解决主页www.ee2345.com/?13劫持的手动方案
群里一朋友求助,主页被改为
www.ee2345.com/?13 。远程查看后发现
1.桌面存在一个假的IE图标。
2.打开IE图标,主页跳转到
www.ee2345.com/?13这个垃圾站点。
在远程查看时尚未发现卡卡助手能自动解决。
手动解决方案:1.打开注册表编辑器,查找
www.ee2345.com/?13,会找到两个CLSID下存在此值。
手动将两个CLSID删掉。
2.删掉后,桌面的IE图标就现了原型了。变成了一个文件夹,打开文件夹会发下有一个con文件夹和一个隐藏的desktop.ini文件。 打开desktop.ini文件发现文件内容为
[.ShellClassInfo]
CLSID={C42EB5A1-0EED-E549-91B0-153485860002}
看看,这个CLSID是不是跟你刚才找到的一样?
所以,当你遇到此主页劫持的时候,可能CLSID变了哦~那咋办啊?
哦,跑题了。回来~
这个文件夹正常的方式删不掉。可以使用xuetr这个工具来强力删除它。
当然你也可以先用xuetr查看这家伙的CLSID的值,然后直接定位注册表XX掉~
将样本上传,希望瑞星升级后可以解决此问题
附件: 假IE图标.zip (2010-11-9 12:33:08, 521 B)
该附件被下载次数 198
附件: 注册表项.zip (2010-11-9 12:33:08, 993 B)
该附件被下载次数 186
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; TheWorld)
