作者：网络安全日志 ( www.nslog.cn )
    日期：2006/11/12   （转载请保留此申明)
 

    10号遇一网友在QQ上求助，机器主页被锁定为http://good.allxun.com，用360等软件扫描都没有发现可疑的。在网上搜了一下，很多人都提出各种办法和猜测，但都没有很明确的说法。有点怀疑是飘雪的变种。由于没有流氓软件样本，只好让对方把SRENG的扫描日志发过来，初步分析了一下，应该是飘雪的一个变种（目前存在四个变种了）。SRENG的日志驱动部分如下：

驱动程序
[a320raid / a320raid]
  <\SystemRoot\System32\DRIVERS\a320raid.sys><Adaptec, Inc.>
[AAC / AAC]
  <\SystemRoot\System32\DRIVERS\AAC.SYS><Adaptec, Inc.>
[aar1210 / aar1210]
  <\SystemRoot\System32\DRIVERS\aar1210.sys><Adaptec, Inc.>
[abp480n5 / abp480n5]
  <\SystemRoot\System32\DRIVERS\abp480n5.sys><Microsoft Corporation>
[Intel(r) 82801 Audio Driver Install Service (WDM) / ac97intc]
  <system32\drivers\ac97intc.sys><Intel Corporation>
[adpu160m / adpu160m]
  <\SystemRoot\System32\DRIVERS\adpu160m.sys><Microsoft Corporation>
[adpu320 / adpu320]
  <\SystemRoot\System32\DRIVERS\adpu320.sys><Adaptec, Inc.>
[Aha154x / Aha154x]
  <\SystemRoot\System32\DRIVERS\aha154x.sys><Microsoft Corporation>
[aic78u2 / aic78u2]
  <\SystemRoot\System32\DRIVERS\aic78u2.sys><Microsoft Corporation>
[aic78xx / aic78xx]
  <\SystemRoot\System32\DRIVERS\aic78xx.sys><Microsoft Corporation>
[dpti2o / dpti2o]
  <\SystemRoot\System32\DRIVERS\dpti2o.sys><Microsoft Corporation>
[Hpt366 / Hpt366]
  <\SystemRoot\System32\DRIVERS\Hpt366.sys><Microsoft Corporation>
[ini910u / ini910u]
  <\SystemRoot\System32\DRIVERS\ini910u.sys><Microsoft Corporation>
[rjcimom / rjcimomf]
  <\SystemRoot\System32\DRIVERS\rjcimomf.sys><N/A>
[st3bus28 / st3bus28]
  <system32\DRIVERS\st3bus28.sys><Generic>
[st3mp28 / st3mp28]
  <system32\DRIVERS\st3mp28.sys><Generic>
[TosIde / TosIde]
  <System32\DRIVERS\toside.sys><Microsoft Corporation>
[ViaIde / ViaIde]
  <System32\DRIVERS\viaide.sys><Microsoft Corporation>
[viamraid / viamraid]
  <\SystemRoot\system32\DRIVERS\viamraid.sys><VIA Technologies inc,.ltd>
 

   然后让这位网友用Unlocker把所有标明是<Microsoft Corporation>的驱动全部删掉（这里显示文件是Microsoft的，但是文件没有经过微软的数字签名，99%是假冒的），删除了以下文件：
   System32\DRIVERS\abp480n5.sys
   System32\DRIVERS\adpu160m.sys
   System32\DRIVERS\aha154x.sys
   System32\DRIVERS\aic78u2.sys
   System32\DRIVERS\aic78xx.sys
   SYSTEM32\DRIVERS\cd20xrnt.SYS
   System32\DRIVERS\dpti2o.sys
   System32\DRIVERS\ini910u.sys
   System32\DRIVERS\ql10wnt.sys

   但是重启后发现首页还是被锁定为http://good.allxun.com，觉得有点奇怪，不可能啊，启动组，服务什么的都检查了，用360什么的都查不到。一定在里面。又仔细看了一遍，看到这一行：
   [rjcimom / rjcimomf]
  <\SystemRoot\System32\DRIVERS\rjcimomf.sys><N/A>

  文件名是8位随机的字母组成的，并且没有属名公司<N/A>，跟飘雪的特征一样。应该是它。让对方用Unlocker删除了，重启之后，果然OK了！

    总结一下：跟飘雪的特征一样（详情见我的《飘雪(piaoxue/feixue)的详细分析以及手工清除办法》一文），只要能找到驱动便可。找到驱动，这里用SRENG这个工具，一个比较强的系统扫描工具，只要找到可疑的驱动，然后用unlocker删除便可。

办法及操作步骤：
   1)下载SRENG
       SRENG的官方下载地址（免费软件） http://www.kztechs.com/sreng/download.html 

   2)解开，运行——智能扫描——用记事本查看日志。

   3)查找驱动：找到一个驱动为8位随机的字母或数字，并且公司注明为<N/A>的
   
   4)用Unlocker删除位于systemroot\system32\drivers目录下的这个文件重启后重设一下主页便可。

   本文章的办法对中了其它xxx.allxun.com以及www.my123.com的办法同样适用。

参考及工具下载：

unlocker下载地址(免费软件）
  http://umipku.googlepages.com/Unlocker.rar  

 SRENG的官方下载地址（免费软件）
   http://www.kztechs.com/sreng/download.html 

飘雪(piaoxue/feixue)的详细分析以及手工清除办法[10/26更新]
http://hi.baidu.com/nslog/blog/item/1042e9dd5125acef76c638c8.html

釜底抽薪:用autoruns揪出流氓软件的驱动保护
http://hi.baidu.com/nslog/blog/item/c08cbefb2c6b5c224f4aea91.html

[惊天大发现]顽固文件删除终极武器
http://hi.baidu.com/nslog/blog/item/c4ad8dcb2c7b98fd53664f73.html

SREng用法简要说明(如何获得日志/删启动项目/服务/驱动/BHO等)
http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html