主页被锁定为good.allxun.com的手工清除办法

作者：网络安全日志

日期：2006/11/12 （转载请保留此申明)

10号遇一网友在QQ上求助，机器主页被锁定为http://good.allxun.com，用360等软件扫描都没有发现可疑的。在网上搜了一下，很多人都提出各种办法和猜测，但都没有很明确的说法。有点怀疑是飘雪的变种。由于没有流氓软件样本，只好让对方把SRENG的扫描日志发过来，初步分析了一下，应该是飘雪的一个变种（目前存在四个变种了）。SRENG的日志驱动部分如下：

驱动程序
[a320raid / a320raid]
</SystemRoot/System32/DRIVERS/a320raid.sys><Adaptec, Inc.>
[AAC / AAC]
</SystemRoot/System32/DRIVERS/AAC.SYS><Adaptec, Inc.>
[aar1210 / aar1210]
</SystemRoot/System32/DRIVERS/aar1210.sys><Adaptec, Inc.>
[abp480n5 / abp480n5]
</SystemRoot/System32/DRIVERS/abp480n5.sys><Microsoft Corporation>
[Intel(r) 82801 Audio Driver Install Service (WDM) / ac97intc]
<system32/drivers/ac97intc.sys><Intel Corporation>
[adpu160m / adpu160m]
</SystemRoot/System32/DRIVERS/adpu160m.sys><Microsoft Corporation>
[adpu320 / adpu320]
</SystemRoot/System32/DRIVERS/adpu320.sys><Adaptec, Inc.>
[Aha154x / Aha154x]
</SystemRoot/System32/DRIVERS/aha154x.sys><Microsoft Corporation>
[aic78u2 / aic78u2]
</SystemRoot/System32/DRIVERS/aic78u2.sys><Microsoft Corporation>
[aic78xx / aic78xx]
</SystemRoot/System32/DRIVERS/aic78xx.sys><Microsoft Corporation>
[dpti2o / dpti2o]
</SystemRoot/System32/DRIVERS/dpti2o.sys><Microsoft Corporation>
[Hpt366 / Hpt366]
</SystemRoot/System32/DRIVERS/Hpt366.sys><Microsoft Corporation>
[ini910u / ini910u]
</SystemRoot/System32/DRIVERS/ini910u.sys><Microsoft Corporation>
[rjcimom / rjcimomf]
</SystemRoot/System32/DRIVERS/rjcimomf.sys><N/A>
[st3bus28 / st3bus28]
<system32/DRIVERS/st3bus28.sys><Generic>
[st3mp28 / st3mp28]
<system32/DRIVERS/st3mp28.sys><Generic>
[TosIde / TosIde]
<System32/DRIVERS/toside.sys><Microsoft Corporation>
[ViaIde / ViaIde]
<System32/DRIVERS/viaide.sys><Microsoft Corporation>
[viamraid / viamraid]
</SystemRoot/system32/DRIVERS/viamraid.sys><VIA Technologies inc,.ltd>

然后让这位网友用Unlocker把所有标明是<Microsoft Corporation>的驱动全部删掉（这里显示文件是Microsoft的，但是文件没有经过微软的数字签名，99%是假冒的），删除了以下文件：
   System32/DRIVERS/abp480n5.sys
   System32/DRIVERS/adpu160m.sys
   System32/DRIVERS/aha154x.sys
   System32/DRIVERS/aic78u2.sys
   System32/DRIVERS/aic78xx.sys
   SYSTEM32/DRIVERS/cd20xrnt.SYS
   System32/DRIVERS/dpti2o.sys
   System32/DRIVERS/ini910u.sys
   System32/DRIVERS/ql10wnt.sys

但是重启后发现首页还是被锁定为http://good.allxun.com，觉得有点奇怪，不可能啊，启动组，服务什么的都检查了，用360什么的都查不到。一定在里面。又仔细看了一遍，看到这一行：
[rjcimom / rjcimomf]
</SystemRoot/System32/DRIVERS/rjcimomf.sys><N/A>

