(回Vincent玩生活第一頁)

我解掉了 Kuku530 網頁流氓首頁綁架

網友 David 來電,說他的電腦中毒了,不對勁, 因為打開IE瀏覽器,

首頁已被強迫改成 www.kuku530.com , 不管怎麼改都改不回來.

(類似以下的網頁)

David 先請了熟悉電腦的朋友看過, 最後也建議他放棄這個問題,

乾脆 format hard-drive ,整個系統重灌, 就一次解決了. 但畢竟這也是挺麻煩的.

因為資料要備份. 而且慣用的程式也必須全部再按裝過.

後來 David 透過 Computer1240 找到了我, 我認為很簡單,因為以前我就解過首

頁綁架了. 這只是 C:\windows\system32\drivers\etc 目錄下的 hosts 檔被改了. 只

要改回來就好.......但是......我錯了. 病毒程式寫法已經進步很多. 我前面3小時

的努力皆無效. 還是一開 IE 就出現 kuku530.com , 我倆是恨的牙癢癢的! 因為

當天已晚,我倆相約明日再戰. 回家路上, 一直思考, 只確定了一個方向, "找到

對的掃毒軟體,把蟲揪出來", (剛才 AVG 沒抓到, Kaspersky 無法啟動, Norton

也已過期, 沒效.......)

結論是 : 第二天我用Avira 免費防毒軟體,加上 IE 重灌,終於把問題解了.

1. 下載國內外知名防毒軟體免費版本 Avira 小紅傘 
2. 按裝後建議先做系統完整掃毒.殺掉或隔離病毒後,重啟系統.
3. 啟動 IE , 此時 kuku530 欲執行綁架動作. Avira 


   會偵查到這個作怪的檔案C:\windows\system32\ntdll.d11


   (d11是阿拉伯數字 "11",不是字母"ll" )與以刪除.
4. 關閉 IE 後, 再重開.C:\windows\system32\ntdll.d11


   會再度出現.這表示另有驅動項目在啟動這病毒.(再刪一次)
5. 此時建議你重新安按裝 IE, 在按裝過程中, 


   C:\windows\system32\drivers\xxxxx.sys
     (*.sys 的驅動程式 ),會被揪出現形.當然立即刪掉這個檔. 
6. 重啟系統 
7. 此時你就可以正式的把 IE 重按裝回去.
8. 啟動 IE 後, 改回首頁. 即大功告成.

David, 我們可以喝杯啤酒慶祝了..................

(Vincent Lin 08/21/09 Computer1240 )

.

我要回應

 


click pics for larger

   


 

 

 

 

 

 

 

 
Copyright © 2009 Computer1240. All rights reserved. Web designed and all photos taken by Vincent Lin