当前位置:首页>>软件教程>>病毒安全>>新闻内容
手工查杀木马病毒Backdoor.livup(msstart.exe)[本站原创]
作者:西部E网 icech 发布时间:2004-7-19 15:11:09 文章来源:西部E网 原创

  昨天在家上网,刚刚打开新浪网站就弹出一个网站:
  http://www.game591.com/adall.asp?comefrom=adcom
  心想,这个网站给新浪多少钱,竟然全站弹出?又上了一下搜狐,竟然也有此网站弹出,奇怪了,难道是病毒?于是我看了一下浏览器首页设置,没错啊,是我自己的网站“西部E网 http://www.weste.net”啊,难道藏在注册表里面?我找到IE注册表中存放默认首页和搜索页的位置,也没有啊?

  计算机装了ZA和NAV都没有警报,奇怪了!

  我晕!于是我开始测试弹出网站的规律,发现这些弹出网站并不是在打开浏览器时出现的,而是在我点击链接的时候一块弹出来的,一开始我以为是在网页中加载了JavaScript的程序,找了半天也没发现,但是却发现一写规律:

  弹出的页面有以下这些地址:
   
  http://www.game591.com/adall.asp?comefrom=adcom
  http://www.moviez88.com/adall.asp?comefrom=adcom
  http://www.kt51.com/adall.asp?comefrom=adcom
  http://www.sex591.com/ucenter/adall.asp?comefrom=adcom
  http://www.tv888.net/adall.asp?comefrom=adcom
  http://www.love920.com/adall.asp?comefrom=adcom

  这些网站是随机弹出的,但是有一个规律就是后面的页面和参数都是“adall.asp?comefrom=adcom”,很显然,是病毒或者是木马,于是我上网搜索关键词“comefrom=adcom”,有意思的是,发现很多人都中了此病毒,但是都以为是更改首页的Javascript程序,用3721上网助手和AD-Aware都不能清除。

  更有意思的是,在病毒的显示页面中还有这样一段代码:

<SCRIPT language=JavaScript>
    function unloadpop()
 {
 line=0
 switch (line)
  {
  case 1: window.open("http://www.sex591.com/ucenter/adall.asp?comefrom=adcom&line=1","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
  case 2: window.open("http://www.tv888.net/adall.asp?comefrom=adcom&line=2","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
  case 3: window.open("http://www.sex591.com/ucenter/adall.asp?comefrom=adcom&line=3","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
  case 4: window.open("http://www.love920.com/adall.asp?comefrom=adcom&line=4","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
  case 5: window.open("http://www.sex591.com/ucenter/adall.asp?comefrom=adcom&line=5","","height=600,width=800,resizable=yes,scrollbars=yes, status=yes,toolbar=yes,menubar=yes,location=yes");break;
  default:  
  }
 }
</Script>

  意思是,它可以根据不同的参数值在页面退出的时候弹出另外的病毒页面,依次循环。

  常规的检查开始:
   
  1、CTRL+ALT+DELETE查看进程

  发现在进程中,有一个“msstart.exe”十分怪异,先结束这个进程,然后再到注册表中查找一下它的位置。

  2、查找注册表

  果然,在
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  找到了msstart.exe,它的位置在\winnt\system32\(这个是win2000和win2003系统)下面,删除后。
 
  3、查找系统盘有没有相同名字的程序

  一般病毒有可以智能复制自己,需要查找还有没有“msstart.exe”文件。经过查找,没有发现:)

  4、上网找寻病毒名称

  这个病毒应该不是新病毒了,所以网上一定有相关信息,先搜索关键词“msstart.exe 病毒”,在网站http://www.xfilt.com/tech/index.htm上找到了查杀它的方法,和我的方法基本一样,呵呵,其实所有的木马病毒手工查杀方法都是一样的。原来这个病毒叫Backdoor.livup
 
  5、查找更多病毒信息

  瑞星网站有个栏目叫“病毒资料库”,基本上所有病毒都能从这里找到相关的信息。
  地址是:http://it.rising.com.cn/antivirus/antivirus7.asp
  可惜的是,我输入“Backdoor.livup”关键字,只能查出它有 Backdoor.Livup.c 和 Backdoor.Livup.d 两个变种,没有更多的信息了。

  因此,icech赶快写出一篇文章,以后只要朋友们遇到我说的类似地址,就快快查找一下自己是不是已经中了木马病毒了。


最新更新
·getPlusPlus_Adobe.exe是什么
·删除v6677.cn网站修改浏览器
·十大Windows7适用的杀毒软件
·如何去掉ESET NOD32在邮件中
·免费获得诺顿NIS 2010注册码
·Cnups.dll是什么文件,怎样删
·au_.exe文件时病毒吗?怎么样
·卡巴斯基自动更新到100%不动
·自己动手打造U盘版杀毒软件
·让你永久免费使用卡巴斯基的
相关信息
画心
愚爱
偏爱
火苗
白狐
画沙
犯错
歌曲
传奇
稻香
小酒窝
狮子座
小情歌
全是爱
棉花糖
海豚音
我相信
甩葱歌
这叫爱
shero
走天涯
琉璃月
Nobody
我爱他
套马杆
爱是你我
最后一次
少女时代
灰色头像
断桥残雪
美了美了
狼的诱惑
我很快乐
星月神话
心痛2009
爱丫爱丫
半城烟沙
旗开得胜
郎的诱惑
爱情买卖
2010等你来
我叫小沈阳
i miss you
姑娘我爱你
我们都一样
其实很寂寞
我爱雨夜花
变心的玫瑰
犀利哥之歌
你是我的眼
你是我的OK绷
贝多芬的悲伤
哥只是个传说
丢了幸福的猪
找个人来爱我
要嫁就嫁灰太狼
如果这就是爱情
我们没有在一起
寂寞在唱什么歌
斯琴高丽的伤心
别在我离开之前离开
不是因为寂寞才想你
爱上你等于爱上了错
在心里从此永远有个你
一个人的寂寞两个人的错