MY123/飘雪/飞雪？我的电脑中毒了,主页被改为my123,卡6.0也杀不了,好像有蛮多人中了

本文目录

• MY123/飘雪/飞雪
• 我的电脑中毒了,主页被改为my123,卡6.0也杀不了,好像有蛮多人中了
• my123/ 飘雪 /飞雪 的删除方法
• 中my123后加载出错
• my123的介绍
• 为什么我每次打开网页都是http://www.my123.com/不管我怎么改，打开网页都是它是不是我中毒了啊
• 怎样删除my123

MY123/飘雪/飞雪

专杀:http://bbs.360safe.com/viewthread.php?tid=29386&extra=page%3D1&page=1
http://www.hackarea.com/Soft/antivirus/200611/212.html

我的电脑中毒了,主页被改为my123,卡6.0也杀不了,好像有蛮多人中了

解决方法如下：
使用my123.com恶意病毒专杀工具
软件会自动检测系统是否被my123.com病毒感染
若是，可以点清除，将其清除之

http://www.wwnn.net/soft/10/140/2006/20061112160.html
如果还不能解决的，请下载最新的Windows清理助手
地址:http://www.wwnn.net/soft/10/140/2006/20061115162.html

my123/ 飘雪 /飞雪 的删除方法

1 MY123飘雪飞雪专杀工具
流氓软件＜MY123/allxun/飘雪/飞雪＞（附专杀工具）
MY123创造了很多流氓软件的第一，有望争夺流氓软件的“最流氓软件宝座”：
1、驱动保护（System Bus Extend驱动，安全模式下也加载）
2、随机文件名，DLL和SYS
3、多线程保护，网络自动升级
4、极强的自动恢复（即使在所有文件被删除的情况下，仍然可以通过内存恢复！）
5、驱动文件独占方式，其它任何程序也无法读写及删除
6、有预谋定时爆发(2006/11/11) 一、MY123的前世今生
风雨送飘(飘雪piaoxue)归,飞雪(fiexue)迎春到。才别傲讯(allxun)网，又见一二三(MY123)。
短短一个多月时间，这些锁主页的流氓软件已经让上千万的网民明白了什么叫做强盗，什么叫做无耻，什么叫做疯狂。9号的时候就已经听人放言10号以后会有一个流氓会大规模爆发。果然，在2006/11/11号这个光棍节的时候,MY123如期而至。现在看来，原因在于这个流氓软件已经早就潜伏于用户的电脑中，通过和多个其它流氓软件的捆绑以及其它的渠道，已经潜入成百上千万的网民电脑中，平常也是启动的，但判断日期小于11/11号，就潜伏不动，一旦系统时间大于11号，就开始修改用户主页。而选择这个特殊时间，选择在周未的时候，显然也是别有用心，可以利用反病毒厂商假期的时候反应不及时而大规模爆发。
从规模及爆发面积来看，全国各地可能有数百万甚至上千万用户被该流氓恶意修改了主页，这和之前爆发的大面积piaoxue.com,feixue.net,73ss.com,9505.com,81915.com,4199.com等恶意修改用户主页，十分相似。同以往的一些“老流氓”相比，这些新流氓的特征是爆发面积特别大，效果明显，目的明确单一（修改主页），手段新奇狠毒，叹为观止。
显然这是一场预谋已久的活动，并且短短几天内，这个驱动病毒至少已经有三个不同的版本，造成一些专杀工具失效。这个MY123已经具备所有病毒的特征，希望总有一天法律能将这种无良的作者绳之以法。
二、剖析流氓手段
这个驱动经过层层改进，家庭发扬得很光大，看看：
1、飘雪(piaoxue）
2、飞雪(feixue）
3、QQHelper
4、allxun.com傲讯
5、My123（7255）
最早的MY123只有一个驱动，已经有多个专杀工具可以杀。后来又出现版本2，即多一个同名的.dll位于system32目录下，现在的版本3，是一个非同名的.dll位于system32目录下。今天主要分析一下我手头拿到的这个版本3。
1、程序安装
首先是释放一个.dll到system32目录下，文件名的特征是随机的8位字母（也有版本是6位字母加2位数字），然后调用rundll32.exe wceiukte,DllUnregisterServer来注册COM组件，接下来调用Rundll32.exe wceiukte.dll,DllCanUnloadNow来运行程序，并且注册WH_CALLWNDPROC这个系统挂钩。
DLL分别注入SYSTEM和EXPLORER进程空间，进行保护，如果检测没有驱动，则会自动释放出驱动，然后加载。同时这个DLL具有网络下载升级功能。
这个dll运行后，会生成一个.sys文件，放到drivers系统目录下。DLL通过一个算法得到SYS文件名，算法是：
DLL的文件名
ascii码+32143289052890852-32143289052890848-34320958+34320955就就是SYS文件名
也就是ascii + 1
即.dll的文件名为：wceiukte.dll那么.sys文件名就为：xdfjvluf.sys
2、注册和加载驱动
会在注册表的HKLM\SYSTEM\CurrentControlSet\Services\下写下同驱动名的一个值，把自己注册为System Bus Extend的驱动，使得它的优先级很高，即使在安全模式下加载，也使得很多想清除它的软件无效。然后通过services来加载驱动，驱动加载后，生成三个线程附加到system这个系统核心进程上，（以前的驱动是两个线程）获取最高权限。通过Process Explorer可以查看到这三个线程
三个线程的作用分别为：
0x1dd4：自身文件独占及句柄检测保护模块等,会将自身文件以独占方式打开,这样若不解除独占,任何windows下使用常规访问文件方法的程序包括杀毒软件都无法读写或者删除它的驱动程序文件。
作者： zhao7315007 2008-1-6 16:19 回复此发言

