9,506
社区成员
发帖
与我相关
我的任务
分享ie主页被恶意修改的问题(解决后给100分)
一台windows me的机器被恶意修改的主页和搜索引擎,修改后的主页是www。
thebestse。com,最为可恶的是这个病毒并不直接禁止你修改主页和使用注册表,但是
你用注册表恢复所有选项之后主要重新运行ie主页又被修改回去。注意,是运行ie就马
上被修改回去,而不是启动系统时候被修改,所以用msconfig并没有作用,我查过它的
防修改方法的确在注册表的run下面有两个选项,一个是调用regedit恢复的,一个是运
行windupdate时候恢复的,这两个选项我都删除了,但我无法知道运行ie就被会恢复这
种防删除的技术,究竟如何破解,总不能叫我不运行ie吧。另外我不知道是否和这个病
毒有关,ie的windows update会报告必须是管理员才能够使用windows update,但里面
都是说windows 2000的,但现在我的操作系统是windows me,也没有组策略,就是如果
处理?
thebestse。com,最为可恶的是这个病毒并不直接禁止你修改主页和使用注册表,但是
你用注册表恢复所有选项之后主要重新运行ie主页又被修改回去。注意,是运行ie就马
上被修改回去,而不是启动系统时候被修改,所以用msconfig并没有作用,我查过它的
防修改方法的确在注册表的run下面有两个选项,一个是调用regedit恢复的,一个是运
行windupdate时候恢复的,这两个选项我都删除了,但我无法知道运行ie就被会恢复这
种防删除的技术,究竟如何破解,总不能叫我不运行ie吧。另外我不知道是否和这个病
毒有关,ie的windows update会报告必须是管理员才能够使用windows update,但里面
都是说windows 2000的,但现在我的操作系统是windows me,也没有组策略,就是如果
处理?
...全文
请发表友善的回复…
发表回复
manfeng 2004-12-21
- 打赏
- 举报
此贴到此为止吧。总结一下,此病毒是利用ie的java漏洞,下载一个java程序然后利用java安装一个toolbar,toolbar是随ie启动而启动的,并且由这个toolbar负责修改注册表。这类病毒安装的插件文件名和网站名不相干,也没有在注册表run下面增加启动项目。所以直接搜索网站名称然后删除的方法无效,这种方法只能够对付光修改注册表没有安装程序的恶意网站。
虽然没有人能够给出正确答案,不过还是给一半分奖励那些真正有研究过或给出沾边答案的人
虽然没有人能够给出正确答案,不过还是给一半分奖励那些真正有研究过或给出沾边答案的人
manfeng 2004-12-20
- 打赏
- 举报
如果真要试验应该找一个有漏洞的系统试验,否则肯定无法感染,由于那台机不是我自己的,别人要干活,没什么时间专门给我研究,现在它要重新安装系统,没机会再它的机器上试了。能够找到用工具解决的方法固然好,但我最希望的还是能够知道它的原理,能够手工删除,毕竟我这里大部分机器都安装了防病毒软件,而且及时更新,最头痛的就是新病毒,必须手工删除,今天这个病毒可以手工删除,但以后有类似的病毒就不一定能用工具删除了。说到分数其实我根本就不在乎,如果你能够真正解决我的问题我在给多几倍分数都可以。只不过我现在一个贴子只能给100分,所以我就说给100分。说实在的,我根本就不喜欢这种大富翁式的论坛,我觉着这样更容易让人冲着分数回答,但既然搞了就应该给那些真正回答问题的人,但这个系统搞了一个强制结贴的规则又不能0分结贴,所以我才想出这个法子。
Snoworld 2004-12-20
- 打赏
- 举报
修改系统配置
方法:在开始--运行中打入msconfig。在启动中把那个恶意网址的"√"去掉
方法:在开始--运行中打入msconfig。在启动中把那个恶意网址的"√"去掉
Snoworld 2004-12-20
- 打赏
- 举报
方法:在开始---运行中打入Regedit。在编辑--查找中打入那个恶意网站地址(注意:不要加http),把查到的内容都删除
tjhgltt 2004-12-20
- 打赏
- 举报
早说了是search for,楼主难道没有去www.google.com or www.baidu.com查查?
你所中的只不过是其中的一个变种,大同小异而已
不过这么多人的讨论这个贴子可以藏之,有价值:)
你所中的只不过是其中的一个变种,大同小异而已
不过这么多人的讨论这个贴子可以藏之,有价值:)
manfeng 2004-12-20
- 打赏
- 举报
我不知道HiJackThis是什么东西,我从一运行ie注册表就马上被修改这个情况判断一定是有一个程序会随ie启动而启动,但这个程序不会长期驻留在内存,浏览了这个网站后我看到被安装了一个toolbar所以我就想到可能是toolbar修改注册表的,刚好我的试验机很干净,几乎没什么插件,所以很快就被我查出了,如果安装的插件多就比较麻烦,不过有一点经验可以供参考,一般这些恶意插件的描述都很简单,甚至能省则省,所以如果看到一些没有描述的toolbar的guid一般都可以干掉。
dawn17 2004-12-20
- 打赏
- 举报
呵呵 没白进这个帖子。学到了很多东西
不过还是想问一下楼主,你用HiJackThis能不能查出些东西?
不过还是想问一下楼主,你用HiJackThis能不能查出些东西?
manfeng 2004-12-20
- 打赏
- 举报
问题解决了,我专门用了一台试验机器来试验,现在说出其中原理,免得说我是故意不给分。这个病毒是通过ie的插件来修给注册表的,也就是网页自动下载安装的toolbar。该文件安装在system\bar.dll,windows2000/xp就在system32\bar.dll。对应的guid是{06ABAA2D-34AB-4902-A326-409BD9B9A7A5}。安装的工具条相应注册表位置就在hkey_local_machine\software\microsoft\internet explorer\toolbar\{06ABAA2D-34AB-4902-A326-409BD9B9A7A5}。删除的方法就是在不启动ie的前提下先删除bar.dll这个文件,然后搜索{06ABAA2D-34AB-4902-A326-409BD9B9A7A5},把相应的guid也删除,由于把bar.dll这个文件删除了那些guid留下也没所谓。我在原来的机器上看到在注册表的run下面的确项是在启动时运行regedit重新修改注册表的,开始我以为删除这个就没事了,但奇怪的是删除run下面的恶意项目后这个bar.dll并没有重新生成这个项目,这次故意感染也没有生成这个项目,都不知道她原来是怎么生成的。
ssson 2004-12-19
- 打赏
- 举报
www.j3j4.com
redpark 2004-12-19
- 打赏
- 举报
我用木马克星解决的
建议用木马克星+瑞星杀毒
建议用木马克星+瑞星杀毒
FallenCity 2004-12-17
- 打赏
- 举报
事实跟我以前中过一个网站的情况一样。一开网页首先他给你装了一个Toolbar,出一message框:"Toolbar was succesfuly downloaded and started",这就是这个病毒感染的方式,事实上他利用了IE的漏洞(具体什么漏洞还没查),有点象:新浪IE通,雅虎通,之类的,只不过更恶做一点。显然,病毒的代码是附在IE里的了。说直点就是它利用IE的“漏洞”把代码嵌入IE里面了,但又不具备一些杀度软件所应查杀的特征字,所以杀毒软件拿它没法。并且无论直接改IE属性还是改REGEDIT都无法影响到他那段代码,所以一运行IE就首先运行病毒码了(真象EXE文件被感染的情况啊)。
-----到后面无法分析了。因为我运行了。然后换主页成百度的,重开IE,它还是百度的。看样子像没感染一样。并且它的TOOLBAR也没有出现在IE工具栏上(我的系统太安全了)。一些反修改软件可以卸掉,但补丁就不方便卸了。所以,老弟,我无法得知你那边的情况了。不过你可以看一下C:\WINDOWS\Downloaded Program Files目录下的ActiveX控件有没有什么你未经同意或者一不小心点了下载的,正常的像Flash Object控件之类的,看看有没有可疑的,看属性就知道它是从哪个网站下的了,如果有的话把它删除了就OK了。不然你还可以用关键字“thebestse”查找系统目录下的所有文件,搜索时候选择在文件中的一个字或词组,不要输在文件名那里看能不找到些什么。好了暂时到这里吧,你先试试看。
-----到后面无法分析了。因为我运行了。然后换主页成百度的,重开IE,它还是百度的。看样子像没感染一样。并且它的TOOLBAR也没有出现在IE工具栏上(我的系统太安全了)。一些反修改软件可以卸掉,但补丁就不方便卸了。所以,老弟,我无法得知你那边的情况了。不过你可以看一下C:\WINDOWS\Downloaded Program Files目录下的ActiveX控件有没有什么你未经同意或者一不小心点了下载的,正常的像Flash Object控件之类的,看看有没有可疑的,看属性就知道它是从哪个网站下的了,如果有的话把它删除了就OK了。不然你还可以用关键字“thebestse”查找系统目录下的所有文件,搜索时候选择在文件中的一个字或词组,不要输在文件名那里看能不找到些什么。好了暂时到这里吧,你先试试看。
manfeng 2004-12-17
- 打赏
- 举报
run下面的值早就查过了,而且第一时间就查,我在前面已经说清楚了,现在我已经消灭了随系统启动感染的情况,就是说我登录后只要我不运行ie就不会被修改。运行ie才会被重新感染,我觉得没必要在从run之类随启动启动的键查了,看一下有什么地方会控制程序随ie启动吧。如果各位认为自己有绝对把握可以去那个该死的网站看一下,即使是ie6sp1只要没有打以后的补丁就会感染。如果感染后能够不借助第三方工具只通过注册表就能够修复再来告诉我解决方法吧。不过我可不会对这个负责。
我发贴只是想知道这个病毒的反删除原理,不是为了挑战。但你们给出的注册表位置很普通,我都是第一时间就回去查得,如果真的只是在这个地方就能够修复我也不用发这个贴子了。
我发贴只是想知道这个病毒的反删除原理,不是为了挑战。但你们给出的注册表位置很普通,我都是第一时间就回去查得,如果真的只是在这个地方就能够修复我也不用发这个贴子了。
FallenCity 2004-12-17
- 打赏
- 举报
刚才出去忙了会,现在回来继续吧,我突然想起,我以前手工查杀CIH病毒的经历,所以还有一个方法可以一试,那就是病毒关键字特征查找法,上面各楼说的查杀各种毒的方法都不错,在遇到一些情况时候有用,现在的问题是要针对中了www.thebestse.com网站的病毒,所以显得没针对性。那要知道怎样查杀它最好的办法就是自己先中这个病毒,我发完这帖就去试,一会回来继续讨论。
先申明:我可不是为了要加分才要故意这么做作,本着钻研的精神才来研究的。因为我以前中过类似的情况事情的确不秒。而当时没时间深究实属一憾!诚然,能在CSDN论坛里发言的不敢说他是网茫,也至少不能说楼主不懂电脑。现在这年头随便修改点IE的首页谁不会啊,随便拉出一本电脑杂志都能找到。一般的IE修复还不简单么,充斥网上的资料那么多!但既然还发帖出来,还说给100分(虽然不很赞成这种做法),显然这个问题不简单,所以才进来一看的。虽然楼主说问题出来加100分,但实际中这对我来说根本没什么,人家爱给不给!我也无多少时间泡CSDN,最多有问题或有想法时上来发个帖,看看有什么新问题。再多的分数也跟实际中的MONEY差很多(网络游戏玩多了,所以觉悟了;)),只是解决了问题,为人分了忧,自己也更加深了专业知识,为此感到愉快而已。再高级的工程师想当初也是一步一步学习求教而来的!敏而好学不耻下问也!
先申明:我可不是为了要加分才要故意这么做作,本着钻研的精神才来研究的。因为我以前中过类似的情况事情的确不秒。而当时没时间深究实属一憾!诚然,能在CSDN论坛里发言的不敢说他是网茫,也至少不能说楼主不懂电脑。现在这年头随便修改点IE的首页谁不会啊,随便拉出一本电脑杂志都能找到。一般的IE修复还不简单么,充斥网上的资料那么多!但既然还发帖出来,还说给100分(虽然不很赞成这种做法),显然这个问题不简单,所以才进来一看的。虽然楼主说问题出来加100分,但实际中这对我来说根本没什么,人家爱给不给!我也无多少时间泡CSDN,最多有问题或有想法时上来发个帖,看看有什么新问题。再多的分数也跟实际中的MONEY差很多(网络游戏玩多了,所以觉悟了;)),只是解决了问题,为人分了忧,自己也更加深了专业知识,为此感到愉快而已。再高级的工程师想当初也是一步一步学习求教而来的!敏而好学不耻下问也!
FallenCity 2004-12-17
- 打赏
- 举报
呵呵,老弟,我以前遇到的问题可能和你差不多!
