网络安全

位置:IT落伍者 >> 网络安全 >> 浏览文章

IE自动弹出网页怎么办


发布日期:2018年07月23日
 
IE自动弹出网页怎么办

裘医生接诊了一位病毒受害者——王方。王方的《传奇》账户被黑客盗走,虽然通过努力取回了账户,但还是有很多昂贵的游戏装备消失了。因此,他怀疑电脑感染了病毒。在给他的电脑进行检测的过程中,裘医生发现电脑IE经常自动弹出网页。当他观察任务管理器时,发现有几个“iexplore.exe”进程和一些陌生进程(如:updaterun.exe)。文章这时,裘医生已经可以确诊,王方的电脑感染了死神下载者病毒。这是一个非常狡猾的病毒,会造成很多杀毒软件及个人防火墙软件无故退出。该病毒运行后会从黑客指定的网站下载其他的病毒及木马,下载的这些恶意程序会窃取用户的网络游戏账号、密码等信息,给用户的信息安全带来很大威胁。病毒档案死神下载者病毒可以通过邮件、恶意网站等途径传播,可以通过IE的漏洞对系统进行入侵。该病毒还可以在盘符下生成autorun.inf和可执行病毒文件,插入闪存就会被感染。由于该病毒采用的隐藏方式比较多,清理起来有些麻烦。快刀斩病毒裘医生自信满满地在王方的电脑上打开Process Explorer,首先观察到几个明显的病毒进程(如:117929271962.exe、902.exe、Updat erun.exe等),对它们都可以通过右键菜单命令“Properties”查看属性获得其路径(图1),然后通过右键菜单命令“Kill Process”杀除该进程,最后删除该进程文件。tW.wingwit.cOM

进行以上操作后,裘医生发现了几个可疑的进程,貌似系统进程却可能是病毒的载体。于是,裘医生右键单击一个rundll32.exe进程选择“Properties”命令,果然发现它的Command line为“C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\vxlu\ihve.dll,Service –s”。其实这就是运行了ihve.dll这个病毒程序的结果。右键单击该进程选择“kill Process”命令予以杀除,接着进入相应目录删除病毒文件。对另一个rundll32.exe进程和rundll2000.exe进程加载的病毒进行类似操作也是必要的。裘医生还发现系统启动了几个iexplore.exe进程,这些进程在做什么呢?右键单击其中一个IE进程选择“Properties”命令,发现它的Command line为“C:\Program Files\Internet Explorer\IEXPLORE.EXE“ http://www.zhugui1234.cn/qq/qb.htm”,也就是调用IE连接“ http://www.zhugui1234.cn/qq/qb.htm”这个网址(图2)以连接病毒下载网站和广告弹出网页。 对三个IE进程都进行“Kill Proc ess”命令操作予以杀除就可以了。

病毒隐身照样杀以上操作还是不能保证重新启动后,系统不被隐藏极深的病毒破坏。因此,裘医生决定对系统做一次深入的“全面体检”。裘医生使用擅长调整修复系统的SREng来分析系统。一打开SREng就弹出警告信息,显示为API Hook错误(图3)。API HooK技术是一种用于改变API系统函数执行结果的技术,可以被病毒用来隐藏自身。裘医生点击“修复入口点错误”按钮以查出隐身的病毒。当SREng切换到“启动项目”选项时,马上弹出警告信息,提示注册表值Userinit被修改。病毒很可能通过该键值进行了加载,打开该键值发现被修改成了“C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\tGGRk.exe”,而正确的应该是“C:\WINDOWS\system32\userinit.exe,”修改回来并删除tGGRk.exe。通过上面的清除发现病毒文件有些是通过服务加载的。切换到“服务”选项,点击“Win32服务应用程序”按钮,在弹出的窗口果然发现了病毒的服务,接着就尝试删除所有病毒服务和病毒服务的映像文件。打开超级巡警,在超级巡警的“服务管理”选项,右键单击病毒服务,选择“删除服务和映像文件”命令即可。由于死神下载者病毒下载了木马病毒来控制感染病毒的电脑。接着就是清除死神带来的木马了。选择超级巡警的“进程管理”选项,检查Explorer.exe这个系统Shell进程发现了灰鸽子2007的服务端文件G_Server2007.dll,于是右键单击该文件选择“强制卸载标记模块”命令,然后删除该文件即可。

上一篇:ANI蠕虫相关知识

下一篇:Trojan.PWS.wsgame病毒是什么