--------------------------------------------------------------------------------

2 MY123飘雪飞雪专杀工具
文件句柄检测保护模块则是为了防止手工或者专杀的解除句柄的操作。以前的手工清除或者专杀都是需要先解除这个独占，才能删除文件。
但该驱动增加了这个保护,会不停检测自身文件的独占是否被强制解除,如果检测到,立即再次独占.
0x1816：服务保护模块:该模块会检测驱动自身的注册表服务项,不停地暴力重写自身服务项,使得无法删除其服务项.
0x103e: 篡改首页模块:该模块会不停暴力重写注册表中首页设置为www.my123.com＜请勿点击＞,导致无法对该项进行修复.
三、手工清除办法（适合目前有一定操作技能的用户）
清除了这个流氓的手段，就可以针对来找一些清除办法了。当然，比起上一次的飘雪来，困难了许多。
1、找出驱动
要杀流氓软件的第一步，就是要找出流氓软件，可以有多种办法找出这个流氓软件。
用到我以前写的一篇文章《釜底抽薪:用autoruns揪出流氓软件的驱动保护》，我们今天就来实战一下。运行autoruns之后，在它的“Options(选项）”菜单中有两项“Verifiy Code Signatures（验证代码签名）“Hide Signed Microsoft Entries（隐藏已签名的微软项）“，把这两项都选中了。扫描之后，我们只看驱动（driver）这一项：
可以看出来，它是假冒微软的驱动。这个驱动虽然写明是微软的，但是没有经过微软的数字签名，所以肯定是假的。（可能你的机器上显示特别多，但所有非微软的，都是有问题的），因为是随机生成的文件名，所以你那里找出来的，可能跟我的不一样。请自己记下文件名。特征是8位随机的字母，并且公司是微软公司，但是显示(Not verified)，如果你这里不能确认，可以用下面的办法。
2、用procexp找出驱动名来
运行procexp,（下载地址见最后），找到system这个进程，然后点右键——属性（Properties）——线程（Threads），然后把下面的框子拉到最后，看有连续三个，比较无规则的八个字母的驱动，再跟autoruns对一下就可以确定是哪个驱动了。（见第一张图）
3、删除驱动.sys
打开c:\windows\sytem32\drivers目录，由于这个.sys驱动文件把自己设为系统、隐藏，所以需要打开文件夹的显示系统文件的选项才能看到。（你也可以用这个办法来找到驱动，一般的正常驱动都不会想着隐藏自己的）。
在那个驱动文件上点右键，然后——Unlocker——会出来一个对话框，显示当前已经使用这个.sys的进程，点“Unlock“，然后再Unlocker一下......显示文件已经被删除了。。。。。以为大功告成了。
但是紧接着怪事就出事了，刷新一下，发觉这个文件又出现了！百思不得其解，已经确认所有的后台服务都是正常的，那个.dll也已经被删除了....这个问题困扰了许久，又拿出驱动好好研究了一下，终于发觉这个极其变态的办法——一个正常的人是不可能把写出这样的驱动的!
它注册了一个NotifyRoutine的一个回调函数，这个是一个自我修复的功能，只要系统任何进程或线程打开，它马上会调用，检查文件如果被删了就立即从内存中自动恢复！显然是针对上一次飘雪的那个手工专杀或者清除办法做的一次改进，正常办法根本不可能删掉。
用unlocker的确是把文件删除了，但是没有办法不启动其它进程或者线程啊，即使马上选择关机，它也会新建线程，这个时候它也马上可能恢复了。。。。难道只能用最后一招：DOS大法？？？真很不甘心啊....&%$#@!&*()_+
也不知怎么了,突然灵光一线,想到一个绝招:断电法！就是:删除之后,马上不做任何操作,直接按机器电源键重启!经实验是成功的,OK...followed me...
清除之前,我们先要停止那三个system中的线程,那个会不停地自动检测,打开procexp,然后在system上点右键---属性---线程， 点一下Start Address,这样可以按字母排序，找到刚才我们看到的驱动，三个连续在一起。点一下线程，然后点那个“Suspend“按钮，将这个线程暂停。（它做了自我保护，杀不掉的，只能暂停）。
-my123

