看到大家求助桌面有2个ie,清理删除不了,主页也被更改,朋友们是被恶意软件更改了注册表项!就是包括主页被改为http://www.yy2000.net/?xxx5_360的朋友,也可以使用下面的ie修复脚本,以后大家ie浏览器主页被劫持,只要系统内没恶意文件了的话,就可用此脚本清理修复——当然,有些地方需要配合手动操作注册表!
要大家上传或给出出现2个ie问题的网址或软件,都没有,遗憾!
偶找了苹果工具条下载下来运行,发现除了系统内有恶意文件外(如果报告没有问题,那就是恶意文件已自我删除或被清理),而桌面有2个ie图标,主页被更改,不能恢复! 下面偶就测试果果工具条来做个行为分析:
运行下载的果果工具条安装程序: 在Program Files文件夹生成下面等文件
C:\Program Files\avd\macjie.ax C:\Program Files\avd\macjie.dll C:\Program Files\avd\macjie.ini C:\Program Files\avd\MacJie.exe C:\Program Files\avd\itemlist.ini C:\Program Files\avd\backgrounds C:\Program Files\avd\backgrounds\Brushed Metal\bg.ini C:\Program Files\avd\backgrounds\Default\bg.ini C:\Program Files\avd\poofs\main.ini C:\Program Files\avd\poofs\winshutdown.vbs
itemlist.ini内容:
上网冲浪 type.app C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.365j.com/?cn show.normal show.normal 00000000 1.png Windows Media Player type.app C:\Program Files\Windows Media Player\wmplayer.exe - show.normal show.normal 00000000 20.png ----- ----- WinRAR type.app C:\Program Files\WinRAR\WinRAR.exe - show.normal show.normal 00000000 ico\winrar.png ----- 计算器 type.app C:\WINDOWS\system32\calc.exe - show.normal show.normal 00000000 160.png NOTEPAD type.app C:\WINDOWS\NOTEPAD.EXE - show.normal show.normal 00000000 25.png 我的电脑 type.nonapp ::{20D04FE0-3AEA-1069-A2D8-08002B30309D} - show.normal show.normal 00000000 17.png 帮助 type.nonapp C:\Program Files\avd\poofs\main.ini - show.normal show.normal 00000000 365.png 关机 type.nonapp C:\Program Files\avd\poofs\winshutdown.vbs - show.normal show.normal 00000000 Logoff1.png ....................................
更改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit的数值为C:\WINDOWS\system32\userinit.exe,C:\Program Files\avd\macjie.exe 注意此macjie.exe,后面会讲到!
在system32下生成 C:\WINDOWS\system32\mdsaxn.exe C:\WINDOWS\system32\WMSysPr9.prx 创建一个伪Remote Access服务,注释:"支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止,这些功能不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。"
在temp文件夹里生成下面3个文件 Temp\OpenInternet.exe Temp\xxxx Temp\xxxx.bat
其中xxxx.bat为一个批处理文件,内容:
@echo off :err del /f /q C:\PROGRA~1\avd\macjie.exe if exist C:\PROGRA~1\avd\macjie.exe goto err copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\xxxx C:\PROGRA~1\avd\macjie.exe del /f /q C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\xxxx del /f /q C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\xxxx.bat ....................................
看到copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\xxxx C:\PROGRA~1\avd\macjie.exe没?
意思就是复制xxxx到果果工具条安装文件夹里取名为macjie.exe,从而利用果果工具条更改注册表Userinit的数值达到开机启动xxx的目的——相当的恶毒和流氓!