不知道你有没有用“豆豆”编的“IE反修改精靈”,记得是“豆豆”编的,因为IE反修改的软件实在是太多。它就是专门侦测主页是否被修改的,随系统启动,完全反修改。如果用了还不行的话。那你改注册表应该是没用了。3721对一般的反修改还不错。3721都不行了就得来硬的了。
我专职搞了四五年的系统维护了,当初也试遍了比上述各位还要多的办法,我在注册表里用F3查找了所有和这个网站相关的键值,全用www.baidu.com来替换掉,甚至把IE目录下的所有配置文件都查了一遍了。IE删了重装没用,结果这种病毒真的很恶意的。主页始终没变,记得是一个什么商品广告之类的网站。因为当时我用的是TT,所以IE的问题也可以缓解。加之系统用了好久了该重装了,就格了,然后重装系统打上所有系统补丁,IE补丁。当然因为工作关系就没法继续追查下去,因为公司电脑的电脑嘛!当然我应该可以给你一些思路,因为这种问题虽然不常见,但一见了却不是随便就能搞好的,那弄明白了是资本啊!
要完全清理它知道的知识真的要很多。当然,第一,杀毒,杀木马,杀恶意脚本,从kv,ruising,趋势,毒霸,到卡巴基司,诺顿,很多,还有一个国外软件相当不错,可惜是找不到破解,它是:BullGuard,第二,就是用IE反修改软件了。用了不行,那第三,查看系统进程里有没有可疑的程序在运行,当然你必须想法找到一份WINDOWS ME详细的系统进程的清单,因为我的WIN XP的,还有你所装的软件运行的名字你要了解,这样才能分清什么是不该删除的。象“柳叶擦眼”之类的可以查看隐藏系统进程的软件来试着找找。除了WINDOWS系统进程和你所知道的应用系统进程外,其余的全删除掉(注意一些假冒系统进程的名字,如“windows.dll”等等),然后在IE上点右键选属性(或者进注册表),把IE的首页设置修改成另一个后再运行IE,否则可能刚才所做的一切白费了。
如果进程里找不到删了一些还不行的话,那么完蛋了,那这个恶意程序应该是和系统进程挂钩了,如果你关闭了它那系统也就关闭了。
第四,解铃还需系铃人啊,就上致使你中毒的那个网站仔细搜索看能不能找到些什么,那需要E文好;还有进安全模式下研究一下。
第五,如果你觉得可以忍受那么装个QQ,用腾讯的TT浏览器,很好用。不会被感染! :),不然先备份文件然后格了重装,打补丁,如果经常上网的话,装IE反修改精靈,就那么简单!
不知道你有没有用“豆豆”编的“IE反修改精靈”,记得是“豆豆”编的,因为IE反修改的软件实在是太多。它就是专门侦测主页是否被修改的,随系统启动,完全反修改。如果用了还不行的话。那你改注册表应该是没用了。3721对一般的反修改还不错。3721都不行了就得来硬的了。
我专职搞了四五年的系统维护了,当初也试遍了比上述各位还要多的办法,我在注册表里用F3查找了所有和这个网站相关的键值,全用www.baidu.com来替换掉,甚至把IE目录下的所有配置文件都查了一遍了。IE删了重装没用,结果这种病毒真的很恶意的。主页始终没变,记得是一个什么商品广告之类的网站。因为当时我用的是TT,所以IE的问题也可以缓解。加之系统用了好久了该重装了,就格了,然后重装系统打上所有系统补丁,IE补丁。当然因为工作关系就没法继续追查下去,因为公司电脑的电脑嘛!当然我应该可以给你一些思路,因为这种问题虽然不常见,但一见了却不是随便就能搞好的,那弄明白了是资本啊!
要完全清理它知道的知识真的要很多。当然,第一,杀毒,杀木马,杀恶意脚本,从kv,ruising,趋势,毒霸,到卡巴基司,诺顿,很多,还有一个国外软件相当不错,可惜是找不到破解,它是:BullGuard,第二,就是用IE反修改软件了。用了不行,那第三,查看系统进程里有没有可疑的程序在运行,当然你必须想法找到一份WINDOWS ME详细的系统进程的清单,因为我的WIN XP的,还有你所装的软件运行的名字你要了解,这样才能分清什么是不该删除的。象“柳叶擦眼”之类的可以查看隐藏系统进程的软件来试着找找。除了WINDOWS系统进程和你所知道的应用系统进程外,其余的全删除掉(注意一些假冒系统进程的名字,如“windows.dll”等等),然后在IE上点右键选属性(或者进注册表),把IE的首页设置修改成另一个后再运行IE,否则可能刚才所做的一切白费了。
如果进程里找不到删了一些还不行的话,那么完蛋了,那这个恶意程序应该是和系统进程挂钩了,如果你关闭了它那系统也就关闭了。
第四,解铃还需系铃人啊,就上致使你中毒的那个网站仔细搜索看能不能找到些什么,那需要E文好;还有进安全模式下研究一下。
第五,如果你觉得可以忍受那么装个QQ,用腾讯的TT浏览器,很好用。不会被感染! :),不然先备份文件然后格了重装,打补丁,如果经常上网的话,装IE反修改精靈,就那么简单!
