病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« sqlsrv_20019125.exeBitDefender“因为应用程序的并行配置不正确”而无法启动 »

修复劫持IE主页的www.113w.com

  昨日按一信任站点的推荐到某网盘下载电子书,不知道是点错了,还是被人改了资源,下载的却是什么播放器,只是程序窗口的标题是这样写的,实际上我并没有播放器的影子,只是带来几个推广网站的桌面图标:双人小游戏、淘宝网今日打折商品,还有一个明显是被“修理”过的IE快捷方式,指向www.113w.com/?81(一个导航网站),即使删除被添加的IE快捷方式,打开IE仍然跳出这个网址,而原来的IE主页仍然还在INTERNET选项中。看来,下载确实要小心,不论是从哪获得的下载链接。

  全面分析一下该恶意程序的所有行为,总结一下清理、修复IE主页的的方法:

1、此恶意程序首先删除快速启动栏与开始程序菜单中的IE快捷方式,以隐藏自己要添加的IE快捷方式,这一步的修复可以最后做,重新添加恢复正常的IE快捷方式。

2、恶意程序添加以下文件,在清理过程中以下所有被添加的文件都要删除(强烈建议清空临时文件夹,即下面的temp文件夹,虽然在本例中只有以下内容,但从网上其它信息来看,可能还会有另外的程序文件在临时文件夹中生成;还有IE缓存也建议清理):

C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Internat Exp1orer.qnk
C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\双人小游戏.qnk
C:\Documents and Settings\Administrator\Local Settings\Temp\fgun_20310.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\remote.exe
C:\Documents and Settings\All Users\Favorites\免费在线小游戏_55277.com.lnk
C:\Documents and Settings\All Users\Favorites\淘宝购物.lnk
C:\Documents and Settings\All Users\「开始」菜单\Internat Exp1orer.qnk
C:\Documents and Settings\All Users\「开始」菜单\免费在线小游戏_55277.com.lnk
C:\Documents and Settings\All Users\「开始」菜单\淘宝购物.lnk
C:\Documents and Settings\All Users\「开始」菜单\程序\Internat Exp1orer.qnk
C:\Documents and Settings\All Users\「开始」菜单\程序\淘宝购物.lnk
C:\Documents and Settings\All Users\桌面\Internat Exp1orer.qnk
C:\Documents and Settings\All Users\桌面\双人小游戏.qnk
C:\Documents and Settings\All Users\桌面\淘宝网今日打折商品.qnk
C:\WINDOWS\system32\163pan.ico
C:\WINDOWS\system32\55277.ico
C:\WINDOWS\system32\movie.ico
C:\WINDOWS\system32\tao.ico

另外,可能会在桌面生成网络快车的图标,也有可能会强制安装网络快车、风行、百度工具条等软件,须按实际情况进行清理(在中招时没有出现这些软件,而后来的测试时只看到了快车,其它的是网上类似情况时出现的)

3、篡改注册表,需要按原来的值进行修复,是恶意程序添加的则直接删除(操作注册表前强烈建议先进行备份):

添加以下注册表项(清理时全部删除):
HKEY_CLASSES_ROOT\.qnk
HKEY_CLASSES_ROOT\.uri
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.qnk
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.uri
-这两个qnk、uri分别假冒lnk、url,关联快捷方式与网址文件,与上面文件中的qnk文件相联系,右击所添加在桌面类IE图标的qnk文件,打开的文件属性中显示是“快捷方式”,但却没有通常的快捷方式属性页

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\NoAddOns
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\NoAddOns
-在它们下面的...\shell\NoAddOns\command中添加了"C:\Program Files\Internet Explorer\iexplore.exe "http://%7w%7w%7w%.%21%21%23%7w%.com/?81""这样的值,注意看后面的网址,就是www.113w.com/?81,通过加密避免被搜索到(在“如何修复被劫持、篡改的IE主页”一文中我有提到这种方式),当时我也是通过只搜索"iexplore.exe“来找到这个地方的,虽然麻烦点,还是找到了。

以下是被修改注册表项(按原值恢复)”
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell
“默认”值由"OpenHomePage"被改成"NoAddOns",以便使用上面添加的NoAddOns项,修复时,须还原为"OpenHomePage",不包括引号

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\ShellFolder
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\ShellFolder
它们下的“Attributes”由“dword:00000024”被篡改成“hex:00,00,00,00,”,修复时,删除“Attributes”,在同一位置下新建一个DWORD值,重命名为“Attributes”(不包括引号),赋值为00000024(十六进制)

4、以上清理完基本就可以了, 为保险起见,建议清理历史痕迹、“垃圾”文件(很多工具都有此功能),再重置下IE(IE8功能,会禁用加载项、恢复设置默认值,重置完要重新设置,可以不做这一步)或者使用某些工具进行IE、系统的修复检查。追求完美者可能需要这么做。

  最后重申,下载须谨慎,上网要留神!


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/994.html

  • 1楼.clitang
  • 几天前,无意间,遇到”www.113w.com"网站插件,看看无妨,但怎么也删除不了。看了stormcn的排解文章,按着步骤,一下就解决了问题!如今,网上文章很多,但真正能帮助解决问题的并不很多。希望能经常看到高手的文章。谢谢!
    流风33 于 2011-6-18 9:53:08 回复
    这正是我愿意看到的

  • 2011-6-17 19:06:15  
  • 收藏文章:
  • 新浪微博:
  • 微信订阅号
    微信订阅

最新发表

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2016 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号