首页被绑定为www.7939.com的手工解除方法
今天,一个朋友电脑IE的首页又被别人QJ了。。 用各类杀病毒,杀木马的工具折腾了一段时间后,发现主页修改还是有问题:那就是无论我怎么样把主页选定在空白页,那个该死的网页都一定会在我浏览器的首页里面蹦出来。此时,我还剩最后一个杀手锏:system repair engineer。一般,我总是用它做最后的扫尾工作,因为大都被工具不能自动查杀的病毒或者木马多多少少都要修改系统的配置,用这个工具可以查到这些蛛丝马迹,对手工查杀它们还是很有帮助的。
但是,这次还是令我失望了(后来知道,因为这个病毒是修改了正常的XP系统文件)。系统配置,包括开机启动项及加载的驱动及服务根本没有任何异常。这让我很郁闷跟恼火,因为我查看了当前系统正在运行的进程,根本没有不熟悉的进程啊,而且系统加载的DLL跟驱动也没有问题,什么东西这么厉害??
浏览了一下手头上的工具单,发现还有hijackthis没有使用,于是习惯性的点开了它的工具包。。接下来便是用该工具进行扫描,发现了一个服务,并不是系统的,需要加载rundll32.exe,值得注意的是hijackthis竟然提示“文件丢失”???这可是系统关键模块啊,丢失了怎么启动XP啊??赶快“dir rundll32.exe /s/a“搜了一下,发现有rundll32.exe这个文件,心想应该是原来中的某个病毒在不同的目录下也生成了一个rundll32.exe病毒体文件,并加载了一个系统服务,不过它没有存活下来,估计是被我的MCAFEE给拦腰斩断了。哈哈。。刚想“exit“,突然发现了问题,这个rundll32.exe虽然位置没错,可是文件的修改时间确不是熟悉的2004年8月8日(正常的系统文件日期也可能是2004年的某一天,但应该跟system32目录下所有系统文件日期一致),而是今天!。赶忙到windows窗口下查看这个文件的详细信息,基本可以肯定这个文件应该是微软的。但为什么日期修改了呢?会不会不自动升级了这个文件?但当我看到我已经把系统升级给禁用的时候,再考虑到修改日期为今天,正好是中毒的同一天,基本上可以肯定,就是病毒修改这个文件。这样不但可以骗过我们,还可以轻松随系统文件启动病毒体(呵呵,其实当年在大学的时候,研究dos下的病毒多数是这种感染方法)。
找到病毒体,接下来的事情就容易了,删掉旧文件,然后从我的笔记本上把正确版本的rundll32.exe文件拷贝到她的电脑上面(不过这里面一定要记住把拷过来的文件事先加上“只读”属性,要不然,因为病毒常驻内存,会把好的文件又感染的!!!!!)。搞定,重启。郁闷,发现那该死的首页又蹦出来了~。。
突然想到是不是病毒修改了多个系统文件?? 于是搜索了一下所有修改日期为今天的文件,发现有如下系统文件也被感染了:
c:/windows/system32/rundll32.exe (这个开始已发现)
c:/windows/regedit.exe
c:/windows/system32/runonce.exe
c:/windows/system32/userinit.exe
c:/program files/internet explorer/iexplore.exe
(此时,突然感到庆幸。要是病毒把所有的可执行文件都感染了怎么办?真是不寒而栗。。 -_-!)
另外,同时发现了病毒的其他文件:shelllink.exe,shelllnk.tlb,run.exe(目录忘记了。好像是c:/windows下面,大家可以搜索一下,其中第二个文件必须关闭所有的IE窗口才能正常删除!)
接下来的事情就很顺利了,把感染的系统文件全部替换后(一定要记住在用新文件替换感染文件之前,把新文件设置只读属性!!)。删掉病毒其他的文件,重启。呵呵。世界终于清静了。。
p.s 我很痛恨病毒,木马以及一切的恶意代码,我一个好朋友的QQ就被盗Q木马给弄走了。现在还没弄回来。。
如果大家有什么问题或建议,可以留言给我。。呵呵。大家共同反黑~ 盼天下无毒的那天。
首页被绑定为www.7939.com的手工解除方法相关推荐
- react绑定this_React绑定模式:处理“ this”的5种方法
react绑定this JavaScript's this keyword behavior has confused developers for ages. JavaScript的this关键字行 ...
