱动文件的方式查找。很快我们就可以找到。如下图:




手工删除掉就可以了。好了。现在看看是不是可以修改首页了。由于只获取到两份代码,如发现不能修改的,小纸条联系我或直接跟贴。我会联系你帮你解决的。
1

评论Comments