siglow及netplayone木马查杀方法
来源:互联网 发布:机械零件强度计算软件 编辑:程序博客网 时间:2024/05/16 09:49
发现的木马体文件:siglow.sys,siglow.dll,netplayone.dll,nethome32.dll四个。
现象:
1、360升级异常;
2、google搜索木马体文件名关键字,结果集异常,且360论坛的相关网页全部打开指向360主页;
3、卡巴与小红伞两款杀毒软件及360安全卫士均报siglow.sys为木马。删除或隔离该文件后导致网卡工作异常,宽带拨号失败;
4、打开设备管理器,发现网络适配器处有2个设备显示黄色的惊叹号(这两个设备其实是木马所添加),名称分别为:“你的网卡设备名 - siglow Miniport”与“WAN 微型端口(IP) - Siglow Miniport”,如我所修复的那台电脑显示:Atheros AR8132 PCI-E Fast Ethernet Controller - Siglow Miniport 与 WAN微型端口(IP) - Siglow Miniport;
5、netplayone则是对LSP进行劫持,修复LSP后导致无法打开网页。
分析:siglow是一个驱动级的木马,使用win2000DDK编写,感染目标机器网卡驱动。删除该木马体文件将导致网卡工作异常。netplayone应该为普通的LSP劫持木马。(或者这两个是属于同一个木马的两个木马体文件??)
查杀与修复:
1、删除所有木马体文件;
2、使用WinsockXPFix工具对系统LSP进行修复;
3、卸载网卡驱动后重新安装;
4、如果上述过程完成后,设备管理器中还是有惊叹号出现,则重新安装一下TCP/IP协议。
P.S TCP/IP协议卸载和安装方法(可以先直接从第4步开始不卸载重新安装TCP/IP协议,如问题不能解决,再从第1步开始先卸载再重新安装):
1、开始--运行--regedit.exe,打开注册表编辑器,删除以下两个键:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Winsock
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Winsock2
2、用记事本打开windows/inf/nettcpip.inf文件(注意:inf是隐藏文件夹),找到:
[MS_TCPIP.PrimaryInstall]
Characteristics = 0xa0 <------把此处的0Xa0改为0x80 保存退出
3、打开本地连接的TCP/IP属性---添加协议--从磁盘--浏览找到刚刚保存的nettcpip.inf(%winroot%/inf/nettcpip.inf)文件,然后 选择“TCP/IP协议”(不是选择那个TCP/IP 版本6)。
经过这一步之后,又返回网络连接的窗口,但这个时候,那个“卸载”按钮已经是可用的了。点这个“卸载”按钮来把TCP/IP协 议删除,然后重启一次机器。
4、重启后再照着第3步,重新安装一次TCP/IP协议便可。
5、再重启一次,根据需要,设置IP地址。
- siglow及netplayone木马查杀方法
- 木马查杀方法
- 木马万能查杀清除方法,木马专杀
- PHP一句话木马及查杀
- 查杀www.010com.cn netplayone 淘宝 电信 网站刷流量恶意程序
- 手工查木马基本方法
- 查杀木马(原创)
- 木马查杀
- 手工查杀木马
- 木马查杀
- 关于查杀木马
- 最近流行的一些木马群的查杀方法
- 手动查杀病毒和木马的通用方法
- 寻求有效的TrojanWin32木马查杀方法
- Linux系统木马后门查杀方法详解
- 电脑木马查杀大全
- 新手查杀木马大全
- 十大木马查杀
- 养成良好的习惯
- 对于序列化的一次认识
- POJ 2488 A Knight's Journey(DFS——骑士周游问题)
- Damerau–Levenshtein Distance, Lua Implementation (字符串相似度算法 lua 实现)
- 字符串全半角转换
- siglow及netplayone木马查杀方法
- 小幽默。。。
- 为什么在vs 2005中用include “iostream.h”就不行,而用include "stdio.h"就可用
- woyaojifen
- PHP集成开发环境Zend Studio的配置及调试技术
- 正式环境登录提示
- 微软,Google面试题 (14) —— 约瑟夫环
- VC6.0 运行程序出现Error spawning cl.exe的原因
- Java中Heap与Stack的区别