- cloud foundry_将Spring Boot应用程序绑定到Cloud Foundry中的服务的方法
cloud foundry 如果要试用Cloud Foundry ,最简单的方法是下载出色的PCF开发人员或在Pivotal Web Services站点上创建试用帐户. 其余文章假定您已经安装了Cl ...
- 将Spring Boot应用程序绑定到Cloud Foundry中的服务的方法
如果您想试用Cloud Foundry ,最简单的方法是下载出色的PCF开发人员或在Pivotal Web Services站点上创建试用帐户. 文章的其余部分假定您已经安装了Cloud Foundr ...
- JavaScript给按钮绑定点击事件(onclick)的方法及js常见事件
本文实例讲述了JavaScript给按钮绑定点击事件(onclick)的方法.分享给大家供大家参考.具体分析如下: 我们可以通过设定按钮的onclick属性来给按钮绑定onclick事件 <!D ...
- 微信怎样查绑定的服务器地址,你的微信绑定了哪些网站和应用?这个方法可以一键查看......
原标题:你的微信绑定了哪些网站和应用?这个方法可以一键查看... 之前小编发过一篇文章:如何查询QQ授权过的所有网站.应用?并且取消授权.而后有网友问到微信该怎么查怎么解绑呢? 大家对个人信息的意识越 ...
- edge打开时被360首页恶意绑定
当你点开edge浏览器所在位置, 你会看到一个edge的快捷方式, 你查看它的属性时, 会发现目标里面最后面附带了一个网址!!! 这时你只需要把这个快捷方式删除, 按windows键搜索edge, 然 ...
- 织梦wap.php绑定域名,dedecms织梦cms 手机站移动端 绑定设置独立M或wap域名的方法...
织梦根目录下的m文件夹就是手机网站访问的目录,所以我们要给http://www.sbwl.cn/m 绑定手机域名,使其成为http://m.sbwl.cn. 这样我们要做域名解析到m文件夹,之后在网站 ...
- 安卓通过绑定开启服务 来调用服务里的方法
2019独角兽企业重金招聘Python工程师标准>>> 创建服务 package com.example.studyReturn;import android.app.Service ...
- jquery单选框radio绑定click事件实现和是否选中的方法
使用jquery获取radio的值,最重要的是掌握jquery选择器的使用,在一个表单中我们通常是要获取被选中的那个radio项的值,所以要加checked来筛选,比如有以下的一些radio项: 1. ...
最新文章
- poj 1637 Sightseeing tour
- struct ethhdr结构体详解
- 关于.NET HttpClient方式获取微信小程序码(二维码
- 用纸筒做机器人_365天,每天都可以玩出新花样,卷纸筒就是这么牛的神器!
- java 查询后 jsonobject key 排序_商品品牌业务之后台Java代码的编写
- linux查看消息队列的状态,linux – 如何知道某个时间点在消息队列中收到的消息数...
- 部分AllWin 平台Android4.4 车机 USB兼容性
- chattr使用解释
- Like Sunday, Like Rain - JavaScript运算符优先级
- ASP截取字符:instr,instrrev,left,right,mid
- 基于日志处理的ElasticSearch的学(gen)习(feng)
- php socket 读网页,PHP webSocket实现网页
- 计算机硬盘有坏道,硬盘有坏道就不能用了吗?别再吃哑巴亏了,今天跟大家再说一次!...
- 电商不打烊、全家出境游、美颜全家福,新一轮春节方式你中标几个?
- 家用洗地机有什么优缺点?入门级家用洗地机
- 自己搭建的k8s集群,怎么做负载均衡?
- 基于 NIOS-II 软核的流水灯
- 如何通透理解:BFS和DFS优先搜索算法(23年修订版)
- 用Python做了鉴黄模型,内含多20万张“不可描述”图片
- 7个最好的免费杀毒软件下载