中了病毒，浏览器的快捷方式被挟持，求解决方案 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛中了病毒，浏览器的快捷方式被挟持，求解决方案

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[求助] 中了病毒，浏览器的快捷方式被挟持，求解决方案

蜗牛猎手初生襁褓狮帖子:5 注册: 2010-05-07 来自:	发表于： 2010-05-07 10:10 \| 只看楼主短消息资料字号：小中大 1楼中了病毒，浏览器的快捷方式被挟持，求解决方案我去这个网址 http://www.ldyb.com.cn/html/shoujigongju/201003/24-2748.html 下了一个小体积的exe文件，下载地址： http://dn.zhongshu.net/zip_v1.29.2010h012103.exe 由于我糊涂了，直接运行了这个exe，结果无论是桌面、快速启动、开始菜单，我所有浏览器（包括IE、傲游、火狐）的快捷方式均被挟持了，运行任意一个快捷方式均自动跳转到http://wwv.9ah.net/。(IE傲游火狐浏览器的主页都确认过了，没有被修改) 右键查看快捷方式的属性，结果发现快捷方式的“目标”那一栏并没有被修改（一般这种挟持的话“目标”栏的最后会有不明网址）。我打开了系统盘Program Files里的浏览器主程序IExplore.exe，Maxthon.exe，FireFox.exe，发现直接打开主程序不会被挟持，但用主程序创建新的快捷方式就被挟持了。个人感觉病毒是针对快捷方式做了手脚，快捷方式本身没问题（因为自己手动创建的快捷方式也会被挟持）用进程监视器Process Explorer查看，发现打开IE时会先启动进程wscript.exe 用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3;MEGAUPLOAD 1.0
蜗牛猎手初生襁褓狮帖子:5 注册: 2010-05-07 来自:	分享到：

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2010-05-07 10:14 \| 短消息资料字号：小中大 2楼回复 1F 蜗牛猎手的帖子打包一个异常的快捷方式上来看一下。
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

蜗牛猎手初生襁褓狮帖子:5 注册: 2010-05-07 来自:	发表于： 2010-05-07 10:24 \| 只看楼主短消息资料字号：小中大 3楼回复: 中了病毒，浏览器的快捷方式被挟持，求解决方案快捷方式打包：附件: link.rar (2010-5-7 10:24:14, 1.33 K) 该附件被下载次数 346 个人感觉快捷方式本身没有问题，建议斑竹研究下那个带病毒的exe文件
蜗牛猎手初生襁褓狮帖子:5 注册: 2010-05-07 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2010-05-07 10:34 \| 短消息资料字号：小中大 4楼回复 3F 蜗牛猎手的帖子参考此帖的方法试试：http://bbs.ikaka.com/showtopic-8685996.aspx ，如果还是不行，请参考步骤6的工具扫描日志打包发送上来，另再扫描一份sreng日志。
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

蜗牛猎手初生襁褓狮帖子:5 注册: 2010-05-07 来自:	发表于： 2010-05-07 10:39 \| 只看楼主短消息资料字号：小中大 5楼回复：中了病毒，浏览器的快捷方式被挟持，求解决方案楼上，这不是同一个问题，我的IE主页并没有被挟持，图标也正常，浏览器主页都检查过了，不论是IE傲游火狐都完全正常，问题是在于打开桌面/快速启动/开始菜单的浏览器快捷方式会自动跳转到http://wwv.9ah.net/ 如果这是再点击主页按钮，会回到空白主页还是希望斑竹看看我一楼放的那个exe文件的代码 http://dn.zhongshu.net/zip_v1.29.2010h012103.exe
蜗牛猎手初生襁褓狮帖子:5 注册: 2010-05-07 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2010-05-07 10:44 \| 短消息资料字号：小中大 6楼回复：中了病毒，浏览器的快捷方式被挟持，求解决方案你那是快捷方式的关联被修改而已去扫描日志来看就是我那贴的第六个百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2010-05-07 10:45 \| 短消息资料字号：小中大 7楼回复：中了病毒，浏览器的快捷方式被挟持，求解决方案不从桌面上打开IE浏览器，直接去浏览器主程序位置去打开浏览器主程序C:\Program Files\Internet Explorer\IEXPLORE.EXE看情况怎样。百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2010-05-07 10:50 \| 短消息资料字号：小中大 8楼回复：中了病毒，浏览器的快捷方式被挟持，求解决方案参考6楼斑竹的方法，扫描queryreg日志上来看一下。
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

湖心小筑拙长孩提狮帖子:130 注册: 2006-08-28 来自:	发表于： 2010-05-07 11:56 \| 短消息资料字号：小中大 9楼回复：中了病毒，浏览器的快捷方式被挟持，求解决方案下载测试了一下 1、注册表处主要修改了lnk的关联，测试用sreng无法修昨，自己去提取注册表导入即可 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ 2、删除生成主要文件 C:\Program Files\netmeeting\Sec360.jse （这个是修改的LNK关联调用的） C:\Program Files\netmeeting\tao360.ico d:\Backup\我的文档\tmp.ini （这两个ini主要是用regini命令对注册表HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk处的权根设置，我修复时没发现权限有问题，可能失效） d:\Backup\我的文档\tmp2.ini d:\Backup\收藏夹\三只涨停黑马股票推荐.url d:\Backup\收藏夹\最实用的减肥丰胸方法大全.url d:\Backup\收藏夹\淘宝特卖.url d:\Backup\收藏夹\绿色下载站.url d:\Backup\收藏夹\网络赚钱宝典.url 我的文档与收藏夹要对应你自己电脑的路径去找
湖心小筑拙长孩提狮帖子:130 注册: 2006-08-28 来自:

蜗牛猎手初生襁褓狮帖子:5 注册: 2010-05-07 来自:	发表于： 2010-05-07 12:22 \| 只看楼主短消息资料字号：小中大 10楼回复: 中了病毒，浏览器的快捷方式被挟持，求解决方案日志文件附件: 文件名:QueryReg.rar 下载次数:233 文件类型:application/x-download 文件大小: 上传时间:2010-5-7 12:21:50 描述:rar
蜗牛猎手初生襁褓狮帖子:5 注册: 2010-05-07 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT