主页劫持病毒......

      也算技术? 2004-11-15 19:55
篡改你的主页为一个搜索网址,就算你搜索注册表也无法找到原因,它会放置一个.dll文件在你的WINDOWS\system32文件夹中,名称随机变化,通过这个文件窜改你的空白页和主页(如果不是空白的话),就算你在安全模式下删除了这个文件,不过一个小时左右它又会回来。


IE插件屏蔽 2005 V1.0 正式版
www.pcpchina.com/news/list.asp?id=6454


IE至尊保护器 2005
整理时间: 2005-01-01
开 发 商: www.chuanhua.net
软件简介: 您是否为IE浏览器主页经常非法修改而无法手工修复而感到非常苦恼呢?那你就选择这款IE至尊保护器来帮您解决这些苦恼的问题吧!IE至尊保护器是一个全方位保护IE浏览器主页、搜索引擎、IE标题的IE保护工具,如果您的IE浏览器遇到非法修改,那么IE至尊保护器立即将其修改为您设置的内容,并且会把非法修改记录写在日志文件供您参考。具体保护内容如下:能保护IE浏览器的主页、搜索引擎、标题,还能保护IE浏览器的以下权限是否被非法修改:属性里主页的修改权限、常规页的修改权限、安全页的修改权限、内容页修改权限、连接页的修改权限、程序页的修改权限、高级页的修改权限、分级审查页的修改权限等。IE至尊保护器还能设置IE浏览器的主页、搜索引擎、标题等内容,能设置IE浏览器的常规页、安全页 、高级页、连接页等危险功能的修改权限,还能隐藏IE浏览器网络收藏夹的内容等。总之IE至尊保护器能将您的IE浏览器铜墙铁壁式的保护起来,让您尽情的在网上冲浪!

注册信息:

注册名:okget
ID:1234567890
序列号:12345678
注册码:NMMGKFMINNOFMHF


绿鹰PC万能精灵 2.99
开 发 商: www.cnlvker.com/

注册名(卡号):user00000000137840
注册码(密码):Ht5rvEEEjBYYe7YYjw

专杀工具:http://www.zerosrealm.com/downloads/CWShredder.zip
关闭所有IE窗口,运行此工具让它修复(Fix)最好在安全模式下。
www.znmq.com/hs2.rar
一、恶意网页通用建议:

若是上了某个中文的网引起的,请用spant试试
www.spant.net/
若是上了某个外文的网引起的,请下载下面的工具,4个地址,同一工具。
www.merijn.org/files/CWShredder.exe
www.zerosrealm.com/downloads/CWShredder.zip
www.spywareinfo.com/~merijn/...CWShredder.exe
www.spywareinfo.com/~merijn/...cwshredder.zip
关闭所有IE窗口,运行此工具让它修复(Fix),问题仍在的话,请用Hijackthis扫描一次贴上来。
(请参考《HijackThis简明教程(编译+部分原创)》
community.rising.com.cn/foru...930&page=1
您可以把HijackThis生成的log日志文件的内容贴上来,方便大家分析。)

进入安全模式的方法:重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows

二、对于searchpage.html这个问题,上面提到的CWShredder.exe可以修复(Fix),普通模式不能修复的话,请在安全模式使用CWShredder.exe修复(Fix),修复后清空IE临时文件(打开IE浏览器——工具——internet选项——删除文件,可以把“删除所有脱机内容”选上),重新启动。

三、对于http://aifind.info/

1 请先使用CWShredder.exe修复(Fix)一下

2 请关闭所有IE窗口,重新使用HijackThis扫描一次,选中下面建议修复的项目(如果有的话),让HijackThis修复,修复前请允许HijackThis保留备份。注意,这里的WINDOWS对于Windows 2000来说是WINNT,如果您的系统装在其它盘请注意盘符的区别。
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\System32\msxslab.dll
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\windows\win.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Program Files\Q330994.exe
O19 - User stylesheet: C:\WINDOWS\win32.bmp

修复后,重新启动到安全模式,在文件夹选项中,显示隐藏文件和取消“隐藏受保护的操作系统文件”,最后找到如下文件并删除(如果有的话)。如果担心误删正常文件可以先把它压缩保存。
C:\WINDOWS\System32\msxslab.dll
c:\windows\win.exe
C:\Program Files\Q330994.exe
C:\WINDOWS\win32.bmp

(另外,如果出现下面的项目也请一并修复
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - 63.217.29.115/cax.cab
O16 - DPF: {11111111-1111-1111-1111-111111111171} - ms-its:mhtml:file://c:\nosuch.mht!http://list2004.com/help.chm::/help.exe
相关需删除项
cax.cab
在windows安装目录的Downloaded Program Files目录下,找到cax.cab文件,可能您需要在文件夹选项中显示隐藏文件和取消“隐藏受保护的操作系统文件”才能看到这个目录和其中的文件。找到该cab文件后在上面点右键,选“删除”。)
标签集:TAGS:
回复Comments() 点击Count()

回复Comments

{commentauthor}
{commentauthor}
{commenttime}
{commentnum}
{commentcontent}
作者:
{commentrecontent}