OpenInternet.exe打开命令行 C:\Program Files\Internet Explorer\iexplore.EXE http://ggkkj.com:9999/welcome.ph ... 38rfyt%2FKwog%3D%3D
在Application Data\Microsoft\AddIns生成2个文件 Application Data\Microsoft\AddIns\repro.dll Application Data\Microsoft\AddIns\repro.exe 运行后删除自我
删除HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedUrls里的内容(不晓得什么意思,难道是怕留下url是记录?)和删除hosts的内容,怕别人在hosts里设置阻止http://www.365j.com/?ecn
在桌面有2个IE,不能删除和更改
注册表主要是针对浏览器动作,有些地方设置权限!使得这些键和值不能删除和修复。
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Start Page http://www.365j.com/?ecn
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main Start Page也更改设置失去完全控制权限
HKEY_USERS\S-1-5-21-682003330-746137067-839522115-1003\Software\Microsoft\Internet Explorer\Main,设置失去完全控制权限 Start Page http://www.365j.com/?ecn
这里因为每台电脑不同,那么“*”地方的数字也不同。修改时候手动的话,要根据自己的注册表去找 HKEY_USERS\S-1-5-21-*-*-*-*\Software\Microsoft\Internet Explorer\Main
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND默认值"%PROGRAMFILES%\INTERNET EXPLORER\IEXPLORE.EXE"后面添加了http://www.365j.com/?ecn
以及 HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command 默认值改为"C:\Program Files\Internet Explorer\iexplore.exe" http://www.365j.com/?ecn
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page一样带尾巴 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}数值被改为1
在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace 添加了一个CLSID,如:{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}
所有的IE快捷方式后面都带了尾巴http://www.365j.com/?ecn,打开ie就链接到http://www.365j.com/?ggkkj网站
快速启动IE——"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.365j.com/?ecn C:\DOCUMENTS AND SETTINGS\用户名\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\启动 INTERNET EXPLORER 浏览器.LNK C:\DOCUMENTS AND SETTINGS\用户名\「开始」菜单\INTERNET EXPLORER.LNK C:\DOCUMENTS AND SETTINGS\用户名\「开始」菜单\程序\INTERNET EXPLORER.LNK
如果做了以上的恢复,那么IE浏览器可以设置主页了!
但是,桌面上2个IE还是删除不了!
关键是这里添加的CLSID(每台机添加的CLSID不一样),这也是非常恶毒的事情。
如下面的 HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}
正确的是HKEY_CLASSES_ROOT\CLSID\{0002DF01-0000-0000-C000-000000000046}
而在CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}这个注册表下面,添加
[HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}] @="Internet Explorer"
[HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}\DefaultIcon] @="C:\\Program Files\\Internet Explorer\\iexplore.exe,-32528"
[HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}\Shell] @=""
[HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}\Shell\D] @="删除(&D)"
[HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}\Shell\D\Command] @="Rundll32.exe"
[HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}\Shell\Open] @="打开主页(&H)"
[HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}\Shell\Open\Command] @="C:\\Program Files\\Internet Explorer\\iexplore.exe %1 h%t%t%p%:%/%/%w%w%w%.%13%16%15%j%.%c%o%m%/%?%e%c%n"
[HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}\Shell\属性(&R)] @=""
[HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}\Shell\属性(&R)\Command] @="Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"
[HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}\ShellFolder] @="" "Attributes"=dword:00000010
这就是桌面IE能打开浏览器自动打开http://www.365j.com/?ggkkj网站,而又不能删除桌面上2个IE的原因!
——原来被人为的添加了一个IE浏览器的CLSID,而且右键也有删除项目,可点删除又没反应的真正原因!
那么大家遇到桌面上有2个IE删除不了的话,只要删除注册表 HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7},再到桌面右键——刷新,看看效果如何?
这个CLSID电脑不同数字也不同,大家可在HKEY_CLASSES_ROOT\CLSID搜索: C:\Program Files\Internet Explorer\iexplore.exe
或C:\Program Files\Internet Explorer\iexplore.exe,-32528
找到后注意看,千万别删了HKEY_CLASSES_ROOT\CLSID\{0002DF01-0000-0000-C000-000000000046}
切记!切记!!
桌面果果工具条:"C:\Program Files\avd\MacJie.exe"运行又改主页,注册表再次被更改!
而且会自动删除HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedUrls里的内容和删除hosts的内容,怕别人在hosts里设置阻止http://www.365j.com/?ecn
可见果果工具条有多流氓!!!
提供助手清理脚本,这个ie修复脚本默认设置主页为about:blank
详细操作请看:
http://bbs.arswp.com/thread-49753-1-1.html
对于C:\Program Files\avd\MacJie.exe这个已被替换的果果工具条——其实就是xxx
37款杀软,竟然没一个报毒!
文件: C:\Program Files\avd\MacJie.exe 大小: 221184 字节 文件版本: 2.0.1.1 修改时间: 2009年9月2日, 22:01:06 MD5: 9ED7181EF9017C669D91D2DBBB032C83 SHA1: EB30F54987E4D98C76DD82FF0EFE40F40CE268E5
CRC32: BCBD09F9
有兴趣的朋友到到果果官方网站下载安装
http://www.ggkkj.com/index.html
注:为了找这样本,偶在好几个地方下载了果果工具条安装,最后还是官方网站找到。
|