http://ad.8d77b42a.info/day.js 病毒处理
分析过程
如下:
清除C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files和
C:\Documents and Settings\Administrator\Local Settings\temp(其中administrator为您自己的用户
名),如果找不到文件夹,请打开隐藏文件和系统文件.把里面文件删除.
然后打开一个网站,原来会提示有Trojan.DL.Script.JS.Agent.bu,当瑞星提示后,选择不处理.然后打开
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files找里面的文件
。看Internet地址有没有不是我们打开的网址。像我遇到的就是hxxp://ad.8d77b42a.info,对应下载了
个day.js,把day.js复制出来。右键点编辑,杀软报毒,别删除。选不处理。看里面有插什么木马网页
。查找iframe,会发现有类似的网址hxxp://ad.8d77b42a.info/kong.htm(原是http,怕大家误点,改成
hxxp)然后把hxxp://ad.8d77b42a.info保存出来。最后还查找script,有发现有调用
hxxp://js.tongji.cn.yahoo.com/621252/ystat.js。直接在IE打开
hxxp://js.tongji.cn.yahoo.com/621252/ystat.js(要改成http才能下载)下载保存,编辑,发现里面
有调用hxxp://log2.soft.cn.yahoo.com。经分析,我们得到了几个网址如下:
hxxp://ad.8d77b42a.info
hxxp://js.tongji.cn.yahoo.com
hxxp://log2.soft.cn.yahoo.com
打开C:\WINDOWS\system32\drivers\etc目录下的hosts(系统不是装在C盘的,请在系统安装盘下找,如
2000对应的是winnt而不是windows
用记事本来打开,找到127.0.0.1 localhost下面添加
# *********以下内容为赖达群为免疫Trojan.DL.Script.JS.Agent.bu病毒所添加******************
127.0.0.1 ad.8d77b42a.info
127.0.0.1 js.tongji.cn.yahoo.com
127.0.0.1 log2.soft.cn.yahoo.com
# *********结束******************
然后保存,如果无法保存,就把hosts的只读属性去掉。
其中有一台不行.需要打补丁才行
http://download.microsoft.com/download/8/a/0/8a0bd20d-ac51-45f7-ac31-03cc38ebb32b/WindowsXP-KB944338-x86-CHS.exe简体XPSP2
http://download.microsoft.com/download/c/a/6/ca612a33-4552-48c8-93c4-923cf6b7e254/WindowsXP-KB944338-x86-CHT.exe繁体XPSP2
http://download.microsoft.com/download/6/9/1/69196a70-7dcf-4060-980d-6c7a1bc926c8/Windows2000-KB944338-x86-CHS.EXE简体2000
http://download.microsoft.com/download/6/5/1/6515de95-5ce3-4c82-8306-fb453cae295f/WindowsServer2003-KB944338-x86-CHS.exe简体2003
http://ad.8d77b42a.info/day.js 病毒处理