续:遭遇www.6781.com劫持浏览器和Worm.Snake.a等

最新推荐文章于 2021-05-29 11:40:28 发布
最新推荐文章于 2021-05-29 11:40:28 发布 · 2.7k 阅读 · 0
文章标签:

#操作系统

本文记录了解决一起浏览器主页被恶意篡改及Worm.Snake.a病毒感染的案例,通过移除特定系统文件成功恢复正常。

endurer 原创

2006-12-08 第1

昨天继续帮那位遭遇www.6781.com劫持浏览器和Worm.Snake.a等的网友处理。

见:遭遇www.6781.com劫持浏览器和Worm.Snake.a等
http://endurer.bokee.com/5914250.html

那位网友已经安装了瑞星杀毒软件2006下载版,上回列出的几个文件都找不到了。
但IE主页还会被改为www.6781.com

再用HijackThis生成启动项列表,发现可疑服务

/-----------
msqmx: /??/G:/WINDOWS/system32/drivers/msqmx.sys (autostart)
-----------/

/-----------
文件名 : msqmx.sys
语言 : 英语(美国)
文件版本 : 5.1.2600.80
说明 : Parallel Audio Driver
版权 : Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.1.2600.80
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : paraudio.sys
源文件名 : paraudio.sys
修改时间 : 2004-8-4 0:52:20
大小 : 8352 字节 8.160 KB
MD5 : 98a20388df2b60debdf27a1251725f05
-----------/

就是原来的paraudio.sys。

删除后重启电脑,这回IE主页不被恶意修改了。

STATUS: FINISHED

Complete scanning result of "msqmx.sys", received in VirusTotal at 12.07.2006, 06:53:25 (CET).

AntivirusVersionUpdateResult
AntiVir7.2.0.4912.07.2006RKIT/Startpage.B.2
Authentium4.93.812.07.2006 no virus found
Avast4.7.892.012.06.2006 no virus found
AVG38612.07.2006Startpage.AQA
BitDefender7.212.07.2006 no virus found
CAT-QuickHeal8.0012.06.2006 no virus found
ClamAVdevel-2006042612.07.2006 no virus found
DrWeb4.3312.06.2006Trojan.StartPage.1675
eSafe7.0.14.012.06.2006Win32.StartPage.amd
eTrust-InoculateIT23.73.7912.07.2006 no virus found
eTrust-Vet30.3.323612.07.2006Win32/Startpage.VD
Ewido4.012.06.2006Hijacker.StartPage.amd
Fortinet2.82.0.012.07.2006W32/StartPage.AMD!tr
F-Prot3.16f12.05.2006 no virus found
F-Prot44.2.1.2912.05.2006 no virus found
IkarusT3.1.0.2612.07.2006Trojan.Win32.StartPage.amd
Kaspersky4.0.2.2412.07.2006Trojan.Win32.StartPage.amd
McAfee491212.07.2006New Malware.z
Microsoft1.180412.07.2006 no virus found
NOD32v2190412.06.2006 no virus found
Norman5.80.0212.06.2006 no virus found
Panda9.0.0.412.07.2006 no virus found
Prevx1V212.07.2006 no virus found
Sophos4.12.012.06.2006 no virus found
Sunbelt2.2.907.011.30.2006Trojan.Win32.StartPage.amd
TheHacker6.0.3.13012.06.2006Trojan/StartPage.amd
UNA1.8312.06.2006Trojan.Win32.StartPage.C508
VBA323.11.112.06.2006Trojan.Win32.StartPage.amd
VirusBuster4.3.15:912.06.2006 no virus found

