IE首頁被www.my123.com無法更改

leemoksau

:evil: 點算?

Jeffrey Shirley

應該係中左毒！不過哩種毒比較麻煩，有心理預備要重裝個 Windows。

發生的原因
下列一或多個情況成立時，可能就會發生這個問題： • 您的電腦已感染了會變更 Internet Explorer 首頁的病毒。

例如，IRC.Becky.A 蠕蟲和 Trojan.JS.Clid.gen 特洛伊木馬病毒會變更 Internet Explorer 首頁。
• 您的電腦執行了會發動惡意攻擊的程式碼。

例如，JS.Exception.Exploit 程式碼可能會變更 Internet Explorer 首頁。
• 您安裝了會變更 Internet Explorer 首頁的協力廠商軟體。

例如，Xupiter.com 的 Xupiter 工具列、SecondPower.com 的 SecondPower Multimedia Speedbar 和 GoHip.com 的 GoHip! 網頁瀏覽器增強功能，都會變更 Internet Explorer 首頁。當您安裝其他程式時，可能會提示您安裝其中一個程式。
• 您的系統管理員已使用 Microsoft Internet Explorer Administration Kit (IEAK)、群組原則、系統原則，或手動設定登錄 (例如，透過登入指令碼) 等方式，設定了您的首頁。

Reference:
http://support.microsoft.com/kb/320159

leemoksau

11月11日上午各反流氓软件网站杀毒软件安全站点论坛接到大量用户报告表示其主页被恶意软件篡改为www.my123.com无法修复.从规模及爆发面积来看全国各地可能有数百万甚至上千万用户被该流氓恶意修改了主页这和之前爆发的大面积 piaoxue.comfeixue.net73ss.com9505.com81915.com4199.com等恶意修改用户主页十分相似.

同以往的一些“老流氓”相比这些新流氓的特征是爆发面积特别大效果明显目的明确单一(修改主页)手段新奇狠毒这次的my123.com流氓又有了一个新的特点就是集中在11日周六 安全公司及反流氓组织休息时突然全面爆发 使得它们中的绝大多数措手不及无法有效抑制病毒爆发 手段卑劣

病毒的基本特征

病毒的核心部分是一个驱动程序
该驱动程序是随机文件名的.sys文件
疑似是之前piaoxue驱动的修正版
该驱动会在操作系统加载时作为System Bus Extend驱动加载

然后 会将自身以独占方式打开导致任何Windows下程序也无法读写及删除它

系统启动后驱动开始分多个模块工作(分别建立多个线程)

1.服务保护模块:该模块会检测驱动自身的注册表服务项不停地暴力重写自身服务项使得无法删除其服务项

2.自身文件独占及句柄检测保护模块等:
会将自身文件以独占方式打开这样若不解除独占任何windows下使用常规访问文件方法的程序包括杀毒软件都无法读写或者删除它的驱动程序文件

文件句柄检测保护模块则是为了针对之前我的piaoxue类专杀而进行的保护
之前我的专杀会强制解除piaoxue类驱动对自身文件的独占从而将其清除
但该驱动增加了这个保护会不停检测自身文件的独占是否被强制解除如果检测到立即再次独占


2.篡改首页模块:该模块会不停暴力重写注册表中首页设置为www.my123.com导致无法对该项进行修复


下面来看看为什么这个流氓会在11月11日这天突然大面积爆发
该篡改模块会检测当前时间是否在2006年11月1日到2006年11月10日之间
如果在这段时间之内那么则潜伏下来只有模块1和模块2运行不修改主页

到了11月11号这天则启动模块3强行篡改用户主页

也就是说　11月开始该流氓早已在大量用户的机器上潜伏下来
(去看了下各个可能感染源的连接每个都有数百万乃至数千万的下载量有些更是在一些知名的下载网站上)
然后一直不发作等到11日就会突然发作造成“my123流氓不明原因大面积爆发”的现象既使反流氓组织措手不及又使得查出流氓感染源变得困难重重从piaoxuefeixue再到现在的my123其流氓手段已经同病毒无异此次的my123已经完全具备了衡量病毒的三大特征: 潜伏性、传播性、破坏性.

在我们在道德上对这些病毒作者及网站站长进行谴责的同时这些人更应受到法律的制裁.



360safe官方专杀工具

使用该工具可彻底清除my123.com的恶意病毒

该病毒会恶意篡改用户首页为my123.com


使用方法：
打开My123Killer.exe会自动检测系统是否被my123.com病毒感染

若是，可以点清除，将其清除之

就这么简单

leemoksau

我試過唔成功 唯有重裝啦. :em01:

咁點樣重裝啊? :?:

Jeffrey Shirley

咁！係吾係已經攪掂左喇！ :em12:

leemoksau

[quote:076c56e55d="Jeffrey & Shirley"]咁！係吾係已經攪掂左喇！ :em12:[/quote]

唉~ 搞唔掂.

大家都要小心D.

Jeffrey Shirley

[quote:d1474d2f36="leemoksau"]我試過唔成功 唯有重裝啦. :em01:

咁點樣重裝啊? :?:[/quote]
妳有無野要 backup 先呀？ :?:
如果無的話，通常開機（黑底白字畫面）o既時候，都會顯示某 D (F2)或者(F10) function key，話用黎 recovery o既功能，之後就 step by step 咁 還原至出廠o既 Windows，不過吾識就搵我啦！ ops:

leemoksau

果然係親善大使 :em11:
我自己試吓先 如果唔得再麻煩你. :em14:

Jeffrey Shirley

[quote:eb8e75340d="leemoksau"]果然係親善大使 :em11:
我自己試吓先 如果唔得再麻煩你. :em14:[/quote]
好呀！有問題就電聯啦！ :wink:

saga

試下佢!  8)

Download 左佢--->
http://www.arswp.com/download/arswp/arswp.rar

save 係桌面 解壓後 開啟 & 掃瞄 之後你會見到my123.com 清除左就ok了

重新開機後 唔好ONLINE住 對住 IE 右CLICK 搵"內容" 張首頁設定返http://hk.yahoo.com/

即刻ok晒~~~