公司很多人电脑中这个病毒.经过认真分析,发现应该是利用IE漏洞插JS文件,调用网页引起的.分析过程
如下:
清除C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files和
C:\Documents and Settings\Administrator\Local Settings\temp(其中administrator为您自己的用户
名),如果找不到文件夹,请打开隐藏文件和系统文件.把里面文件删除.
然后打开一个网站,原来会提示有Trojan.DL.Script.JS.Agent.bu,当瑞星提示后,选择不处理.然后打开
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files找里面的文件
。看Internet地址有没有不是我们打开的网址。像我遇到的就是hxxp://ad.8d77b42a.info,对应下载了
个day.js,把day.js复制出来。右键点编辑,杀软报毒,别删除。选不处理。看里面有插什么木马网页
。查找iframe,会发现有类似的网址hxxp://ad.8d77b42a.info/kong.htm(原是http,怕大家误点,改成
hxxp)然后把hxxp://ad.8d77b42a.info保存出来。最后还查找script,有发现有调用
hxxp://js.tongji.cn.yahoo.com/621252/ystat.js。直接在IE打开
hxxp://js.tongji.cn.yahoo.com/621252/ystat.js(要改成http才能下载)下载保存,编辑,发现里面
有调用hxxp://log2.soft.cn.yahoo.com。经分析,我们得到了几个网址如下:
hxxp://ad.8d77b42a.info
hxxp://js.tongji.cn.yahoo.com
hxxp://log2.soft.cn.yahoo.com
打开C:\WINDOWS\system32\drivers\etc目录下的hosts(系统不是装在C盘的,请在系统安装盘下找,如
2000对应的是winnt而不是windows
用记事本来打开,找到127.0.0.1 localhost下面添加
# *********以下内容为赖达群为免疫Trojan.DL.Script.JS.Agent.bu病毒所添加******************
127.0.0.1 ad.8d77b42a.info
127.0.0.1 js.tongji.cn.yahoo.com
127.0.0.1 log2.soft.cn.yahoo.com
# *********结束******************
然后保存,如果无法保存,就把hosts的只读属性去掉。如果您觉得这样操作很麻烦。可以下载我写好的。替换掉C:\WINDOWS\system32\drivers\etc下的hosts
‹‹ 上一主题 |
下一主题 ››
