瑞星卡卡安全论坛
不言放弃 - 2006-3-29 8:44:00
【案例】
本人曾经被www.9991.com劫持过
也进入了www.9991.com
发现并不是什么恶意网站
初步分析与C:\WINNT\SYSTEM32\WBEM\IRJIT.DLL有关
【分析一】
IRJIT.DLL已经调用了RUNDLL32.EXE
举例如下:
[RUNDLL32.EXE]
CommandLine = C:\WINNT\SYSTEM32\RUNDLL32.EXE C:\WINNT\SYSTEM32\WBEM\IRJIT.DLL,Export 1087
【分析二】
IRJIT.DLL自动创建了系统服务
但是系统服务的名称是变化的
举例如下:
O23 - Service: Microsoft Update Service (BKMARKS) - - C:\WINDOWS\system32\rundll32.exe c:\windows\system32\wbem\irjit.dll,export 1087
O23 - Service: Local Connection Manager (BNESS) - - C:\WINNT\system32\rundll32.exe c:\winnt\system32\wbem\irjit.dll,export 1087
(卡卡助手扫描到的相关服务)
[DNS Cache / lDOMANE]
<D:\WINDOWS\SYSTEM32\RUNDLL32.EXE D:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>
(System Repair Engineer扫描到的相关服务)
说明:
对于这个服务
用HIJACKTHIS有时会扫描不到
(我是用HIJACKTHIS来解决的,但本论坛大多数朋友的日志并没有扫描到该服务)
【解决测试方案】
通过System Repair Engineer导出的日志查找IRJIT.DLL创建的系统服务
开始--控制面板--管理工具--服务
禁用其服务
开始--运行
输入regedit
确定
进入注册表
搜索IRJIT.DLL
删除其所在的系统服务文件夹
开机时按住F8<可以不停地按动F8>
选择"安全模式"或"SAFE MODE"进入安全模式
然后删除c:\winnt\system32\wbem\irjit.dll
进入正常模式下
重置一下IE首页
============
另外
在今天又在百度上搜索一下相关贴子
发现http://www.9991.com/劫持还与下面的相关文件夹有关连
C:\Program Files\Common Files\SAND\
C:\Program Files\Common Files\Update\
c:\windows\system32\update.exe
c:\windows\system32\res.exe
等等
============
http://www.9991.com/提供了首页解锁修复工具--fix.exe
http://www.9991.com/fix.exe
下载之后直接双击就可以设置主页为空白页
然后再重置一下IE首页
提醒:流氓网站的修复工具不知是否可靠?
艾玛 - 2006-3-29 8:58:00
不言放弃:
c:\winnt\system32\wbem\irjit.dll强制删除试过么?
你天天都在线
不言放弃 - 2006-3-29 9:12:00
| 引用: |
【艾玛的贴子】不言放弃:
c:\winnt\system32\wbem\irjit.dll强制删除试过么?
你天天都在线
........................... |
也试过
但是好像删除不了
以前我是这样操作的:
用icesword结束irjit.dll被插入的rundll32.exe进程后
再删除c:\winnt\system32\wbem\irjit.dll
但是删除不了
我用费尔木马强力删除助手也无法删除
我没有测试KILLBOX
估计用KILLBOX能够删除
至于如何删除
就看大家的方法了
呵呵
DOS下结束相关进程后
再删除相关文件
或许是一条捷径
嘻嘻
2116bromgamed2m - 2006-3-30 1:40:00
楼主又写拉一个很实用的好作品!
建议版主置顶
幻影影幻 - 2006-3-30 3:21:00
谢谢楼主,我这几天也被锁定这个网站,这个网站也没有什么不好,只是强行把别人的主页锁住不讨人喜欢.
这个网站有个解除主页锁定的的工具,下载这个工具安装运行后,可暂把浏览器恢复到空白主页;还需删除注册表中包含www.9991.com的键;然后搜索电脑包含www.9991.com的有关文件,删除.
我是这样做的,呵呵.
