内容摘要:近期截获最新的AV终结者,该变种采用ring3级hook技术直接删除杀毒软件,劫持众多网站,阻止杀毒软件更新。专杀程序紧张制作中,测试通过会及时发布,老版本AV终结者专杀运行后会自动升级。
查询61.152.244.167,位于上海电信机房,whois信息如下:
WHOISresultsfor:61.152.244.167
%JointWhois
%ThisserveracceptssingleASN,IPv4orIPv6queries
%[whois.apnic.netnode-2]
%Whoisdatacopyrighttermshttp://www.apnic.net/db/dbcopyright.html
inetnum:61.152.244.160-61.152.244.191
netname:ZhongXin
descr:ZhongXin
country:CN
admin-c:XCM3-AP
tech-c:HY174-AP
mnt-by:MAINT-CHINANET-SH
changed:coconut-huang@edatahome.com20030423
status:ASSIGNEDNON-PORTABLE
source:APNIC
person:XuChunMing
address:15F,618EastYananRoad,Shanghai200001
country:CN
phone:+86-21-50600014
fax-no:+86-21-53854142
e-mail:springknow@online.sh.cn
nic-hdl:XCM3-AP
mnt-by:MAINT-CN-SHTELE-DATAIDC
changed:coconut-huang@edatahome.com20021007
source:APNIC
person:HuangYi
address:15F,618EastYananRoad,Shanghai200001
country:CN
phone:+86-21-50600014
fax-no:+86-21-53854142
e-mail:coconut-huang@edatahome.com
nic-hdl:HY174-AP
mnt-by:MAINT-CN-SHTELE-DATAIDC
changed:coconut-huang@edatahome.com20021007
source:APNIC
APNIC手动解决该病毒的办法:使用金山清理专家,将下列文件添加到彻底删除的列表,粉碎掉,然后立即重启电脑。
C:WINDOWSsystem32
fxphzn.jbt
c:WINDOWSsystem32yqia.btl
重启电脑,使用金山清理专家全面检测修复功能,将下面的系统执行挂钩项修复掉。
**修改的注册表**
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
"xphz"="{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}"
[HKEY_CLASSES_ROOTCLSID{1b5f93d7-93d7-0a4e-4e82-93d71b5f93d7}InprocServer32]
@="C:WINDOWSsystem32yqia.btl""ThreadingModel"="Apartment"
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystem]"DisableCMD"=dword:00000001
手动编辑hosts文件,对多数用户来说,在这里:c:windowssystem32driversetchosts除保留127.0.0.1 localhost这一行外,其它内容全部清空。
来源:IT专家网 作者:李铁军 责编:豆豆技术应用
- 金山毒霸2008杀毒防护软件试用手记
- Gdwli32盗号木马专杀工具
- 魔域官方推出 “魔域木马专杀工具”
- “44939”木马爆发 360安全卫士发布专杀工具
- 360安全卫士U盘病毒专杀工具 v1.9
- 专杀流行病毒 新版超级巡警震撼登场
- 诺顿杀毒软件再曝误杀事件
- 免费使用杀毒软件 丰富奖品惊喜连连
- 瑞星08杀毒软件被指比病毒危险
- 杀毒软件互联网化成趋势 “免费”大旗齐飘扬