中my123后加载出错

原因：文件被安全卫士删除了，但启动项还在，所在在开机时打不到文件会弹出加载出错的信息。
解决方案：如果是XP或2003系统的话可以在开始-》运行中输入“msconfig”在启动中删除相应的启动。如果是2000系统的话就要到注册表中删除。在开始-》运行中输入regedit。找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项，把其中的删除即可。
-23

my123的介绍

My123是一个浏览器劫持类型的流氓软件，它采用病毒技术进行自我保护，同时在后台自动频繁升级，对抗反病毒软件查杀。现在网站已经变成了可以购买。

为什么我每次打开网页都是http://www.my123.com/不管我怎么改，打开网页都是它是不是我中毒了啊

用瑞星卡卡上网安全助手3.0
瑞星卡卡第1号反流氓软件追杀令-流氓软件“My123“
11月15日，就在“瑞星卡卡3.0”刚刚发布24小时之后，部分流氓软件开始采取更恶劣的行为躲避“瑞星卡卡3.0”的查杀，其中一个名为“my123”的流氓软件竟彻底变身为恶性病毒，并疯狂地制作变种病毒来逃避“瑞星卡卡3.0”的追杀。针对该流氓软件（病毒），瑞星发布第一号追杀令，迅速升级瑞星卡卡的免费专杀工具库，向全社会发放“my123”免费专杀工具。

据瑞星反病毒工程师介绍说，“my123”侵入用户电脑之后，会把浏览器的首页修改成“my123.com”，由于采用了Rootkit技术，很多反流氓软件工具及杀毒软件难以彻底清除。与原有的流氓软件不同，它在技术上全面向病毒靠拢：采用Rootkit技术、随机更改驱动名称，对自身进程及文件进行保护；它还会在短时间内频繁升级，有时候一天之内会出现十余个变种，使得很多反流氓软件工具都很难对付。
瑞星反病毒工程师介绍说，此前“my123”及其一部分变种已经被列入病毒库，可以被瑞星杀毒软件彻底查杀。而随着卡卡3.0的发布，非瑞星用户也可以采用反病毒技术来清除该流氓软件，这一行动把“my123”制造者逼入了死角，致使其展开疯狂的技术升级与瑞星卡卡对抗。
根据瑞星客户服务中心的调查统计，目前约有5%的上网电脑曾经被该病毒感染，首页被篡改。按照国家相关部门的数据，目前我国有5000万上网电脑，据此测算，已经有大约250万台上网电脑被该病毒感染。
瑞星副总裁毛一丁表示，“不管流氓软件采用什么样的技术手段，我们都会和他死磕到底。针对my123，我们已经启动了紧急处理机制，只要出现变种就会在最短的时间内被瑞星卡卡杀掉。另一方面，我们将通过各种技术手段追杀my123的幕后黑手，通过追查其域名注册者信息、主机托管信息等方式，向公安机关举报，协助有关部门进行调查。”
根据瑞星工程师对my123的域名注册、主机托管等信息的分析和技术追踪表明，该流氓软件的受益者是网址导航站点：www.my123.com（IP：218.25.68.146），www.my123.com的ICP证信息为虚假信息（粤ICP备06012658号）,而释放流氓软件和病毒的母体域名是dl.hao318.com（IP:218.25.68.146），和受益网站为同一IP地址，该网站主机托管于辽宁沈阳某机房。
瑞星已将该网站所有人姓名和居住地等信息通报给公安部门，根据我国法律，病毒制造者将被判处7年以下有期徒刑。
针对“my123”流氓软件（病毒），瑞星将推出“my123专杀工具”，并将其集成在卡卡3.0之中，供网民免费下载（
瑞星卡卡上网安全助手3.0下载页面:http://it.rising.com.cn/Channels/Info/Virus/2006-11-15/1163582733d38782.shtml
瑞星卡卡第1号反流氓软件追杀令-流氓软件“My123“:http://it.rising.com.cn/Channels/Info/Virus/2006-11-15/1163582733d38782.shtml
-my123

