只需一步,快速开始
1.开机必须用身份证卡号登入,管理员登入有可能不加载广告! 2.随机打开了几个网页,发现网页右下角有弹窗广告. 3.接着用进程管理器定位窗口进程,发现窗口是直接从360chrome.exe浏览器启的 (这里少 ...
1.开机必须用身份证卡号登入,管理员登入有可能不加载广告!2.随机打开了几个网页,发现网页右下角有弹窗广告.3.接着用进程管理器定位窗口进程,发现窗口是直接从360chrome.exe浏览器启的(这里少一张图,忘记截图咯了)4.看来是浏览器被加载了恶意DLL文件哟,接着继续查看360chrome.exe加载的模块,发现一个未签名可疑DLL,版本16.4.15.35.查到路径是C:\windows\5AgZ5.dll, 尝试改名一下,提示如下6.看来还有其他程序加载了5AgZ5.dll,继续使用软件查找功能7.查看系统进程发现有两个lsass.exe进程哟,这里可以看出PID:3480的lsass.exe是由当前用户创建的,所以肯定是个冒牌货,正常的系统进程用户名应该是:SYSTEM8.接下来尝试用Windows管理器结束掉lsass.exe进程,果然够流氓!9.还是简单点得用第三方软件来搞定它!10.冒牌lsass.exe进程结束掉了,成功改名5AgZ5.dll11.再次打开浏览器,DLL加载项没有哟,弹窗广告也消失咯!!12.那么接下来分析分析,到底是谁生成了5AgZ5.dll ,执行了lsass.exe13.这里查到5AgZ5.dll 和 lsass.exe,都是由Client.exe程序创建的,那么继续追踪看看Client.exe是怎么来的!14.这里清楚的,记录了Client.exe是由0414ht.exe自解压包创建的15.看看创建时间都是想吻合的,和桌面图标同一时间生成的,这里基本上可疑断定是Pubwin搞鬼哟,如果没装Pubwin装了信佑可能也会有广告,反正他们是一家的!16.继续再往上追踪,发现这些都是由System创建的,至于Pubwin是如何提权利用System这个只能由更专业的人士来分析咯17.还有最近一些用户出现开机直接弹出博彩类网页,不用怀疑,又是他们公司干的!!18.这里可以看到开机直接360浏览器打开了9990885网页,接下来看看幕后黑手吧19.这里可以看到360浏览器是直接由父进程PubwiClient.exe来启动的,真是无孔不入20.好了,先到此为止吧,文章已经很长了,写的都累!估计看得人都想睡着咯!这里先总结一下Pubwin最新广告的行为吧!Pubwin登入卡号后修改注册表HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page新: 字符串: "http://www.baidu.com/?tn=78040160_28_pg,"旧: 字符串: "http://www.baidu.com/"1.Pubwin登入卡后利用SYSTEM系统进程生成 C:\Windows\0416ht.exe自解压包2.C:\Windows\0416ht.exe解压到路径%ProgramFiles%\temp\ 生成client.exe H.dll I.dll v.dll module.ini hint.dat 文件3.0416ht.exe解压后静默运行"C:\Program Files (x86)\temp\client.exe" /loader重新在C:\Windows\6YJCzlCZsC_A(随机目录)\和C:\windows\下分别生成lsass.exe和随机DLL文件最后再删除%ProgramFiles%\temp\路径下的相关文件!4.lsass.exe 查找各类浏览器,修改了注册表Appinit_DLLs项,浏览器打开随后就加载了5Agz5.dll广告插件,导致打开浏览器就有增值弹窗广告5.其实生成的随机文件,全部都是自解压包里面的,因为我对比了他们的MD5发现是一样的!!6.截止我发稿的时候,又测试了一次,发现今天新浩艺又更新了一次广告(某些地区可能还没发布),这次更加变本加厉,删除主体文件C:\Windows\0416ht.exe,然后又多了一个伪装的系统进程,是一个右下角的弹窗,弹弹弹!!!最后说一句:新浩艺公司(也就是杭州顺网子公司)你们每天忙着做广告,客户机随机重启,开机客户机登入-1003文件被篡改,什么时候能解决解决,这种伪装系统进程,嵌入广告的方式行为已经和木马程序没有两样咯,(客户机登卡可以直接扫描出病毒) ,请问这个要怎么跟客人解释呢.??而且这次所有的程序文件都没你们公司的签名,想想如果有一天新浩艺偷偷的执行带木马的程序然后再改回来,简直太可怕咯!至于怎么临时解决,纯手工清除弹窗广告和桌面图标,我想聪明的你应该知道了吧!!(广告下发修改与上述不同,则无效!!!)第一步:搞定C:\windows\0416ht.exe文件,如果要创建免疫文件需要开超级手动创建,或者直接禁止运行0416ht.exe进程第二步:桌面图标也可以创建免疫假体文件,(隐藏属性)但是桌面图标可能随时会变化,所以最好用维护通道软件生成假体,可以随机应变!!
匿名
首页
资源中心
技术中心
通知提醒
我的