aihanniao 2004-12-17
- 打赏
- 举报
(2)SpyBot Search&Destroy:
SpyBot-Search & Destroy 是专门用来清理间谍程序的工具。一些间谍程序随着共享软件安装到您的电脑中,监视您的电脑运行。到目前为止,他已经可以检测一万多种间谍程序 (Spyware),并对其中的一千多种进行免疫处理。可以说是杀毒软件的一个强有力的补充。而且这个软件是完全免费的,并有中文语言包支持。可以在Server级别的操作系统上使用。
下载地址:
http://www.onlinedown.net/soft/27062.htm
SpyBot-Search & Destroy 是专门用来清理间谍程序的工具。一些间谍程序随着共享软件安装到您的电脑中,监视您的电脑运行。到目前为止,他已经可以检测一万多种间谍程序 (Spyware),并对其中的一千多种进行免疫处理。可以说是杀毒软件的一个强有力的补充。而且这个软件是完全免费的,并有中文语言包支持。可以在Server级别的操作系统上使用。
下载地址:
http://www.onlinedown.net/soft/27062.htm
aihanniao 2004-12-17
- 打赏
- 举报
下载安装恶意软件清除工具Spy Sweeper:(3.2版)
http://soft.ttdown.com/SoftView/SoftView_24902.html
安装后使用方法:
1、(软件设置、升级==)
运行Spy Sweeper-->options-->在“Configure”里点“Update Definitions”升级数据库-->在“schedule”里把“Load and sweep”和“Internet Options”里所有选项前的对号都去掉-->在“Active shields”里把所有选项都选在Off上
2、(扫描方法的)
左面菜单的“Sweep Now”-->start-->扫描结束后点“next”-->next
3、(删除东西的)
左面菜单的“quarantined”-->select all-->delete selected
清理结束后重起一下电脑。
http://soft.ttdown.com/SoftView/SoftView_24902.html
安装后使用方法:
1、(软件设置、升级==)
运行Spy Sweeper-->options-->在“Configure”里点“Update Definitions”升级数据库-->在“schedule”里把“Load and sweep”和“Internet Options”里所有选项前的对号都去掉-->在“Active shields”里把所有选项都选在Off上
2、(扫描方法的)
左面菜单的“Sweep Now”-->start-->扫描结束后点“next”-->next
3、(删除东西的)
左面菜单的“quarantined”-->select all-->delete selected
清理结束后重起一下电脑。
wsxfmm 2004-12-16
- 打赏
- 举报
下一个兔子ie修复专家试试。
bluekylin 2004-12-16
- 打赏
- 举报
这么牛的—病毒?先杀毒——不过我想你肯定杀过了。
反正给不给分无所谓……我怀疑你修改注册表的能力,照例这种如果是恶意篡改IE的要改N个地方。
L_MACH和L_USR中的IE主键和RUN键相应的值都有可能被修改,我算了一下,可能的被改的键值是
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run——RunServicesOnce
6个,上面被改的话肯定有病毒没查出来
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
这2个地方你应该找过了吧——那我就不说了。
可能你觉得我说的是废话,我不想在这里看到你狂妄,所以……
反正给不给分无所谓……我怀疑你修改注册表的能力,照例这种如果是恶意篡改IE的要改N个地方。
L_MACH和L_USR中的IE主键和RUN键相应的值都有可能被修改,我算了一下,可能的被改的键值是
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run——RunServicesOnce
6个,上面被改的话肯定有病毒没查出来
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
这2个地方你应该找过了吧——那我就不说了。
可能你觉得我说的是废话,我不想在这里看到你狂妄,所以……
manfeng 2004-12-16
- 打赏
- 举报
上面的回答都没说到点子上,网上所说的手工修改注册表和主页、搜索页相关项来修复的方法我都会,但是关键的问题是我想知道这个病毒是如何反删除的,我可以手工修改注册表把这些项目修复或删除,但只要我一运行ie就马上被修改回去。另外我不只是想知道用什么工具可以修复,而是想知道它的原理,我以后再遇到类似的病毒也可以手工修复。
manfeng 2004-12-15
- 打赏
- 举报
不要推荐3721这种病毒。我关键是想知道它的反删除原理,以后再遇到类似的病毒也可以手工删除,不需要等反病毒软件
加载更多回复(12)
