小伟 2008-5-30 11:51
手工三步查杀Javqhc木马最新变种
[size=3][color=darkslategray]Javqhc[/color][/size][size=3][color=darkslategray]病毒[/color][/size][size=3][color=darkslategray]的简介:[/color][/size][size=3][color=darkslategray] 如果你有一下现象,就可能中了此[/color][/size][size=3][color=darkslategray]木马[/color][/size][size=3][color=darkslategray],而且360的最新Javqhc专杀工具v1.9已经无法使用。[/color][/size]
[size=3][color=darkslategray] 1、安全[/color][/size][size=3][color=darkslategray]软件[/color][/size][size=3][color=darkslategray]硬盘[/color][/size]
[size=3][color=darkslategray] 文件被删除[/color][/size]
[size=3][color=darkslategray] 无法打开360、诊断工具等安全[/color][/size][size=3][color=darkslategray]软件[/color][/size][size=3][color=darkslategray],运行后被立刻删除。[/color][/size]
[size=3][color=darkslategray] 2、常用[/color][/size][size=3][color=darkslategray]域名[/color][/size][size=3][color=darkslategray]被劫持到其它[/color][/size][size=3][color=darkslategray]域名[/color][/size]
[size=3][color=darkslategray] 该[/color][/size][size=3][color=darkslategray]木马[/color][/size][size=3][color=darkslategray]会修改hosts表,奇虎360、卡巴斯基、金山、江民、瑞星、赛门铁克等安全厂商的升级服务器、主页、[/color][/size][size=3][color=darkslategray]论坛[/color][/size][size=3][color=darkslategray]的[/color][/size][size=3][color=darkslategray]域名[/color][/size][size=3][color=darkslategray],均被劫持IP为222.73.126.115的主机,画面为假冒百度网,[/color][/size][size=3][color=darkslategray]域名[/color][/size][size=3][color=darkslategray]显示为cn.yahoo.com。[/color][/size]
[size=3][color=darkslategray] 3、[/color][/size][size=3][color=darkslategray]病毒[/color][/size][size=3][color=darkslategray]文件写入常用[/color][/size][size=3][color=darkslategray]软件[/color][/size][size=3][color=darkslategray]安装目录[/color][/size]
[size=3][color=darkslategray] 发现系统中qq安装目录下有wsock32.dll存在。[/color][/size]
[size=3][color=darkslategray] 第一步:利用Wsyscheck火眼金睛识[/color][/size][size=3][color=darkslategray]病毒[/color][/size]
[size=3][color=darkslategray] 在几乎所有的安全[/color][/size][size=3][color=darkslategray]软件[/color][/size][size=3][color=darkslategray]瘫痪的时候,冷门[/color][/size][size=3][color=darkslategray]软件[/color][/size][size=3][color=darkslategray]就可派上大用场。Wsyscheck是一款手动清理[/color][/size][size=3][color=darkslategray]病毒[/color][/size][size=3][color=darkslategray]木马[/color][/size][size=3][color=darkslategray]的工具,其目的是简化[/color][/size][size=3][color=darkslategray]病毒[/color][/size][size=3][color=darkslategray]木马[/color][/size][size=3][color=darkslategray]的识别与清理工作,利用它你会看到病毒加载到每个进程里的模块,从而确定可以模块,c:\windows\system32\bpgwtjfxv.oct(有可能是随机命名,扩展名应该还是.OCT)这个文件几乎加载到了每个进程里,这就说明了为什么运行专杀工具会被删除的原理。[/color][/size]
[size=3][color=darkslategray] 第二步:手工配合WinPE删除病毒[/color][/size]
[size=3][color=darkslategray] 进入WinPE系统里,找到c:\windows\system32\bpgwtjfxv.oct并且删除,然后手工建立一个bpgwtjfxv.oct的免疫目录,在目录里再新建一个以..结尾的目录,让病毒无法删除这个免疫目录,从新启动系统。[/color][/size]
[size=3][color=darkslategray] 第三步:彻底剿灭病毒[/color][/size]
[size=3][color=darkslategray] 正常进入系统后,这时已经可以运行360,从新安装360安全卫士查杀恶意软件,修复被破坏的Hosts,并且利用Javqhc专杀工具清除的残余文件。[/color][/size]