瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 流氓软件苹果工具条,高人来分析

1   1  /  1  页   跳转

[求助] 流氓软件苹果工具条,高人来分析

流氓软件苹果工具条,高人来分析

前天发布关于主页被修改为http://www.365j.com/?cn的求助帖,经过2位版主帮忙,未见成效。现找到其原文件,望高人研究帮小弟解决问题

路人勿下。
压缩后还是比附件上传限制要大一点点。。。原下载地址http://www.ggkkj.com/macjiecn.exe
用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 3.0.04506.30; .NET CLR 2.0.50727)
最后编辑Bloodair 最后编辑于 2009-07-09 23:03:37
分享到:
gototop
 

回复:流氓软件苹果工具条,高人来分析

运行 开始==》程序==》苹果工具条==》卸载苹果工具条

C:\Program Files\苹果工具条\MacJie.dll
C:\Program Files\苹果工具条\MacJie.exe
C:\Program Files\苹果工具条\MacJie.ax
C:\WINDOWS\system32\mdrdsio.exe
C:\WINDOWS\system32\twain_32.dll
上面5个文件用XDelBox一次性删除
(enao.ys168.com 下载)
复制上面所有要删除的文件,打开XDelBox,在待删除列表点 右键==>选择 剪贴版导入不检查路径==>点 右键==>选择==>立刻重启执行删除

删除文件夹
C:\Program Files\苹果工具条

打开注册表定位到HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 选中Command右键==》属性==》权限==》在“完全控制”的允许下打√==》确定。然后双击右边键值,将原来的"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.365j.com/?cn修改为"C:\Program Files\Internet Explorer\IEXPLORE.EXE",点 确定

打开注册表定位到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 选中Main右键==》属性==》权限==》在“完全控制”的允许下打√==》确定,然后在右边找到"Start Page"打开将http://www.365j.com/?cn改为"about:blank",点确定

打开注册表定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,在右边找到"Userinit" ,将C:\WINDOWS\system32\userinit.exe,C:\Program Files\MacJie.exe修改为C:\WINDOWS\system32\userinit.exe,
PM偶时请附上求助贴的地址...
gototop
 

回复:流氓软件苹果工具条,高人来分析

我晕

还真是工具条本身的文件带有那恶意功能
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:流氓软件苹果工具条,高人来分析

找不到那个文件怎么办啊?
gototop
 

回复:流氓软件苹果工具条,高人来分析

记得好像有365j.com的专杀,不知道有没有用
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT