首页 > 编程知识 正文

浏览器劫持修复工具,浏览器首页被360劫持

时间:2023-05-06 20:25:22 阅读:193473 作者:2988

  一位网友在国庆那天,为了在网上看阅兵式,从网上下载安装了一个软件,不料IE主页被劫持为hxxp://www.hao923.com.cn/,用超级巡警无法修复,请偶帮忙检修。


  右击网友电脑桌面上的IE图标,发现弹出的是网址快捷方式的快捷菜单,看来那个软件把桌面原有的IE图标换成了指向的hxxp://www.hao923.com.cn/的快捷方式,开始菜单中的Internet Explorer菜单项也被换了,全部删除。


  快速启动项中的IE快捷方式也被篡改为:


"C:/Program Files/Internet Explorer/iexplore.exe" hxxp://www.hao923.com.cn/


  改回为:


"C:/Program Files/Internet Explorer/iexplore.exe"

  用电脑中的HijackThis扫描log,发现如下可疑项:


O4 - HKLM/../Run: [0CE164] C:/WINDOWS/system32/827828/0CE164.EXE
O4 - Startup: 0CE164.lnk = C:/WINDOWS/system32/827828/0CE164.EXE

  用FileInfo提取C:/WINDOWS/system32/827828/0CE164.EXE文件信息,用bat_do打包备份后删除。

  在HijackThis把这两个O4项钩上,修复。


  打开注册表编辑器,定位到


[HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command

右边的默认值被篡改为


"C:/Program Files/Internet Explorer/iexplore.exe" hxxp://www.hao923.com.cn/


了,双击之,改为:


"C:/Program Files/Internet Explorer/iexplore.exe"

附:

文件说明符 : C:/WINDOWS/system32/827828/0CE164.EXE
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-2-26 17:14:50
修改时间 : 2009-2-26 17:14:52
大小 : 114688 字节 112.0 KB
MD5 : cd1e6a2e9ca60ddd73c38433bb76b5b8
SHA1: C441992B69671D5E845FB9BF0090F7B6B1B65542
CRC32: 25010717

文件 0CE164.EXE 接收于 2009.10.03 05:30:34 (UTC) 反病毒引擎版本最后更新扫描结果a-squared4.5.0.242009.10.03Trojan.Dloader!IKAhnLab-V35.0.0.22009.10.02-AntiVir7.9.1.272009.10.02-Antiy-AVL2.0.3.72009.10.02-Authentium5.1.2.42009.10.02W32/Agent.CM.gen!EldoradoAvast4.8.1351.02009.10.02-AVG8.5.0.4202009.10.02Agent.4.IBitDefender7.22009.10.03-CAT-QuickHeal10.002009.10.03(Suspicious) - DNAScanClamAV0.94.12009.10.03-Comodo24982009.10.03-DrWeb5.0.0.121822009.10.03Trojan.Siggen.3067eSafe7.0.17.02009.10.01-eTrust-Vet31.6.67742009.10.02-F-Prot4.5.1.852009.10.02W32/Agent.CM.gen!EldoradoF-Secure8.0.14470.02009.10.02Worm.Win32.FlyStudio.cdFortinet3.120.0.02009.10.03-GData192009.10.03-IkarusT3.1.1.72.02009.10.03Trojan.DloaderJiangmin11.0.8002009.09.27-K7AntiVirus7.10.8582009.10.01-Kaspersky7.0.0.1252009.10.03Worm.Win32.FlyStudio.cdMcAfee57592009.10.02Generic Downloader!hv.uMcAfee+Artemis57592009.10.02Generic Downloader!hv.uMcAfee-GW-Edition6.8.52009.10.02Heuristic.LooksLike.Win32.Suspicious.HMicrosoft1.51012009.10.02TrojanDropper:Win32/Silly_P2P.BNOD3244772009.10.02-Norman6.01.092009.10.02-nProtect2009.1.8.02009.10.03-Panda10.0.2.22009.10.02Suspicious filePCTools4.4.2.02009.10.02-Prevx3.02009.10.03-Rising21.49.22.002009.09.30Worm.Win32.Autorun.fjeSophos4.45.02009.10.03Mal/Autorun-ISunbelt3.2.1858.22009.10.02-Symantec1.4.4.122009.10.03Backdoor.TrojanTheHacker6.5.0.2.0272009.10.02-TrendMicro8.950.0.10942009.10.02PAK_Generic.001VBA323.12.10.112009.10.03Backdoor.Win32.FlyAgent.knViRobot2009.10.2.19682009.10.02-VirusBuster4.6.5.02009.10.02- 附加信息File size: 114688 bytesMD5...: cd1e6a2e9ca60ddd73c38433bb76b5b8SHA1..: c441992b69671d5e845fb9bf0090f7b6b1b65542SHA256: ff6d00599cb586bce0c010c5364b3f5ff1cc6e68d8d64c769dec8ae6a6b6d105ssdeep: 3072:qFijZxiWGPey3dFEtEut3V0PxrxEyUppOl1uYxtbBwJd6sI4M6AM0fUHSmp<BR>sFijd:qwjPtYqt/5HyFijgPTBQCxggo<BR>PEiD..: -PEInfo: -RDS...: NSRL Reference Data Set<BR>-pdfid.: -trid..: Win32 Executable Generic (38.5%)<BR>Win32 Dynamic Link Library (generic) (34.2%)<BR>Clipper DOS Executable (9.1%)<BR>Generic Win/DOS Executable (9.0%)<BR>DOS Executable Generic (9.0%)sigcheck:<BR>publisher....: n/a<BR>copyright....: n/a<BR>product......: n/a<BR>description..: n/a<BR>original name: n/a<BR>internal name: n/a<BR>file version.: n/a<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>packers (Kaspersky): PE-Crypt.CF, PE-Crypt.CFpackers (F-Prot): PE-Crypt.CF 这种劫持浏览器的方法,以前也遇到过,如: 挂羊头卖狗肉的播放器
http://blog.csdn.net/Purpleendurer/archive/2009/07/05/4323084.aspx

阅读全文

版权声明:该文观点仅代表作者本人。处理文章:请发送邮件至 三1五14八八95#扣扣.com 举报,一经查实,本站将立刻删除。

Copyright © 2012-2020,Powered By 恩蓝号 滇ICP备2023008288号-2