恶意网站info。com,请大家不要再点了.
浏览器症状是无论访问任何网页,均指向info .com.刚开始以为是普通的首页篡改,结果改过之后,首页变成空白,但访问其它网页还是被重定向.
用工具HijiacThis,这个不用介绍了吧,因为扫描结果非常干净,一个输入法,一个FTP服务器软件,比我的电脑还干净.开始有点晕了.但真正晕的在后面.
进程管理器里无异常进程,这一步在整个问题解决后得到证实,DLL劫持确实不会在进程表里留下痕迹.
RunScanner启动项无异常.
Streng扫描无异常,仔细查看了驱动和服务项,未经验证的只有FTP服务器软件(这个是自己装的,肯定没有问题).
注册表里没有恶意网址相关项
分析一下吧,这个地方,特别容易出现混乱,因为不知道该怎么办了
Hosts文件检查,因为没有试用所有网页,试验的几个网页都是非常常见的,所以可能被强制添加到Hosts文件,但检查结果令人失望,Hosts文件里只有一个127.0.0.1 指向本地的,Hosts正常,Pass.
Ping恶意网页,得到IP地址83.138.163.25
Ping
www.google.com得到IP地址64.233.189.104,很明显,重定向的只有网页,网络没有被修改.这是个好消息.
小知识:DLL劫持的特点就是启动完全正常,网页被重定向,有时候是部分重定向,有时候是全部重定向,或者定时弹出广告等等.其实我刚开始就怀疑是DLL劫持,但因为没有经验,但到这里,也不由我不信了
我承认我崇洋媚外,我做深刻的检讨......我安装了AVG,升级病毒库之后,一无所获,这时候我真的傻眼了.遇到个新玩意,想不到俺也有走在杀软前面的一天
.用UltraEdit,搜索--搜索多个文件,将文件内容填入,这里我直接填的恶意网址,目录用 C:\windows,这里你可以放大,也可以缩小搜索范围,但一般都在这里,特别是\system32和\system目录下居多,因为这里的系统文件最多,且不易分辨.选上搜索子目录,开始.
.结果令我很开心,Oh,Yeah,
搜索结果我直接复制出来了
************************以下是搜索结果************************************
查找 'info.com' 于 'c:\Documents and Settings\Administrator\Local
Settings\History\History.IE5\index.dat' :
c:\Documents and Settings\Administrator\Local Settings\History\History.IE5\index.dat(1):
已找到 'info.com' 1 次。
----------------------------------------
查找 'info.com' 于 'c:\WINDOWS\system32\dllcache\iis.dll' :
c:\WINDOWS\system32\dllcache\iis.dll(105):
已找到 'info.com' 1 次。
----------------------------------------
查找 'info.com' 于 'c:\WINDOWS\system32\Setup\iis.dll' :
c:\WINDOWS\system32\Setup\iis.dll(105):
已找到 'info.com' 1 次。
搜索完成, 共找到 'info.com' 3 次。 (3 个文件中。)
*************************以上是搜索结果*************************************
这三个文件中,第一个是正常的,很明显就能看到是IE浏览的记录,这里要看不到那才见鬼了.第二个和第三个才是有问题的,IIS是Windows的因特网服务组件,这个文件应该是Windows的一部分,但是这里文件内竟然出现了恶意网址,肯定是恶意DLL无疑了.
PS:这里介绍一个小技巧.检查可疑文件的属性,如果在这里发现的兼容性选项卡,就有问题了,自己的系统文件,会和自己产生兼容性问题?当然不会了.不信的话,可以打开第三方安装的软件,一般都有兼容性选项卡,系统文件,全部没有.当然了,这是一个辅助措施,正确判断还需要你的经验,系统文件一般会在固定的位置,如果乱跑,肯定就是有问题了.
ok,请转到安全模式清除.
请不要着急重启,还在安全模式下,打开注册表,清除相关项目.这一步必不可少,不然重启也是白做.
这里又有一个问题,如何不删错,因为所有的木马伪装成系统文件是必备课之一,删除错误可是会痛的.说实话,这个只有看你的经验了,暂时我也没有想到好方法.先备份,然后查找相关文件资料吧.
到这里,基本就完成了,你们看,很简单吧,只要判断准确,就ok了.
本来以为没事了,但是打开IE之后,却又跳了回来,这次真的疯了.我的思路是可能会有一个文件在监控iis.dll,于是二次检索,但是也没有找到.
这个时候,只好推倒全部重来,再次检查启动,服务,驱动,IE相关项.
RunScanner,还是这个软件,它检测的启动范围非常广,这一次,我扩大了检查范围,肉眼机械扫描,嚯嚯~~~~.功夫不负有心人,我发现了一个特别的注册表项.Proxy,ip地址:83.138.163.25,
(已清除,但是如果修改,位置是在这里)等等, 这个是什么,看起来很眼熟啊,不错,这就是恶意网址.没想到吧,我也没想到,玩了高深的,结果倒在常识上,**,被DLL劫持木马阴了一把.
好了,现在很简单了,IE-internet选项-连接-局域网设置-把代理设置清除掉.
重启电脑,ok了~~~~~
这里再多说一句,如果有一个监控iis.dll的DLL文件,也是不奇怪的,虽然今天的例子里却实不是.双线程乃至多线程监控太正常了.运气比较好。
最后,检查的时候,仔细才是王道,纵观全文,技术含量并不高,大部分源于经验积累,唯手熟而已.包括常见进程,常见服务,还有工具的使用,这就是全部,尤其是最后一个代理设置,真是不知道该说什么好了,基础的基础,被木马阴了一把.
全文提供的是一个思路,希望大家在处理同类问题时,有一个方向。
