飘雪病毒恶意修改主页---你清除它了吗?
用了几个清理的软件来清理,都不能修复,其中包括平时非常信赖的《超级兔子》清理工具,还有杀马的好手ewido。打开我的杀毒软件瑞星,19日的瑞星病毒播报,赫然出现了这个病毒:
据瑞星全球反病毒监测网介绍,今日有一个病毒特别值得注意,它们是:“广告Rootkit(Rootkit.ADS)”病毒。该病毒会将用户的IE浏览器首页锁定为“飘雪网站导航”,且无法修改。
本日热门病毒:
“广告Rootkit(Rootkit.ADS)”病毒:警惕程度★★★☆,Rootkit,通过恶意网站传播,依赖系统:WIN9X/NT/2000/XP。
该病毒运行后,会在系统目录下生成名为lzx32.sys的文件,并创建名为pe386的系统服务以实现随系统启动自动运行。该病毒会自动将用户的IE浏览器主页锁定为一个名为“piaoxue(飘雪)上网导航”的网站,以提高该恶意网站的访问量。病毒采用Rootkit技术,隐藏自身文件和注册表信息,使它很难被一般用户发现和清除。
反病毒专家建议电脑用户采取以下措施预防该病毒:1、建立良好的安全习惯,不打开可疑邮件和可疑网站;2、很多病毒利用漏洞传播,一定要及时给系统打补丁;3、安装专业的防毒软件升级到最新版本,并打开实时监控程序;4、安装带有“木马墙”功能的个人防火墙软件,防止密码丢失。
看了播报,升级瑞星到最新版。杀了一遍毒,什么都没有发现。看来瑞星还没有及时找到应对办法。
上网四处搜索果然有很多的网友都中了飘雪,了解了一下飘雪的特征:
该病毒创建隐藏的服务项
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386]
并释放隐藏文件
C:\Windows\System32\lzx32.sys
但是lzx32.sys找个半天却没有找到,隐藏的非常好。看来得用具有清理Rootkit的清理工具了,网上有很多咱这样的软件RootkitRevealer、BlackLight、Rkdetector、gmer.exe、endoscope.EXE、DarkSpy、Anti-Rootkit等等,选了gamer.exe,仍不能清除。
汗!这个可恶的飘雪就这样霸占我的IE了,这么专业的流氓,我是没办法了。更可气的是,那个piaoxue导航网站却说是一些推广商的恶意推广才使中毒者锁定他们的主页的,并声称如果想解除锁定,就得放弃使用IE,并向你介绍使用捆绑了流氓搜索的火狐浏览器。这完全是别有目的的推销。刚开始有了重装系统的打算,忽然想到system32这个目录应该是驱动程序的常驻地。以前使用过的《windows清理助手》似乎可以清理一些恶意的驱动。于是来到www.arswp.com下载了最新版本。接下来就是解压软件并运行,windows清理助手果然有效的识别了飘雪并清理了它,接下来重启-更改IE首页,至此飘雪终于清理掉了。
来到windows清理助手论坛,原来最新版增加了飘雪的特征码。真是非常感谢作者居然做了一个这么nb的软件。但现在居说飘雪有了变种,变种病毒,windows清理助手还不能够查杀。很庆幸自已中的不是变种病毒。
中了飘雪标的网友,你们可以用一下《windows清理助手》来清理,它很棒的哦!它不但可以清理常见的流氓软件,而且还可以清理一些rootkit恶意软件。
10月26日360安全卫士的网站发布了它的飘雪专杀工具,中毒的网友以及用清理助手杀不掉的朋友,可以用它来杀一下看。下载地址:http://220.181.34.241/pxzs.exe