netbios.sys反复查杀搞不定,浏览器弹出www.ie7.com.cn的解决办法

一、中毒现象:
只要打开ie浏览器,就会弹出 www.ie7.com.cn。且使用360安全卫士反复查杀无法搞定。
二、简要技术分析(珠海病毒分析组提供)
病毒替换系统的netbios.sys,netbios.sys是一个与网络协议有关的系统文件。

(1)InlineHook了IoCreateFile,即在该函数的入口加入E9(JMP),那么每当系统调用IoCreateFile的时候都会跳到病毒的驱动模块中来执行
(2)在执行例程中,病毒首先会判断传入的路径,一旦发现是病毒自身所在的路径,则立即返回,实现对病毒母体文件操作的过滤,一般的用户级程序无法删除或移动netbios.sys; 接下来该驱动中会调用PsSetCreateProcessNotifyRoutine来注册一个NotifyRoutine函数
(3)每当有新的进程创建时,这个NotifyRoutine函数都会被调用到,在这个函数中,病毒会检查进程的路径,一旦发现用户打开的是IEXPLORE.EXE并且该进程的父进程是EXPLORER.EXE or SVCHOST.EXE or LSASS.EXE,那么病毒会首先KeAttachProcess到该进程中,
(4)通过_EPROCESS结构定位到CommandLine,即获取到传入IE浏览器的命令行参数,解密自身的字符串: http://www.ie7.com.cn,并 调用sprintf将该串入原来的命令行参数中,即命令行参数被修改为:"C:\Program Files\Internet Explorer\IEXPLORE.EXE  http://www.ie7.com.cn ",做完这些坏事后,KeDetachProcess去除进程的附加,此时的IE浏览器就会弹出这个烦人的恶意网址.

三、解决办法:
安装金山网盾3.5或金山急救箱,使用这两个工具的任一个扫描,重启电脑故障即可解决。
点击这里免费下载金山急救箱3.0
点击这里免费下载金山网盾3.5

你可能感兴趣的:(浏览器,解决,休闲,netbios.sys,www.ie7.com.cn)