1   1  /  1  页   跳转

[原创] www.so8.zj.cn这个垃圾网站的源头

www.so8.zj.cn这个垃圾网站的源头

是这个网站rav.q766.com/里的瑞星2008升级保姆,他绑在瑞星2008升级保姆里面!

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB5; POTU(RR:28031409:0:5328865); User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; .NET CLR 2.0.50727)
分享到:
gototop
 

回复:www.so8.zj.cn这个垃圾网站的源头

1.先用卡卡6.0全面清理修复一遍。
2.清除IE的临时文件:打开IE 点工具 Internet选项 : Internet临时文件,点“删除文件”按钮,将删除所有脱机内容 打勾,点确定删除。
gototop
 

回复:www.so8.zj.cn这个垃圾网站的源头

楼主可以在 恶意网站举报 中举报此网址.
http://tool.ikaka.com/report.asp
gototop
 

回复:www.so8.zj.cn这个垃圾网站的源头

瑞星都有免费版的,不要用这些升级保姆了吧。
觉得我回答的好,就给我评分吧!
gototop
 

回复: www.so8.zj.cn这个垃圾网站的源头

这两天开机了规一个恶意网站“WWW.SO8.ZJ.CN”和“www.q160.com”。
这个虽然不是什么大问题,但是一个未经同意就在我的机器上安家的这个家伙也没有什么好的印象。随决定把他清除出去。
这个网站每次打开都指向一个不同的网站。我们来查看一下他的源文件。
用迅雷下载他的页面文件:http://www.so8.zj.cn/index.htm
内容如下:
<html>
<head>
<meta htt p-eq uiv="Co ntent-Lang uage" co ntent="zh-CN">
<meta HTT P-EQUIV="Content-Ty pe" CO NTEN T=" text/ html; chars et=g b2312">
<title></title>
</head>
<body>
<meta http-  eq uiv="re fresh" con tent ="0;u rl = htt  p:// www.duba2009.net / i.asp"  >
</body>
</html>
我们再把这个文件下下来并打开看下里面的内容。
<script language='JavaScript'> window.top.location='http://www.baidu.com/baidu.php?url=87nK000ShOVr7y6cuVVfkcaF9KKq4Isf3BEhpF0euxjciPdof5HqM_hFwyhZiHEnHhODXMoSqxL-yV9VULCI8C2DHgH6tV7tu2ezNcf.DD_jvRPPnZ_Cpm5mOfhImh2qS1IbzUrgZJR.U1Yk0ZDq1rZFOUEl0ZfqVox2ET19zxveS6KGUHYk0ZTq0ZKG5HFxn7t1nWD1n19xPHb3PjR0mLFW5HDvnHDz'</SCRIPT>
一段加密的网址。这个就是不断变换的地址了。先不看这个。我们来查找一下为什么他的主页会出现在我们的电脑上。

首先是工具的选用,本次使用的工具是下面的几个:
REGMOD————————注册表监视工具
FILEMOD————————文件监视工具
processjudger————进程监视工具
工具有了。现在开始恢复浏览器的设置:
1、右键“Internet Explorer”,选属性》》在主页那里把主页调整为“www.chinalbs.cc”.
2、右键快捷启动里面的“启动Internet Explorer浏览器”,属性,在目标那个地方把“www.q160.com”删除。
3、打开注册表编辑器“REGEDIT”,查找“www.so8.zj.cn”,并修改为“www.chinalbs.cc”.
4、电脑重启。
…………………………
打开我们的三个工具。
打开浏览器,看下是不是被修改了。还好,没有修改。不是浏览器的问题。
我们打开QQ看下。还是没有被修改。我们发送一条信息看看。不好,被修改了。。
查看一下我们的三个工具的日志文件。发现了以下问题。
1、在“C:\WINDOWS”目录下有个文件被创建。名称为“ie.reg”
2、QQ启动了一个程序:“QQ安装目录/QQPet/QQPetAgent.exe”,这个程序又打开了“REGEDIT.EXE”这个程序。好象是这个了。我们再看。
3、查找注册表的日志。发现是REGEDIT.EXE这个程序修改了设置。好了。我们找到了源头。开始分析这个"ie.reg"文件。
由于这个文件存在的时间很短。我们写一个批处理文件把这个文件复制出来。批处理文件内容如下:
@echo 按任意键开始一直复制C:\WINDOWS\ie.reg到d:\
——————————文件开始——————————————————
@echo 退出直接关闭
@echo 全屏转换按alt + enter
@pause
:f
copy C:\WINDOWS\ie.reg d:\
goto f
——————————文件结束——————————————————
我们运行一下这个文件。
重新运行“QQ安装目录/QQPet/QQPetAgent.exe”这个程序。
关闭批处理程序。到D:看下得到的文件。内容如下:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0AB57806-CAB5-4D22-9852-3AFD9C4E3C39}"
"Version"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Live Search"
"DisplayName"="@ieframe.dll,-12512"
"URL"="http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0AB57806-CAB5-4D22-9852-3AFD9C4E3C39}]
"DisplayName"="百度"
"URL"="http://s.q78.com.cn/?{searchTerms}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.so8.zj.cn"
"Default_Search_URL"="http://www.so8.zj.cn"
"Search Page"="http://www.so8.zj.cn"
"Start Page"="http://www.so8.zj.cn"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.so8.zj.cn"
文件找到了。修改的地方恳知道了。把他们改回去吧。修复内容如下:
1、删除QQ程序(整个目录删除)。重新从官方下载一个安装。
2、修复被修改的注册表内容。
到此,事件结束。。
文章里面的网址(除了“www.chinalbs.cc”)都是一个人弄的。这里我就不说这个人了。如果有人想知道是谁,可以把文章里面提到的网址在万网或新网里面搜一下就知道是谁了。
本文由“0o^_^o0”发步,QQ:87472043  原文在中国位置服务网论坛,请保留此信息。0o.^_^.o0A3ó%RÓm6Îlwww.chinalbs.cc¸‰"ÑÁi•lß
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT