作者：網(wǎng)絡(luò)安全日志?

??? 日期：2006/11/12?? （轉(zhuǎn)載請保留此申明)
?

??? 10號遇一網(wǎng)友在QQ上求助，機器主頁被鎖定為http://good.allxun.com，用360等軟件掃描都沒有發(fā)現(xiàn)可疑的。在網(wǎng)上搜了一下，很多人都提出各種辦法和猜測，但都沒有很明確的說法。有點懷疑是飄雪的變種。由于沒有流氓軟件樣本，只好讓對方把SRENG的掃描日志發(fā)過來，初步分析了一下，應(yīng)該是飄雪的一個變種（目前存在四個變種了）。SRENG的日志驅(qū)動部分如下：

驅(qū)動程序
[a320raid / a320raid]
? </SystemRoot/System32/DRIVERS/a320raid.sys><Adaptec, Inc.>
[AAC / AAC]
? </SystemRoot/System32/DRIVERS/AAC.SYS><Adaptec, Inc.>
[aar1210 / aar1210]
? </SystemRoot/System32/DRIVERS/aar1210.sys><Adaptec, Inc.>
[abp480n5 / abp480n5]
? </SystemRoot/System32/DRIVERS/abp480n5.sys><Microsoft Corporation>
[Intel(r) 82801 Audio Driver Install Service (WDM) / ac97intc]
? <system32/drivers/ac97intc.sys><Intel Corporation>
[adpu160m / adpu160m]
? </SystemRoot/System32/DRIVERS/adpu160m.sys><Microsoft Corporation>
[adpu320 / adpu320]
? </SystemRoot/System32/DRIVERS/adpu320.sys><Adaptec, Inc.>
[Aha154x / Aha154x]
? </SystemRoot/System32/DRIVERS/aha154x.sys><Microsoft Corporation>
[aic78u2 / aic78u2]
? </SystemRoot/System32/DRIVERS/aic78u2.sys><Microsoft Corporation>
[aic78xx / aic78xx]
? </SystemRoot/System32/DRIVERS/aic78xx.sys><Microsoft Corporation>
[dpti2o / dpti2o]
? </SystemRoot/System32/DRIVERS/dpti2o.sys><Microsoft Corporation>
[Hpt366 / Hpt366]
? </SystemRoot/System32/DRIVERS/Hpt366.sys><Microsoft Corporation>
[ini910u / ini910u]
? </SystemRoot/System32/DRIVERS/ini910u.sys><Microsoft Corporation>
[rjcimom / rjcimomf]
? </SystemRoot/System32/DRIVERS/rjcimomf.sys><N/A>
[st3bus28 / st3bus28]
? <system32/DRIVERS/st3bus28.sys><Generic>
[st3mp28 / st3mp28]
? <system32/DRIVERS/st3mp28.sys><Generic>
[TosIde / TosIde]
? <System32/DRIVERS/toside.sys><Microsoft Corporation>
[ViaIde / ViaIde]
? <System32/DRIVERS/viaide.sys><Microsoft Corporation>
[viamraid / viamraid]
? </SystemRoot/system32/DRIVERS/viamraid.sys><VIA Technologies inc,.ltd>
?

?? 然后讓這位網(wǎng)友用Unlocker把所有標(biāo)明是<Microsoft Corporation>的驅(qū)動全部刪掉（這里顯示文件是Microsoft的，但是文件沒有經(jīng)過微軟的數(shù)字簽名，99%是假冒的），刪除了以下文件：
???System32/DRIVERS/abp480n5.sys
?? System32/DRIVERS/adpu160m.sys
?? System32/DRIVERS/aha154x.sys
?? System32/DRIVERS/aic78u2.sys
?? System32/DRIVERS/aic78xx.sys
?? SYSTEM32/DRIVERS/cd20xrnt.SYS
?? System32/DRIVERS/dpti2o.sys
?? System32/DRIVERS/ini910u.sys
?? System32/DRIVERS/ql10wnt.sys

?? 但是重啟后發(fā)現(xiàn)首頁還是被鎖定為http://good.allxun.com，覺得有點奇怪，不可能啊，啟動組，服務(wù)什么的都檢查了，用360什么的都查不到。一定在里面。又仔細看了一遍，看到這一行：
???[rjcimom / rjcimomf]
? </SystemRoot/System32/DRIVERS/rjcimomf.sys><N/A>

? 文件名是8位隨機的字母組成的，并且沒有屬名公司<N/A>，跟飄雪的特征一樣。應(yīng)該是它。讓對方用Unlocker刪除了，重啟之后，果然OK了！

??? 總結(jié)一下：跟飄雪的特征一樣（詳情見我的《飄雪(piaoxue/feixue)的詳細分析以及手工清除辦法》一文），只要能找到驅(qū)動便可。找到驅(qū)動，這里用SRENG這個工具，一個比較強的系統(tǒng)掃描工具，只要找到可疑的驅(qū)動，然后用unlocker刪除便可。

辦法及操作步驟：
?? 1)下載SRENG
??? ?? SRENG的官方下載地址（免費軟件） http://www.kztechs.com/sreng/download.html?

?? 2)解開，運行——智能掃描——用記事本查看日志。

?? 3)查找驅(qū)動：找到一個驅(qū)動為8位隨機的字母或數(shù)字，并且公司注明為<N/A>的
???
?? 4)用Unlocker刪除位于systemroot/system32/drivers目錄下的這個文件重啟后重設(shè)一下主頁便可?

總結(jié)

以上是生活随笔為你收集整理的主页被锁定为good.allxun.com的手工清除办法的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。