12   1  /  2  页   跳转

[求助] 中了www.2212.net的招,IE被劫持

中了www.2212.net的招,IE被劫持

下载一个软件时,被欺骗的“下载”标志欺骗了。粗心大意下,中了2212.net的招。
现象是:
1.
桌面上出现了 Intenet Exploer 的快捷键。 没有细看,运行后,进入www.2212..net 页面。发现这个图标并不是正常的 Internet Explorer.,两个英文单词中各 少一个r
2.
非法的Intenet Exploer图标可以删除,
3.
Quick Launch
文件夹里也有这个Intenet Exploer,也能删除。
4.
中招后,桌面上的正常的Internet Explorer被删除。
5.
找回正常的Internet Explorer,后,正常的Internet Explorer能正常工作。
6.
检查时,发现 C:\program files\Internet Explorer 中的iexplore.exe IE 7.0.5730.13 的哈希值和另2台未中招的机器的iexplore.exe 的哈希值不同( IE 7.0.5730.13)。.
7.
注册表中没有找到有和非法的Intenet Exploer有关的项。
8.
桌面上的Intenet Exploer 属性是 快捷方式,后缀是 .ink
它是一个脚本,用编辑打开,内容为:
on Error Resume Next
p = WScript.arguments.Item(0)
if p = "" then p = "http://www.2212.net/"
set WSHShell = WScript.CreateObject("WScript.Shell")
strWinDir = WSHShell.ExpandEnvironmentStrings("%ProgramFiles%")
DefaultIE = strWinDir&"\Internet Explorer\iexplore.exe"
WSHShell.run Chr(34)& DefaultIE & Chr(34)& p, , True

==============
1. 用桌面搜索,找出所有的非法Intenet Exploer,全部删除。
从别的机器拷贝正常的iexplore.exe C:\program files\Internet Explorer
把正常的Internet Explorer拉回到桌面,
C盘杀毒,重启动,无效,回复到上述中毒的情况。
2. 使用本版提供的FixIE_Plus.exe SmtDel.exe 也无效。

===============
用本版提供的2个软件扫描后的日志:

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

附件附件:

下载次数:344
文件类型:application/octet-stream
文件大小:
上传时间:2010-4-10 20:20:51
描述:rar

最后编辑fzzfzz 最后编辑于 2010-04-11 08:40:56
分享到:
gototop
 

回复:中了www.2212.net的招,IE被劫持

请各位版主和大虾多多关注,谢谢!
gototop
 

回复:中了www.2212.net的招,IE被劫持

SREngLOG.log 这个日志没有见什么异常。
最后编辑辛达星郁 最后编辑于 2010-04-10 20:37:39
要深入,要专一.......
gototop
 

回复:中了www.2212.net的招,IE被劫持

去我签名处的工具贴内找费尔删除工具,抑制再生删除下面两文件即可
c:\windows\system32\helpme.ink
c:\documents and settings\all users\「开始」菜单\程序\启动\helpme.ink
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:中了www.2212.net的招,IE被劫持

天月来了版主 的意见是正解。
目前问题已经解决。
谢谢!

PS.
系统中只有c:\windows\system32\helpme.ink  一项
gototop
 

回复:中了www.2212.net的招,IE被劫持

另外,想请教一下,这个恶意代码是通过什么途径再生的?
和主帖上贴出的那个脚本有关系吗?
谢谢!
gototop
 

回复:中了www.2212.net的招,IE被劫持

也谢谢 辛达星郁 的帮助,
辛达星郁  仔细查看了我上传的两个日志。花费了宝贵的时间。
谢谢!
PS.
在查找问题的过程中,在不同的位置保存了多个 Intenet Explore 的副本(有脚本的那个文件),有趣的是,无论在它们的哪个中,把其中的www.2212.net 改成其他地址,比如www.baidu.com后,所有的副本都会自动做出相同的改变,点击后都会去访问修改后的地址。
gototop
 

回复:中了www.2212.net的招,IE被劫持

日志显示下面项异常:
[键]HKLM\SYSTEM\CURRENTCONTROLSET\CONTROL\SESSION MANAGER
[值]PENDINGFILERENAMEOPERATIONS
[类型]REG_MULTI_SZ
[内容]\??\c:\windows\system32\helpme.ink
      \??\c:\documents and settings\all users\「开始」菜单\程序\启动\helpme.ink

此注册表路径下是系统自身的延时删除重命名的项目

这玩意在第一次运行后即退出系统,并删除自身,然后将注入系统目录内的c:\windows\system32\helpme.ink在延时重命名那注册改名至c:\documents and settings\all users\「开始」菜单\程序\启动\helpme.ink

这样你每次开机启动系统时,系统将把c:\windows\system32\helpme.ink文件在延时重命名那改名至c:\documents and settings\all users\「开始」菜单\程序\启动\helpme.ink启动,此文件启动后做完所有恶搞的事以后,继续创建系统目录内那文件并继续向注册表内写入那个重命名过程,便于下次开机自启动。期间最重要的是会删除启动文件夹内的自身,所以后来不能查看到它。

一般工具或软件不查看那个注册表位置,所以不容易折腾

我那工具添加了那注册表位置的值的读取,所以能查看到

目前恶搞首页以及浏览器的手段很多,我个人已经无法快速跟踪添加新的那些恶搞行为了。无奈呢。你是运气好而已。
最后编辑天月来了 最后编辑于 2010-04-10 21:28:55
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:中了www.2212.net的招,IE被劫持

非常感谢版主的详细解释。学习了。
谢谢!
gototop
 

回复:中了www.2212.net的招,IE被劫持

清理工作
删除全部有关联的 .vbs 和 .ink文件, 删除 win32games 文件夹。
在注册表中删除 相关的键值。
最后编辑fzzfzz 最后编辑于 2010-04-11 14:37:51
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT