发现的木马体文件:siglow.sys,siglow.dll,netplayone.dll,nethome32.dll四个。
现象:
1、360升级异常;
2、google搜索木马体文件名关键字,结果集异常,且360论坛的相关网页全部打开指向360主页;
3、卡巴与小红伞两款杀毒软件及360安全卫士均报siglow.sys为木马。删除或隔离该文件后导致网卡工作异常,宽带拨号失败;
4、打开设备管理器,发现网络适配器处有2个设备显示黄色的惊叹号(这两个设备其实是木马所添加),名称分别为:“你的网卡设备名 - siglow Miniport”与“WAN 微型端口(IP) - Siglow Miniport”,如我所修复的那台电脑显示:Atheros AR8132 PCI-E Fast Ethernet Controller - Siglow Miniport 与 WAN微型端口(IP) - Siglow Miniport;
5、netplayone则是对LSP进行劫持,修复LSP后导致无法打开网页。
分析:siglow是一个驱动级的木马,使用win2000DDK编写,感染目标机器网卡驱动。删除该木马体文件将导致网卡工作异常。netplayone应该为普通的LSP劫持木马。(或者这两个是属于同一个木马的两个木马体文件??)
查杀与修复:
1、删除所有木马体文件;
2、使用WinsockXPFix工具对系统LSP进行修复;
3、卸载网卡驱动后重新安装;
4、如果上述过程完成后,设备管理器中还是有惊叹号出现,则重新安装一下TCP/IP协议。
P.S TCP/IP协议卸载和安装方法(可以先直接从第4步开始不卸载重新安装TCP/IP协议,如问题不能解决,再从第1步开始先卸载再重新安装):
1、开始--运行--regedit.exe,打开注册表编辑器,删除以下两个键:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Winsock
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Winsock2
2、用记事本打开windows/inf/nettcpip.inf文件(注意:inf是隐藏文件夹),找到:
[MS_TCPIP.PrimaryInstall]
Characteristics = 0xa0 <------把此处的0Xa0改为0x80 保存退出
3、打开本地连接的TCP/IP属性---添加协议--从磁盘--浏览找到刚刚保存的nettcpip.inf(%winroot%/inf/nettcpip.inf)文件,然后 选择“TCP/IP协议”(不是选择那个TCP/IP 版本6)。
经过这一步之后,又返回网络连接的窗口,但这个时候,那个“卸载”按钮已经是可用的了。点这个“卸载”按钮来把TCP/IP协 议删除,然后重启一次机器。
4、重启后再照着第3步,重新安装一次TCP/IP协议便可。
5、再重启一次,根据需要,设置IP地址。