当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
IE主页被改为piaoxue.com的解决教程二 | |||
2006-10-20 18:49:54 文/nslog 出处:nslog.cn | |||
一、概述 二、过程分析 这两个线程一直不住地检查注册表(HKLM\SYSTEM\CurrentControlSet\Services\)下自己这个驱动的值,如果删除马上又会生成。这两个线程虽然看到但是没有办法杀掉,会提示没有权限。另外用冰刃(IceSword)这个工具也可以看到,但是杀不掉。。汗。。。 看来它的驱动保护做的还是不错的,难以杀掉的原因是对文件以及进程都做了保护。我介绍的《顽固文件删除终极武器》,用金山文件粉碎器,打开的时候提示无法打开文件。很少会遇到的一种情况。 看得出来飘雪为了防范目前的杀流氓软件工具,下了不少的工夫,已经试验过的多种工具无效: 不过魔高一尺,道高一丈,知道了原理和过程之后,离解决也不会太远,,下面介绍一下杀它的办法(亲自试验,不需要重启,力求简单,菜鸟也可以操作) 三、清除办法: 可以看出来,它是假冒微软的驱动。这个驱动虽然写明是微软的,但是没有经过微软的数字签名,所以肯定是假的。(可能你的机器上显示特别多,但所有非微软的,都是有问题的),因为是随机生成的文件名,所以你那里找出来的,可能跟我的不一样。请自己记下文件名。特征是8位随机的字母,并且公司是微软公司,但是显示(Not verified),如果你这里不能确认,可以用下面的办法。 2、用procexp找出驱动名来 3、删除文件 方法二:还是用Procexp 在Procexp中,先按Ctrl+H,切换到Handler视图,然后按Ctrl+F,查找,输入刚才的驱动名字(可以只输入前几个字母),然后就可以看到在system这个进程中有一个文件,在那个上面点右键——Close Handle便可。然后再用资源管理器找到那个文件,删除便可。 我相信如果paoxue的作者看到这篇文章,可能会做一些升级或者改变,使上面的方法无效(因为它明显已经针对IceSword这几个出名的软件做了防范),但是万变不离其宗,如果那个时候,就先用autoruns/procexp找到相关的驱动文件,然后安装一个虚拟软驱,到DOS下去删除这个文件,那个是最后终极的办法。 删除上面的.sys文件之后,为了安全起见,重启一下,然后再重新设一下IE的主页,应该就可以了。至于那个Seriver的值,删不删都无所谓了。 四、其它 如果上面的方法无效,请与我联系,可能会有升级的版本。但是以上介绍的所有办法,在我的文章都已经提到了。流氓软件横行年代,自己都得学会一点保身之术,呵呵。 |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |