恶意网站4255.biz的完美解决办法

问题提出和症状:最近上网碰到这个网站(4255.biz),无意中了它的招,之后每当访问其他网站的时候,都会从4255.biz 上下载数据,并且其他网站都不能下载完整,不能正常访问,郁闷了好久,尤其是带框架的网站干脆就出不来。

(该图为诺顿报毒和处理结果)
分析:(此分析内容为C.I.S.R.T.博客小陌摘录)
打开该网页后,就可以看到三个恶意网址:

001.htm用到的是MS07-017漏洞的网马;
002.htm用到的是MS06-014漏洞的网马;
003.htm会下载ccc.html(其实是个chm文档)。

这三者的目的,都是为了运行病毒本身。病毒大小15,620 字节,UPack加壳,MD5值为b1e2f5ec9e3b42e8142b3335625f2579,Kaspersky检测为Virus.Win32.Delf.bl

运行后会生成

%windows%\system\logo_1.exe
%windows%\system\MCIWACE.INC
%windows%\system\MCIWACE.DRV

会下载一个非exe文档:

http://35623.com/upwina.exe
解决办法

  第一步:修补该漏洞补丁(MS06-014和MS07-017漏洞)。他们的下载地址:
  MS06-014漏洞补丁下载地址:http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx
  MS07-017漏洞补丁下载地址:http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx
如果以上连接不能下载安装(可能盗版不能下载安装,建议使用360安全卫士进行下载安装。下

  第二步:关闭系统还原,使用360安全卫士清理IE临时文件,系统临时文件(随便把恶意软件/插件也清理掉)。

  第三步:使用费尔木马强制删除器工具删除以下文件:

Code:
windows\system\logo_1.exe
windows\system\MCIWACE.INC
windows\system\MCIWACE.DRV
windows\system\ieframe.dll

  第四步:使用最新病毒库的杀毒软件进行全面查杀硬盘

  关于局域网用户,建议下载Antiarp(ARP防火墙)进行处理即可。

(0)

相关推荐

  • 使用UART与PC通信实现msp430g2553单片机超声波测距示例

    适用于msp430g2553单片机  使用到了hc-sr04超声测距模块,使用UART与PC通信. 复制代码 代码如下: #include <msp430.h>long current_time;//最近一次测得时间/*MyPro*/#define LED_1 BIT0                      #define SW_2 BIT3                       #define TA1_1 BIT2                      //TA0.1 HC-S

  • exit(-1)或者return(-1)shell得到的退出码为什么是255

    下面我写了一个hello world程序,一起看看吧: // filename: main.c #include <stdio.h> int main(void) { printf("hello wolrd!\n"); return(-); } 编译执行:gcc main.c && ./a.out 现在我们看看在当前shell中返回上一个执行过程的返回值是多少,是 "-1" 吗? inuyasha@inuyasha-Aspire-4741

  • PHP连接MSSQL时nvarchar字段长度被截断为255的解决方法

    本文实例讲述了PHP连接MSSQL时nvarchar字段长度被截断为255的解决方法.分享给大家供大家参考.具体分析如下: PHP 连接 MSSQL 的新手经常遇到这个问题:数据库里面的 nvarchar 字段中数据一切正常,但是用 PHP 查询出来却发现长度只有 255,我们都知道,在 MySQL 里面 varchar 的长度只有 255,但是 MSSQL 却不是,不会是 PHP 将 nvarchar 按照 MySQL 的 varchar 处理了吧. 本文给出了解决方法: 复制代码 代码如下:

  • 了解Powershell中的Exit函数

    Powershell支持"EXIT"关键字,它的范围是基于作用域的,它可能比你想象的工作方式要不同. 让我们来测试下这个函数: 复制代码 代码如下: function test {   'A'   exit   'B' } 当你保存并调用脚本,你将得到: 复制代码 代码如下: PS> C:\Users\Tobias\Documents\PowerShell\test12343.ps1 A 这时"exit"过早的结束了这个函数.可是当你没有保存当前脚本或当你调用

  • Powershell的break、continue和return简单总结

    在Powershell中有两个特殊的关键字,就是你使用在循环中的break和continue. 看下这个"continue",循环中的继续就是跳过其中的剩余代码.当你使用一个"break",这个循环将提前结束但是会返回当前所有结果. 除此之外,关键字"return",它将马上退出当前的作用域.所以当你在函数中执行"return",这时函数将会结束,同时当你在脚本中执行"return",这时脚本也将结束.

  • PowerShell中使用return语句退出函数例子

    本文介绍在自定义PowerShell函数时,可以使用return语句来退出函数,同时return语句也可以返回值给函数的调用者. 使用return语句来直接退出函数.看一个退出函数的例子: 复制代码 代码如下: function Get-NamedProcess {     param     ($name=$null)     if ($name -eq $null)     {         Write-Host -ForegroundColor Red 'Specify a name!'

