杀灭“75011.net”浏览器劫持病毒

问题:

Win10的机器突然出现IE10浏览器打开页面就跳到“ie.75011.net”网站上去了,打开Chrome就跳到“123.75011.net”地址上去了。显然,机器遭到了木马病毒的入侵,且木马病毒与75011.net网站有关。

分析:

查看IE的快捷方式,发现没有被修改,这是以往木马病毒劫持浏览器惯用的手段;查看iexplore.exe文件,未发现明显异常(签名为微软Microsoft Corporation)。

通过网络搜索资料,发现确实是一种木马软件,病毒文件有2个:

  1. c盘system32目录下,“ntoskrnl.exe”程序恶意
  2. c盘drivers目录下,“juss3310s.sys”驱动程序恶意

经核实,C:\Windows\SysWOW64\drivers\juss3310s.sys为病毒文件,c:\windows\system32\ntoskrnl.exe未发现明显异常。

注意:千万不要贸然删除ntoskrn.exe文件,有可能其并没有被感染,删掉该文件后会导致系统不能启动,只能还原或重装操作系统了。

解决:

病毒文件juss3310s.sys无可读权限,当前用户甭说想删除它,就连更改、查看其权限都不行。这里给出一种删除方式。

1、启用administrator管理员账户

点Windows系统->命令提示符->右键更多->以管理员身份运行,然后执行命令:net user administrator /active:yes

注意:首次以administrator身份登入时会出现要等待很长时间的白屏,请耐心等待。

2、进入到Win10安全模式

进入安全模式的方法是,按着shift点+重启

(1)系统重启后进入高级启动选项,然后依次选择“疑难解答”->“高级选项”->“启动设置”->“重启”

(2)使用数字键4或者功能键F4,选择“启用安全模式”。

也可以根据自己的需要选择其他启动模式。

(3)进入到driver目录,删除病毒文件

使用administrator用户登录, 进入到C:\Windows\SysWOW64\drivers\目录,删除juss3310s.sys文件。

删除木马文件后,重启机器,打开IE浏览器和CHROME浏览器,发现不再跳转到前述网站。

注意:在机器恢复正常后,应禁用管理员用户,管理员用户没有密码,可以直接登录。

后记:

不管病毒软件的作恶者是谁,其肯定受利益方“75011.net”网站指使,或者该网站直接制造和传播了病毒文件。不管其出于何种目的,制造和传播木马病毒都是可耻的,也是涉嫌违法的行为。

1、该网站相关信息:

IP地址:47.89.251.215(美国 阿里云)

Registrar: GoDaddy.com, LLC(日本域名注册商)
Registrar Abuse Contact Email: abuse@godaddy.com
Registrar Abuse Contact Phone:*******42505
Registrant Organization: huangqiuyue
Registrant State/Province: Beijing
Registrant Country: CN

注册人为:北京,音(huangqiuyue)

网站显示ICP备案号:京ICP证050897号

2、病毒文件信息

病毒文件juss3310s.sys签名为上海一家叫***瀚的管理公司。

posted @ 2019-06-14 14:36  hongweigg  阅读(6)  评论(0编辑  收藏  举报