[转载]链接ent.myrice.com等站恶意程序的清除方法
信息来源:搜毒网最近上网我的IE出现了一个奇怪的现象,当打开IE空白页后,提示网页有错误(IE的左下角提示),用软件监测自动连接61.152.104.164(可以用最新的木马克星检测到,大家也可以用防火墙检测)当浏览网站时,网页全部打开后隔1-2秒就自动链接下面的网站
[url]http://flack.mp3cool.net[/url]
[url]http://ent.myrice.com[/url]
[url]http://photo.myrice.com[/url]
[url]http://www.taobao.com[/url]
[url]http://soccer.myrice.com[/url]
[url]http://61.129.69.225[/url]
[url]http://sms1.ctn.com.cn[/url]
[url]http://coenter.lycos.com.cn[/url]
不定期的访问
[url]http://open.wz101.net[/url]
从这些站内连接了大量的广告垃圾,弹出窗口,如果你用3721助手禁止了弹出窗口,那么这些信息会大量塞到你的IE临时文件夹下,每浏览一次网站就有一次,一方面占用的的网络资源还会塞满你的硬盘。同时还会提示你是否把myrice的站添加在收藏夹中。
经过我们详细的检查发现这是个伪装很隐蔽的恶意木马程序,网站利用他来做大量的广告宣传,其实对上网的朋友们来说是很可恶的,利用常规的恶意程序清除的方法是解决不了的。
原理:
1、该程序是利用安装一个Alexa bar([url]www.alexa.com[/url])做为隐蔽,并且在你的IE上部出现一个Alexa bar,如果你禁止了第三方的BAR就看不到。如下图:
2、打开IE如果是空白页会调用res://alxtb1.dll/chtml/bootstrap.html,同时连接61.152.104.164
3、浏览网页后会自动连接到[url]http://flack.mp3cool.net[/url],通过这个站连接[url]http://ent.myrice.com[/url],[url]http://photo.myrice.com[/url]等站,而在这些站中有连接到[url]http://www.taobao.com[/url]的代码。
解决方法:
1、首先关闭掉所有打开的IE
2、利用搜索功能查找alx*.dll alexa.dll alxtb1.dll文件,一般在windows\system32\目录下,全部删除。
3、查找windows\system32\dotnetlib.dll font.dll文件,全部删除。
4、搜索删除注册表中所有包含 font.dll、dotnetlib.dll
5、删除注册表中 EntryKey: { 3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B }
6、搜索注册表与alexa有关的键和内容,删除。
7、如果遇到不能删除的可以在安全模式下删除。
8、用木马克星最新版查杀会发现有传奇木马,杀掉。
9、重新启动你的电脑,一切OK。
网上其它资源
目前网上介绍到该恶意代码的站有:[url]http://gamezone.qq.com/a/20040804/000062.htm[/url]
页:
[1]