怎样删除my123

用瑞星卡卡上网安全助手3.0
瑞星卡卡第1号反流氓软件追杀令-流氓软件“My123“
11月15日，就在“瑞星卡卡3.0”刚刚发布24小时之后，部分流氓软件开始采取更恶劣的行为躲避“瑞星卡卡3.0”的查杀，其中一个名为“my123”的流氓软件竟彻底变身为恶性病毒，并疯狂地制作变种病毒来逃避“瑞星卡卡3.0”的追杀。针对该流氓软件（病毒），瑞星发布第一号追杀令，迅速升级瑞星卡卡的免费专杀工具库，向全社会发放“my123”免费专杀工具。

据瑞星反病毒工程师介绍说，“my123”侵入用户电脑之后，会把浏览器的首页修改成“my123.com”，由于采用了Rootkit技术，很多反流氓软件工具及杀毒软件难以彻底清除。与原有的流氓软件不同，它在技术上全面向病毒靠拢：采用Rootkit技术、随机更改驱动名称，对自身进程及文件进行保护；它还会在短时间内频繁升级，有时候一天之内会出现十余个变种，使得很多反流氓软件工具都很难对付。
瑞星反病毒工程师介绍说，此前“my123”及其一部分变种已经被列入病毒库，可以被瑞星杀毒软件彻底查杀。而随着卡卡3.0的发布，非瑞星用户也可以采用反病毒技术来清除该流氓软件，这一行动把“my123”制造者逼入了死角，致使其展开疯狂的技术升级与瑞星卡卡对抗。
根据瑞星客户服务中心的调查统计，目前约有5%的上网电脑曾经被该病毒感染，首页被篡改。按照国家相关部门的数据，目前我国有5000万上网电脑，据此测算，已经有大约250万台上网电脑被该病毒感染。
瑞星副总裁毛一丁表示，“不管流氓软件采用什么样的技术手段，我们都会和他死磕到底。针对my123，我们已经启动了紧急处理机制，只要出现变种就会在最短的时间内被瑞星卡卡杀掉。另一方面，我们将通过各种技术手段追杀my123的幕后黑手，通过追查其域名注册者信息、主机托管信息等方式，向公安机关举报，协助有关部门进行调查。”
根据瑞星工程师对my123的域名注册、主机托管等信息的分析和技术追踪表明，该流氓软件的受益者是网址导航站点：www.my123.com（IP：218.25.68.146），www.my123.com的ICP证信息为虚假信息（粤ICP备06012658号）,而释放流氓软件和病毒的母体域名是dl.hao318.com（IP:218.25.68.146），和受益网站为同一IP地址，该网站主机托管于辽宁沈阳某机房。
瑞星已将该网站所有人姓名和居住地等信息通报给公安部门，根据我国法律，病毒制造者将被判处7年以下有期徒刑。
针对“my123”流氓软件（病毒），瑞星将推出“my123专杀工具”，并将其集成在卡卡3.0之中，供网民免费下载（
瑞星卡卡上网安全助手3.0下载页面:http://it.rising.com.cn/Channels/Info/Virus/2006-11-15/1163582733d38782.shtml
瑞星卡卡第1号反流氓软件追杀令-流氓软件“My123“:http://it.rising.com.cn/Channels/Info/Virus/2006-11-15/1163582733d38782.shtml
-my123