2006-5-25 03:54 基地头目 【讨论】www.369.com劫持的解决方法
这几天[url]www.369.com[/url]劫持的情况比较多,看了几个帖子,综合一下,虽然没有见到样本,但是应该不难清除
解决方法:
下载sreng
[url]http://www.kztechs.com/sreng/sreng2.zip[/url]
解压后双击运行
找到如下项目,删除
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Windir><C:\WINDOWS\system32\Windir.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<MSService_v1.0><C:\WINDOWS\system32\vfp02.exe>(vfp后面的数字似乎随机的)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Serveremail><C:\WINDOWS\system32\Serveremail.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<wServer><C:\WINDOWS\system32\wServer.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<LoadEWXD><C:\WINDOWS\system32\msxml4r.exe>
这几个应该是关键
可能还会有一些随之而来的垃圾(某些项目如果没有的话就跳过去)
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<RichMedia><C:\windows\system32\Rundll32.exe "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<kc32update><rundll32 C:\windows\system32\kc32update.dll,AppMain>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<winlass><C:\Program Files\Outlook Express\winlass.exe>
启动文件夹
[IE-BAR]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\IE-BAR.lnk><N>
重新启动电脑
显示隐藏文件
删除
C:\WINDOWS\system32\Windir.exe
C:\WINDOWS\system32\vfp02.exe(vfp后面的数字似乎随机的)
C:\WINDOWS\system32\Serveremail.exe
C:\WINDOWS\system32\wServer.exe
C:\WINDOWS\system32\msxml4r.exe
C:\PROGRA~1\HBClient\
C:\windows\system32\kc32update.dll
C:\Program Files\Outlook Express\winlass.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\IE-BAR.lnk
老婆不理我,没事干,仓促之作,不对之处,欢迎拍砖!
2006-5-31 16:30 lenovotea 支持楼主!
2006-11-17 23:29 libs1989 学习一下。