IE被黑后修复的一个特例 |
|
精华序号:225
来自论坛:小熊在线 《软件论坛》
内容说明:
【第一步】
按下【Ctrl】+【Alt】+【Del】,打开任务管理器的进程管理,中止 Desktop.exe
- 求助!!!!!!!
(42字) mrant (414427)于2004/02/04(10:56:45)..
http://www.okww.net/ 黑了我的ie怎么也改不了 (9字) mrant (1883161)于今天(10:56:03)..
- 你会GHOST大法就简单了-______-(空) cjccjc (414479)于2004/02/04(11:35:13)..
- 下载resetie这个小软件(空) 楦武 (414451)于2004/02/04(11:17:17)..
- 我看了,这个恶意代码有点特别,给我5分钟时间试验,我教你~~~~~(空) 不是蜗牛 (414448)于2004/02/04(11:13:50)..
- ◎ 佩服(空) shangmaico (414656)于2004/02/04(16:02:42)..
- 以前用IE上网曾遇到过主页被改,还好都可以用牛哥的方法改回来,不过发现用MYIE或MWIE之类的浏览器后发现类似的事情少多了,牛哥说说这类浏览器是如何防的吧(空) 没有名字了 (414652)于2004/02/04(15:32:30)..
- 牛哥,还是让它试试这个吧!(53字) wjordann (414450)于2004/02/04(11:16:31)..
http://www.pcdog.com/soft/15524.htm
这是小弟在N年前无意中找到的,专门对付这些恶意代码的.挺好用的小工具!
- 不不不,这个网站方式有点特别~~~(空) 不是蜗牛 (414452)于2004/02/04(11:18:41)..
- 嗯,请楼主注意,按下面的步骤解决问题~~~~(458字) 不是蜗牛 (414487)于2004/02/04(11:38:51)..
【第一步】
按下【Ctrl】+【Alt】+【Del】,打开任务管理器的进程管理,中止 Desktop.exe 这个进程
【第二步】
运行 REGEDIT ,打开注册表编辑器
展开:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
还有
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
把所有 Desktop.exe 的项目删掉
继续用注册表编辑器
展开:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
把里面的:“ C:\WINDOWS\System32\SQIHIDE.EXE "%1" ”
改成:“ C:\WINDOWS\NOTEPAD.EXE "%1" ”
(注意忽略中文上下引号)
然后搜索整个注册表,发现“sqihide.exe”或者“Desktop.exe”的地方全部删除
【第三步】
重启计算机
搜索硬盘,把所有“sqihide.exe”、“Desktop.exe”删除
【第四步】
按照精华区里的办法,把IE首页改回来,也可以用众网友提供的IE修复器
- 我想请你消夜~~~(空) 熊坛·浩浩 (414944)于2004/02/04(22:44:06)..
- 感谢!!!!!!!(空) mrant (414939)于2004/02/04(22:40:33)..
- ◎ 太佩服了,牛真不是一般的强,保存了。(空) wwxy (414648)于2004/02/04(15:16:43)..
- 牛,现在才知道你不是一般的强,是太强了!(38字) 蝌蚪爱上刺猬 (414494)于2004/02/04(11:46:48)..
- 牛哥就是牛哥!(134字) wjordann (414492)于2004/02/04(11:45:23)..
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
把里面的:“ C:\WINDOWS\System32\SQIHIDE.EXE "%1" ”
改成:“ C:\WINDOWS\NOTEPAD.EXE "%1" ”
(注意忽略中文上下引号)
除了这块,其他没什么特别!SQIHIDE.EXE是什么程序,改成NOTEPAD.EXE(笔记本)就OK了?
- “txtfile”就是TXT文件,本来默认就是用记事本打开的(463字) 不是蜗牛 (414514)于2004/02/04(11:59:27)..
Desktop.exe、sqihide.exe这两个文件内容一模一样,都是79K大,用UPX加壳,脱壳后178K大
它们互相备份,当Desktop.exe被删除,sqihide.exe会把自己复制一份做Desktop.exe并运行之
一旦运行,就会修改主页为指定网址,并且在注册表RUN键(启动时自动运行)那里把自己加上去
为了防止自己被删除,sqihide.exe修改注册表的TXTFILE键,把TXT文件关联到自己,也就是需要展开TXT的时候,会自动运行sqihide.exe,被删掉的Desktop.exe又复活,主页又被改,又自动启动
现在用类似办法的可恶网页越来越多了
一般阻止的办法请看精华区
如果已经着了道,那么就必须立即检查有没有可疑程序和进程、服务
象本例子,就是观察到有可疑新文件加入运行
还有更可怕的
我记得某网页是以注册DLL的形式加载自己,母体是一个DLL文件,文件名随机生成,在注册表中注册
寻找清除的办法是搜索整个硬盘,寻找内容包含该网址的文件,即使是EXE文件、DLL文件也不放过(当然,EXE文件如果加壳的话,是查不到的,例如本案例,但是也会在注册表中露出痕迹)
- 还有yy25还不知道什么的,也是这样的,暴猛,能用的方法我全用了,还是会弹出窗口(空) 五十米的深蓝 (414481)于2004/02/04(11:36:26)..
- 牛哥以身试法,不不,应该说是大无畏精神!!值得偶们学习!(25字) wjordann (414474)于2004/02/04(11:32:18)..
研究好了,公布看看,到底特别在哪!小弟就不冒险了.呵呵
- 什么叫艺高人胆大(空) 楦武 (414490)于2004/02/04(11:41:02)..
-
PD!!!!!(空) 吹拉弹唱 (414480)于2004/02/04(11:35:24)..
- PFPF(空) 笑精灵 (414477)于2004/02/04(11:33:35)..
- PF又是什么意思?(空) wjordann (414486)于2004/02/04(11:38:06)..
- pifu(空) 牛刀小试 (414495)于2004/02/04(11:47:21)..
- 不明白!(空) wjordann (414509)于2004/02/04(11:55:33)..
- PF=佩服(8字) 布穿内酷 (414513)于2004/02/04(11:59:14)..
他开玩笑说=匹夫
- ◎ 精华区(20字) 笑精灵 (414430)于2004/02/04(10:58:16)..
http://www2.beareyes.com.cn/bbs/2/224.htm
- http://www.okww.net/ 这网页俺翻了半天,也没什么啊???(空) 吹拉弹唱 (414458)于2004/02/04(11:21:26)..
- ◎ 好像上了没事(空) 见习 (414454)于2004/02/04(11:20:13)..
本论坛由小熊在线(www.beareyes.com)joyt制作及维护