找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 1544|回复: 2

网站58Q.COM捆绑木马

[复制链接]
发表于 2003-12-9 00:00:00 | 显示全部楼层 |阅读模式
如果你的主页被修改为WWW.58Q.COM,说明你已经中了winsys木马了,我的数个系统遭到修改,且修改注册表和msconfig无效,重新启动仍被改回,于是上网查找,发现各大病毒网站都有人发帖求助,最后在费尔安全实验室找到详细的此木马的介绍,望大家加强防范,部分用户访问网站IE主页和注册表会被自动设为WWW.58Q.COM这个网站(这个垃圾站放恶意代码是为了提高访问量)
手工清除的步骤如下 自动的可以用费尔,也可用3721,瑞星没有发现,也可能是我的没有升级到最新
----------------------------
对付 Backdoor.D.WinSys 木马的窍门
最近网络中总是充斥着一种网页木马 Backdoor.D.WinSys,此木马是以隐藏在网页中来传播的,并且主要是在一些音乐、电影网站中,只要用户访问这种网页就会自动下载并生成隐藏文件 WINSYS.cer、WINSYS.vbs 木马文件,接着会执行它,并且会在下次电脑启动时再次自动执行,由于隐藏在网页中所以流传甚广,危害很大。不过费尔托斯特安全用户只要平时注意打开实时防护一般都可以有效阻止它的感染。但现在有一些新的传播形式,可以逃过检查,现在告诉大家一个窍门,使用此方法不但可以阻止这个木马而且可以极为有效的阻止这一类木马的感染和传播(费尔托斯特安全的未注册版用户虽然在发现此木马时不显示具体的名称,但使用下面的方法设置后同样可以起到防护作用):
费尔托斯特安全用户解决办法(未注册版同样有效):

打开费尔托斯特安全的“文件”面板
在左边的“实时扫描文件类型”中分别手工新增 PL、HTR、HTA、CER 文件类型
重启费尔托斯特安全(停止托斯特->启动托斯特)
这样,当再访问到含有这类破坏代码的网页时就会被费尔托斯特安全实时拦截到 HTML.Shell.Virus 病毒并报警,从而阻止它的运行。

普通用户解决办法:

先手工把这个 C:\\$NtuninstallqXXXXXX$ 目录整个删除,这里要注意这个目录的一般并不固定,但它的总体形式一般总是“$NtuninstallqXXXXXX”的形式。如果您在资源管理中看不到也许是因为您的系统没有打开“查看隐藏文件”的设置,请再这样设置一下:
打开“我的电脑”
依次打开菜单“工具/文件夹选项”
然后在弹出的“文件夹选项”对话框中切换到“查看”页
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项
最后点击“确定”
做了这几步后您再找一下这个形式的目录,如果找到就把它整个删除掉
在“开始/运行”中运行 regedit.exe 命令打开注册表编译器,然后直接 F3 键打开搜索窗口,在中间输入“winsys.cer”并搜索。这样只要在注册表中发现有此内容的您全部把它删除掉,直到搜索完毕找不到有关值。
在未联接到 Internet 的情况下打开IE,并依次打开“工具/Internet选项/删除文件”,然后在弹出的对话框中选中“删除所有脱机内容”选项,然后点击“确定”。做完这一步之后先别着急关闭这个“Internet选项”对话框,请接着按下面的步骤继续做
查看“Internet选项”对话框中“主页”处的地址,如果它不是您自己设置的网站主页或是一个非常陌生的网址则记下这个网址(只记 http:// 之后的内容,可以用鼠标选中后使用 Ctrl+C 键直接复制),然后按照第2步的方法从注册表全部搜索出并删除有关这个网址的注册表键或值
这样就可以清除掉此木马了。






[此贴子已经被作者于2003-12-9 11:56:11编辑过]
回复

使用道具 举报

发表于 2003-12-11 00:00:00 | 显示全部楼层
这个58q好讨厌,我就中了……谢谢了
回复

使用道具 举报

发表于 2003-12-12 00:00:00 | 显示全部楼层
我也中过。谢谢。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-11-22 20:41 , Processed in 0.204486 second(s), 18 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表