|
|
|
| 这次不得不承认遇到了棘手的问题,piaoxue(飘雪)浏览器劫持比较之前的7379、4199、9505都要厉害的多,虽然最后找到了解决方法,但其过程还是非常曲折。 先描述一下症状: 1.最明显的,主页被修改为www.piaoxue.com!ie修复暂时奏效,但重起后又恢复了。 2.释放驱动文件c:\windows\system32\drivers\uxlmwuif.sys(文件名有点随机性) 3.修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\uxlmwuif.sys 4.创建隐藏服务于下列键之下 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services5. 目前能躲避大部分查杀工具,包括浏览器修复。 疑难之处: 该病毒属于驱动级病毒,而且释放的文件和驱动都是完全隐藏的,服务项也很隐蔽。 解决方法: 虽然已经尽力,但是由于样本太少,目前还没有找到手动杀毒的方法。不过,使用下列软件可以完全杀掉,Debugger测试过,请放心下载! http://www.arswp.com/download/arswp/arswp.rar 注意,清理完毕重起后不要马上打开ie,保险起见要搜索注册表有关piaoxue.com的所有键值删掉才行。注:搜索方法:开始-〉运行-〉regedit f3 |