魔法学徒 - 2006-3-31 23:24:00
支持原创,置顶5天鼓励
反黑小巨人 - 2006-4-1 6:34:00
帮帮我吧! 我的电脑也是被www.9991.com黑的啊
我的是在C:\program files\Internet Explorer\IEXPLORE.EXE
帮帮我!
大连蓝天 - 2006-4-1 14:11:00
狂顶楼主,学习啦。
天使之剑 - 2006-4-1 19:57:00
【回复“不言放弃”的帖子】
学习一下……
々太子々 - 2006-4-2 9:38:00
支持LZ 我也是这个网站的受害者
花落花又开 - 2006-4-3 13:37:00
老厉害了……
xinxinsuo - 2006-4-5 22:48:00
不好意思 偶很菜 这些步骤偶都不太会操作
开始--控制面板--管理工具--服务
禁用其服务--这指的是什么 是所有服务吗?还是就相关的 怎么找呢?
搜索IRJIT.DLL---偶搜了 可搜出来的看不懂 要怎么看啊
删除其所在的系统服务文件夹----因上面没看懂 这步也不知要怎么操作了
大虾们赐教下 谢谢
影子110 - 2006-4-6 0:41:00
厉害哦~~
学习~~收藏~~
大山hjh - 2006-4-8 10:44:00
可以,对浏览器被劫持我已是深爱其害
再也不喝了 - 2006-4-8 15:49:00
【回复“魔法学徒”的帖子】
才5天,太小气了。
魔法你的头像什么时候加了个女的
我是菜鸟来求救 - 2006-4-8 19:20:00
我现在被http://www.dayouxi.net/锁住了!
请问怎么才可以解脱它~~
乖℃ - 2006-4-10 9:01:00
楼主 .我按照你说的做了.可是 res.exe在安全模式下删不掉.
开机后又有这个进程.
網絡靑蛙℡ - 2006-4-10 9:23:00
www.9991.com太霸道了。把它黑了多好。
不言放弃 - 2006-4-10 9:24:00
| 引用: |
【乖℃的贴子】楼主 .我按照你说的做了.可是 res.exe在安全模式下删不掉.
开机后又有这个进程.
........................... |
结束res.exe进程
进入注册表
删除res.exe的自启动项
删除res.exe文件
森林野人 - 2006-4-10 19:00:00
我常常上www.9991.com但没有事啊。
神父55 - 2006-4-11 23:23:00
最好最快的办法是从装系统或者 一件恢复呵呵
神父55 - 2006-4-11 23:24:00
........
zhaw - 2006-4-12 15:03:00
我没有上这个网站,我已经将它添加到了受限区域
菜鸟一个帮帮我 - 2006-4-12 23:26:00
9991 这网站 太他妈的不是东西 顶下
夏娃假面 - 2006-4-13 11:25:00
赞,
哎,有些网站就是很讨厌。
好好学习,天天向上。
mychan - 2006-4-14 9:40:00
谢谢楼主..wwww.9991.com问题已经解决.不过现在又出现了www.7mp3.com经常在我上网的时候跳出来..还有就是跳出激情电影之类的东东...唉.
lanyue - 2006-4-15 12:50:00
该用户帖子内容已被屏蔽
sky天空666666 - 2006-4-15 17:31:00
可以安装个瑞星个人防火墙,执行设置\详细设置\在网站访问规则中启用家长保护,在黑名单中添加那个该死的网站即可.
Samuel13727 - 2006-4-15 17:53:00
我也有过类似的经历,不过有一个更简单的方法:
完全可以把初始网站收藏到收藏夹中,然后把它移到桌面上,调成浏览器的图标,当浏览器使用。
绝对管用!
chilli7 - 2006-4-15 20:15:00
今天才领教了一下这个网站的历害.
用HIJACKTHIS把它修复后,重启.打开IE,结果IE窗口一闪而过!反复如此.不得己,发现瑞星里有上网的功能,使用瑞星的"搜索"功能打开其它网站后才开始"上网".
没有办法能把它从"主页"中删除.
不得己,最后按F8调出"最后一次正确的设置",如此才行.
© 2000 - 2026 Rising Corp. Ltd.