siglow及netplayone木馬查殺方法
發現的木馬體檔案:siglow.sys,siglow.dll,netplayone.dll,nethome32.dll四個。
現象:
1、360升級異常;
2、google搜尋木馬體檔名關鍵字,結果集異常,且360論壇的相關網頁全部開啟指向360主頁;
3、卡巴與小紅傘兩款防毒軟體及360安全衛士均報siglow.sys為木馬。刪除或隔離該檔案後導致網絡卡工作異常,寬頻撥號失敗;
4、開啟裝置管理器,發現網路介面卡處有2個裝置顯示黃色的驚歎號(這兩個裝置其實是木馬所新增),名稱分別為:“你的網絡卡裝置名 - siglow Miniport”與“WAN 微型埠(IP) - Siglow Miniport”,如我所修復的那臺電腦顯示:Atheros AR8132 PCI-E Fast Ethernet Controller - Siglow Miniport 與 WAN微型埠(IP) - Siglow Miniport;
5、netplayone則是對LSP進行劫持,修復LSP後導致無法開啟網頁。
分析:siglow是一個驅動級的木馬,使用win2000DDK編寫,感染目標機器網絡卡驅動。刪除該木馬體檔案將導致網絡卡工作異常。netplayone應該為普通的LSP劫持木馬。(或者這兩個是屬於同一個木馬的兩個木馬體檔案??)
查殺與修復:
1、刪除所有木馬體檔案;
2、使用WinsockXPFix工具對系統LSP進行修復;
3、解除安裝網絡卡驅動後重新安裝;
4、如果上述過程完成後,裝置管理器中還是有驚歎號出現,則重新安裝一下TCP/IP協議。
P.S TCP/IP協議解除安裝和安裝方法
1、開始--執行--regedit.exe,開啟登錄檔編輯器,刪除以下兩個鍵:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Winsock
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Winsock2
2、用記事本開啟windows/inf/nettcpip.inf檔案(注意:inf是隱藏資料夾),找到:
[MS_TCPIP.PrimaryInstall]
Characteristics = 0xa0 <------
3、開啟本地連線的TCP/IP屬性---新增協議--從磁碟--瀏覽找到剛剛儲存的nettcpip.inf(%winroot%/inf/nettcpip.inf)檔案,然後 選擇“TCP/IP協議”(不是選擇那個TCP/IP 版本6)。
經過這一步之後,又返回網路連線的視窗,但這個時候,那個“解除安裝”按鈕已經是可用的了。點這個“解除安裝”按鈕來把TCP/IP協 議刪除,然後重啟一次機器。
4、重啟後再照著第3步,重新安裝一次TCP/IP協議便可。
5、再重啟一次,根據需要,設定IP地址。