瑞星卡卡安全论坛

首页 » 技术交流区 » 系统软件 » IE篡改的修复!
战神︻┻┳═一 - 2006-9-28 2:07:00
   朋友你们上恶意网站导致IE被篡改已经不是什么新问题了,近日朋友用我的爱鸡冲浪,居然什么防护措施都不开——这不等于找扁——果不其然!次日小鸡立现中毒症状!
症状如下:

  1.朋友说好像当时跳出一个确认窗口,就直接按了确定——估计应该是有关认证的确认——朋友发誓绝对没有下载什么程序!
  2.恶意代码并不修改IE主页,也不修改IE其它设置。
  3.如果打开IE或者是资源管理器,每过一段时间(好像间隔时间并不确定,没有用手表实测),就自动打开几个网页;不打开的话,不会出现症状!如果使用如Netcaptor这样的只是借用了IE内核的浏览器,也不会出现症状!
  4.不定期的在桌面上建立了3个网址图标——后来增加到4个——删掉可以自动恢复;
  5.程序在IE和资源管理器里面建立了一个Tool Bar(工具条):包括一个搜索引擎和一些网站地址(在Netcaptor里面没有)!其中搜索引擎为以下地址:http://www.portalsearching.com/search.php
  6. IE下工具栏空白处点击右键看不到上述工具条的名称(就是说被隐藏了)。
原以为小小一个问题,高手出招自是手到擒来,没想到竟花去本人整整两天时间!
先用了一些常规办法恢复,包括:
1.流行病毒专杀工具——没用!
2.超级兔子IE清理——没用!
3.3721的IE助手——没用!
4.瑞星/江民/Norton杀毒——没用!
一看势头不对,去3721的论坛上看了看,又试了一些其它的方法,还是——没用!
回头,考虑一下问题:
1.启动项目绝对没有问题(被我删得只有输入法图标了);
2.添加/删除程序已经整过了(是在把sysoc.inf里面的hide属性去掉后整的),然后用兔子的删除工具把疑似病例也删了(兔子的删除比Windows自带的好用多了,之所以先用自带的删除,完全是出于对Bill Gates先生的尊重!),最后跑到注册表里面把HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Window\\CurrentVersion\\Uninstall项下不认识的全部干掉了——宁可错杀三千,不可放过一个!——LP:删之前你怎么不备份一下?小心死得很惨!哼哼!
3.只有在打开IE或资源管理器的情况下才出现问题,IE中的非Microsoft的工具条安装在Winnt\\Downloaded Program Files目录下,如Yahoo、Google之类的,查了一下,有一个什么BHO文件,十分可疑,直接删除了事——仍然没有解决问题!
4.在注册表里搜索portalsearching,找到4处,统统地干掉——还是—没—用!
漫长的一天过去了……偶开始陷入抓狂状态!
来日抖擞精神,再上战场!
抓住一个核心:既然只有在打开IE或资源管理器的情况下才出现问题,问题一定在IE里面,会不会是恶意代码把自己加入到IE代码中?
不能排除这种可能,把自己机器上的IE文件大小和其它机器上的比了一下,没有差别,不过为保险起见,重装一遍IE6.0,问题依旧!
那么是不是IE调用的Dll动态链接库有问题?
嫌疑很大!(说实话,如果这也没有问题的话,偶就彻底Game Over了!)
先到网上下载了汉化版的dllshow(在此感谢吕达嵘先生的汉化工作,省得我去翻金山词霸),打开,查找IE调用的dll文件(有126个之多),咦!不对呀,我已经把BHO的文件删除了,怎么这里还有一个BHO.dll文件,而且就在Winnt\\Downloaded Program Files目录下!
回到目录下,确实看不到BHO.dll文件,但是目录下显示的并不是文件名,而是已安装的组件,到DOS下去看看!
进入DOS,dir一下,果然,BHO.dll文件和BHO.inf两个文件赫然在目,看来当初删除时并没有真正删除!type看一下BHO.inf,果然,里面详细注明了写入注册表的项目、键值和关联文件,在关联文件中,发现了一个BHO.cab,估计最初删除的就是这个文件,而另外的BHO.dll、Vbshell.tlb和MSINET.OCX都成了漏网之鱼!
嘿嘿!既然原形毕露!且看我天下第一快刀手!del……del……del!什么,不许删除?!天理何在!
噢,原来我的IE还打开着,文件正在使用呢!立马cut掉!我再del……
这个世界清静了……
附:Vbshell.tlb和MSINET.ocx我没有删,dllshow提示Msinet.ocx是Microsoft的文件,而Vbshell.tlb怎么看都觉得像是VB里面的东东!反正,删了BHO.dll,问题解决了!

因此\說有 時候得對症下藥^_^也 要 瀏覽瀏覽的 哦 .............
1
查看完整版本: IE篡改的修复!