主页被劫持修改为飘雪piaoxue.com的解决办法

这次不得不承认遇到了棘手的问题，piaoxue（飘雪）浏览器劫持比较之前的7379、4199、9505都要厉害的多，虽然最后找到了解决方法，但其过程还是非常曲折。
先描述一下症状：
1.最明显的，主页被修改为www.piaoxue.com!ie修复暂时奏效，但重起后又恢复了。
2.释放驱动文件c:\windows\system32\drivers\uxlmwuif.sys（文件名有点随机性）
3.修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Services\uxlmwuif.sys

4.创建隐藏服务于下列键之下
[HKEY_LOCAL_MACHINE\SYSTEM\

CurrentControlSet\Services5.

目前能躲避大部分查杀工具，包括浏览器修复。

疑难之处：

该病毒属于驱动级病毒，而且释放的文件和驱动都是完全隐藏的，服务项也很隐蔽。

解决方法：

虽然已经尽力，但是由于样本太少，目前还没有找到手动杀毒的方法。不过，使用下列软件可以完全杀掉,Debugger测试过,请放心下载！

http://www.arswp.com/download/arswp/arswp.rar

注意，清理完毕重起后不要马上打开ie，保险起见要搜索注册表有关piaoxue.com的所有键值删掉才行。
注：搜索方法：开始-〉运行-〉regedit f3。

发布:Debugger | 分类:系统安全 | 引用本文 | 发表评论 | 返回顶部