文件名是8位随机的字母组成的，并且没有属名公司<N/A>，跟飘雪的特征一样。应该是它。让对方用Unlocker删除了，重启之后，果然OK了！

总结一下：跟飘雪的特征一样（详情见我的《飘雪(piaoxue/feixue)的详细分析以及手工清除办法》一文），只要能找到驱动便可。找到驱动，这里用SRENG这个工具，一个比较强的系统扫描工具，只要找到可疑的驱动，然后用unlocker删除便可。

办法及操作步骤：
1)下载SRENG
SRENG的官方下载地址（免费软件） http://www.kztechs.com/sreng/download.html

2)解开，运行——智能扫描——用记事本查看日志。

3)查找驱动：找到一个驱动为8位随机的字母或数字，并且公司注明为<N/A>的

4)用Unlocker删除位于systemroot/system32/drivers目录下的这个文件重启后重设一下主页便可

主页被锁定为good.allxun.com的手工清除办法相关推荐

破解浏览器主页被锁定在毒霸网址大全的问题
因为需要调试网站,通常我的电脑里都安装了多款浏览器,除了IE,还有猎豹浏览器.火狐浏览器和谷歌浏览器.但是有一天,突然发现,除了IE和猎豹浏览器,其它浏览器设置的主页都失效了.一旦打开火狐或者谷歌浏览 ...
电脑所有浏览器主页被篡改锁定的常见解决办法
浏览器主页被篡改锁定的常见解决办法许多人都遇到过浏览器主页出现不明原因被锁定或劫持成其它乱七八糟的网站.有时候在Internet选项里手动修改主页后,再次打开会发现又被篡改了.今天这里给大家分享些我 ...
ie主页被锁定无法修改
ie主页被锁定无法修改,安全工具ie修复也不能解除锁定. 方法:运行注册表编辑器regedit 找到 HKEY_CURRENT_USER\Software\Microsoft\Internet Exp ...
win10更新后自带Microsoft Edge浏览器主页无法锁定解决
Microsoft Edge浏览器主页无法锁定问题:如下图在设置中修改启动时URL页面无用,或选择打开新标签页重新启动浏览器后依然是百度主页. 解决办法如下:5步以联想电脑管家为例: 5:最后按照 ...
修复IE主页被锁定的问题~~~
'修复IE主页被锁定的问题If ChkIEStartPageLocked.Value = vbChecked ThenCall sdaDeleteValue("HKEY_USERS" ...
打开浏览器时主页被锁定怎么也改不掉的一个好办法
安装了chorme和uc浏览器.很容易被锁定主页,每次打开设置回空白主页也无济于事. 搜到一个好的经验方法.就是将浏览器主文件exe改名.用了这个方法非常好. 具体方法:安装->找到浏览器exe ...
Firefox浏览器主页被锁定为 hao123 的解决方法
★ 中招:主页锁定学校统一要求上51talk(无忧课堂)的英语课,装了51talk的软件后,一不小心装了好多个其他的软件,例如鲁大师(ludashi).快压(KuaiZip).小黑记事本(Heino ...
新版Edge浏览器主页被锁定的解决办法
问题描述: 今天用联想电脑管家更新一下驱动,发现我的浏览器主页(我用的是最新版Chromium内核的Edge浏览器,主页喜欢Bing搜索,我很反感百度搜索)被联想锁定了,被默认百度搜索.我是怎么知道是 ...
关于浏览器主页被锁定的部分解决方案
流氓插件锁定浏览器主页借用朋友的电脑开始学习,需要改变一下使用习惯,他的主页乱糟糟的就像这种我更喜欢简洁一点的直截了当的搜索引擎这样子白白净净的多好一开始使用火绒的浏览器锁定试了下包括浏览器 ...

主页被锁定为good.allxun.com的手工清除办法

主页被锁定为good.allxun.com的手工清除办法相关推荐

最新文章

热门文章