  • 恶意网站4255.biz的完美解决办法

    问题提出和症状:最近上网碰到这个网站(4255.biz),无意中了它的招,之后每当访问其他网站的时候,都会从4255.biz 上下载数据,并且其他网站都不能下载完整,不能正常访问,郁闷了好久,尤其是带框架的网站干脆就出不来. (该图为诺顿报毒和处理结果)分析:(此分析内容为C.I.S.R.T.博客小陌摘录) 打开该网页后,就可以看到三个恶意网址: 001.htm用到的是MS07-017漏洞的网马:002.htm用到的是MS06-014漏洞的网马:003.htm会下载ccc.html(其实是个ch

  • SQL server 2008不允许保存更改的完美解决办法(图解)

    我重装系统后就安装了SQL Server2008R2,第一次使用时在修改表结构的时候经碰到这样一个警告[不允许保存更改.您所做的更改要求删除并重新创建以下表.您对无法重新创建的标进行了更改或者启用了"阻止保存要求重新创建表的更改"选项.] 解决方法如下: 1.问题描述 2.点击SQL2008菜单  工具->选项 3.打开了选项对话框,展开Designers,单击[表设计器和数据库设计器],取消[阻止保存要求重新创建表的更改]复选框 4.最后确定就可以了,再去打开表进行设计修改就不

  • ExtJs异步无法向外传值和赋值的完美解决办法

    1.Ext.data.Store.load();方法是异步的,下面的方式获得的reCount始终是0,因为还没等后台的方法执行完就赋值了,此时store的record还没获得值. var testStore = new Ext.data.GroupingStore({ proxy : new Ext.data.HttpProxy({ url : '' }), reader : new Ext.data.JsonReader({ root : 'hstamcx', totalProperty :

  • mac 安装omyzsh后不执行~/.bash_profile、~/.bashrc的完美解决办法

    mac 安装 omyzsh 后, terminal瞬间逼格飙升! 但是! terminal init的时候并不会执行~/.bash_profile.~/.bashrc等脚本了, 这是因为其默认启动执行脚本变为了-/.zshrc. 解决办法就是修改-/.zshrc文件,在其中添加: source -/.bash_profile.-/.bashrc等脚本文件就ok了 以上所述是小编给大家介绍的mac 安装omyzsh后不执行~/.bash_profile.~/.bashrc的完美解决办法,希望对大家

  • Ajax跨域请求COOKIE无法带上的完美解决办法

    1.原生ajax请求方式: 1 var xhr = new XMLHttpRequest(); 2 xhr.open("POST", "http://xxxx.com/demo/b/index.php", true); 3 xhr.withCredentials = true; //支持跨域发送cookies 4 xhr.send(); 2.jquery的ajax的post方法请求: $.ajax({ type: "POST", url: &qu

  • Mysql5.7.14 linux版密码忘记完美解决办法

    在/etc/my.conf文件中[mysqld] 下面最后增加一行:skip-grant-tables 记住是[mysqld]下最后,不要增加到[mysqld_safe]下面 保存之后,重启Mysql,在linux命令行直接执行:mysql回车 OK 修改密码: update mysql.user set password=password('root') where user='root' 结果报错: mysql> select host,user,password from user ; E

  • VirtualBox复制的虚拟机无法获取IP的完美解决办法

    自从建立了这个账号后写了一篇,好几年没来了,今天来看看,顺便分享一下. 昨天晚上想玩玩zookeeper集群,在vb里复制了一台主机,可怎么也无法获取IP,经研究,终于还是解决了. 1.复制主机时勾选 重新初始化所有网上的mac地址,并选择完全复制. 2.启动复制的主机 3. 编辑/etc/udev/rules.d/70-persistent-net.rules,注释eth0一行,并将eth1改为eth0,保存退出,启动start_udev #vi /etc/udev/rules.d/70-pe

  • MYSQL5.7.24安装没有data目录和my-default.ini及服务无法启动的完美解决办法

    mysql官网下载地址:https://dev.mysql.com/downloads/mysql/ 新版安装包解压后,没有网上教程里面提到的data文件夹和my-default.ini,如下图所示 根据网上很多教程安装仍不成功,结果: 1.Can't change dir to 'D:\from20181022\soft\mysql-5.7.24\mysql-5.7.24-winx64\data'(Errcode : 2 - No such file or directory) 2.MySQL

  • vue mounted 调用两次的完美解决办法

    在开发中发现其中一个页面moutned调用了两次,而其他页面正常,表示很懵逼,然后查找原因,终于找到了,其实归根到底是要知道mounted的调用机制问题: 情况:在这个页面中出现了mounted 加载了两次的情况: 方法:排除法 首先把 this.$store.commit() 方法注释掉,发现就好了,只加载一次 初步判断是commit  方法导致的 二  验证判断是否正确,不使用commit 方法,该用直接改变变量状态的方法,发现又加载了两次: 再次判断,不是由于commit引起的 三   猜

  • Bootstrap 模态对话框只加载一次 remote 数据的完美解决办法

    摘要: 前端框架 Bootstrap 的模态对话框,可以使用 remote 选项指定一个 URL,这样对话框在第一次弹出的时候就会自动从这个地址加载数据到 .modal-body 中,但是它只会加载一次,不过通过在事件中调用 removeData() 方法可以解决这个问题. 1. Bootstrap 模态对话框和简单使用 <div id="myModal" class="modal hide fade"> <div class="moda

随机推荐