Aditional Information

File size: 8352 bytes

MD5: 98a20388df2b60debdf27a1251725f05

SHA1: cc0117a5f0af2b20c2a4e49680953137d350d52d

iteye_6637
关注
Termite-Beta1.0跳板机_WORM_SameSame_termite_Termite.exe_
10-02
【标题】"Termite-Beta1.0跳板机_WORM_SameSame_termite_Termite.exe_" 提供的关键信息是“Termite”程序的早期版本(Beta 1.0)被用作跳板机,并且它与一种名为“WORM_SameSame”的蠕虫病毒有关。"Termite.exe"是这...
bat.worm.muma.rar_WORM
09-20
标题中的“bat.worm.muma.rar_WORM”指的是一个蠕虫病毒,该病毒主要通过BAT(批处理)文件传播。蠕虫病毒是一种自我复制的恶意软件,能够在计算机网络中独立移动,无需人为干预,通常通过电子邮件、即时消息、下载...
Java实现通过IP获取域名,通过域名获取IP
a5678110的博客
05-30 2888
一、通过Linux命令实现 ping www.baidu.com nslookup www.baidu.com nslookup 14.215.177.166 为什么这个命令会有一个192.168.1.1呢? 192.168.1.1是默认的DNS服务器。 二、DNS的理解 DNS的解析流程: 1.客户端访问www.baidu.com,检查浏览器是否有缓存,若无,往下走 2.操作系...
用HTML+CSS简单仿制了一个bilibili电脑界面⚆_⚆(做着玩的)
qq_42459832的博客
09-28 1万+
** 效果图 **:两边的的标签是因为长截图滑动时,它会跟着一起动,实际并没有那么长(⑉・̆-・̆⑉),截图对跟着跑的东西默认截图成这样,这页面里没有js轮播,本身想加上去,还是太懒了… 下面上代码,真的很简单,没有一点技术含量,更像是在拼图 ( ˶˙º̬˙˶ )୨⚑︎,不过代码超级无敌多,有4000+行,不过大部分都是重复的。 首先是主体HTML <!DOCTYPE html> <html lang="zh-CN"> <head> <meta char
很好的 你自己看看就知道
fuyafyvvv的专栏
03-14 1356
[url=http://www.51zxw.net/study.asp?vip=4433018]51自学网-专业培训老师录制的视频教程,让学习变得很轻松[/url] 强烈向大家推荐一个好网站,[我要自学网] ([url=http://www.51zxw.net/study.asp?vip=4433018]www.51zxw.net[/url]),教程由在校老师录制,,有办公类、平 面设计类,室内
贪心算法
a5678110的博客
01-09 186
dir 转载于:https://www.cnblogs.com/fonxian/p/5116555.html
KKiller专杀工具:解决Net-Worm.Win32.Kido.ih病毒导致的微软网站无法访问问题
从文件信息中我们可以提取出以下知识点: 1. 病毒名称:Net-Worm.Win32.Kido.ih Net-Worm.Win32.Kido.ih是一种在Windows操作...这些知识点可以帮助用户在面对此类威胁时做出正确的应对措施,保护个人数据系统安全。
Worm World Connect-crx插件:增强Wormate.io游戏体验
Worm World Connect是一款Chrome浏览器的扩展程序,文件名以“Worm_World_Connect.crx”作为后缀。从标题来看,该插件与Wormate.io这个在线游戏有密切的关联。Wormate.io是一个广受欢迎的多人在线游戏,玩家在游戏中...
Worm-贪食蛇游戏-www.javaclimb.com.rar
07-29
"Worm-贪食蛇游戏-www.javaclimb.com.rar"是一个压缩包文件,包含了一个名为"Worm-www.javaclimb.com"的子文件,这很可能是一个Java源代码文件或项目文件夹,用于构建运行贪食蛇游戏。 在Java编程语言中实现贪食...
1128d_1128d.com域名信息查询
weixin_33265716的博客
12-24 2086
Domain Name: 1128D.COMRegistry Domain ID: 2210701918_DOMAIN_COM-VRSNRegistrar WHOIS Server: whois.godaddy.comRegistrar URL: http://www.godaddy.comUpdated Date: 2019-12-24T07:18:47ZCreation Date: 2018-...
【转】分享天涯潮女最爱的10个女性网站,强烈建议收藏!
热门推荐
wangying9913的博客
11-05 43万+
1、瑞丽女性网(http://www.rayli.com.cn)   正如瑞丽杂志深受宠爱一样,瑞丽女性网也是一样的深受女性朋友的喜爱,身边好多懂得打扮,穿着时髦的朋友都会经常逛这个网站。据说女大学生里面3个人中就会有1个女性购买瑞丽杂志。如果你不购买瑞丽杂志,那么上瑞丽网也能让你有很多收获,有了它,你离潮女就不远了。 2、.妆点网(http://www.zdface.com/) ...
R语言实战 —— 常见问题解决方法
a5678110的博客
01-04 6915
1、不存在叫XXX这个名字的程序包 > library(reshape) Error in library(reshape) : 不存在叫‘reshape’这个名字的程辑包 解决方法:先安装,后加载 (1)安装,如需要安装reshape程序包 > install.packages("reshape") (2)加载 在R软件中选择 程序包—...
wwwwwwwww
weixin_34112030的博客
09-16 606
efefre 转载于:https://blog.51cto.com/cnming/992751
暂停更新,请到http://www.52brt.com上关注最新文章
fm2005的专栏
12-02 6万+
由于种种原因,搞个了静态博客,本处暂停更新。 感谢你对本博客的关注,请到http://www.52brt.com上关注最新文章。 
shiro学习
a5678110的博客
07-06 464
一些好的学习资源 http://www.aiuxian.com/article/p-1802736.html shiro产生sessionId是通过UUID生成 一、概念 shiro是一个身份验证角色管理的框架 二、用户信息配置 身份验证需要的信息(账号密码)以及角色管理(用户对应的角色)在shiro.ini的配置文件中配置,也可以选择将这两样信息放在数据库中 shiro.ini 如用...
signature=1a4f4cc2a4cb36682d90c0d4c84ca5da,dweb-mirror/yarn.lock at master · internetarchive/dweb-mi...
weixin_34615710的博客
05-29 13万+
# THIS IS AN AUTOGENERATED FILE. DO NOT EDIT THIS FILE DIRECTLY.# yarn lockfile v1"@babel/code-frame@^7.0.0", "@babel/code-frame@^7.8.3":version "7.8.3"resolved "https://registry.yarnpkg.com/@babel/co...
网站安全扫描http://www.iiscan.com
john521
07-12 993
网站漏洞扫描http://www.iiscan.com 网站挂木马扫描 http://union.rising.com.cn/index/url_search.aspx
[04-16] 关于www.71791.com的问题(第2版)
Purpleendurer@优快云
04-03 3018
endurer 原创2006-04-16 第2版 网友回复说问题已经解决,并把文件INTasks.exesvchest.exe发了过来2006-04-03 第1版刚才收到一个网友转发来的HijackThis的log文件,该网友的网友电脑定期弹出hxxp://www.71791.com的网页。在log中发现如下可疑的项目:  F2 - REG:system.ini: U
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值