瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【推荐】日志项中有_IS_ISC.dll的朋友来看看(反chaxun.com劫持)

12345678»   1  /  10  页   跳转

【推荐】日志项中有_IS_ISC.dll的朋友来看看(反chaxun.com劫持)

收藏
sanadayukimura
头像
强壮不惑狮
  • 帖子:1173
  • 注册: 2005-05-18
  • 来自:
发表于: 2005-08-05 19:11 | 只看楼主 短消息 资料
字号: 1楼

【推荐】日志项中有_IS_ISC.dll的朋友来看看(反chaxun.com劫持)

朋友们:
  大家好。最近以下几项内容经常出现在社友们的日志中:
  advapi32;_IS_WEBH.dll;_IS_ISC.DLL。
  清除它们似乎不是一件容易的事情。下面介绍几种方法来消灭它们,每种方法都有成功的案例可以参考。
最后编辑2006-09-26 12:12:26
分享到:
gototop
 
sanadayukimura
头像
强壮不惑狮
  • 帖子:1173
  • 注册: 2005-05-18
  • 来自:
发表于: 2005-08-05 19:22 | 只看楼主 短消息 资料
字号: 2楼

一、手动清除。
  请暂时关闭系统还原功能并关闭所有的IE窗口,重新使用HijackThis扫描一遍后修复以下项目,修复前请允许HijackThis保留备份。
  O2 - BHO: EyeOnBrowser Class - {1272F701-349D-4DB3-BBCD-10CBDCD049FE} - C:\WINDOWS\Downlo~1\_IS_WEBH.dll
  O4 - 启动项HKLM\\Run: [advapi32] RUNDLL32 C:\WINDOWS\Downlo~1\_IS_ISC.DLL,isc
  重启至安全模式,调用命令提示符,键入:
  Del C:\_IS_ISC.DLL /s/a回车(注意执行Delete时请务必加上/s/a这两个参数)
  Del C:\_IS_WEBH.DLL /s/a 回车(注意执行Delete时请务必加上/s/a这两个参数)
  Del C:\Windows\backup\*.*回车
  Rd C:\Windows\backup回车。
  打开注册表编辑器:
  定位HKEY_CURRENT_USER\Software,找到advapi32,删除!
  定位HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,找到advapi32,删除!
  定位HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects,找到{1272F701-349D-4DB3-BBCD-10CBDCD049FE},删除!
  定位HKEY_CLASSES_ROOT\CLSID,找到{1272F701-349D-4DB3-BBCD-10CBDCD049FE},删除!
  定位HKEY_CLASSES_ROOT\CLSID,找到{1CC08B2F-AFF1-11D9-9651-0003FF7E92CE},删除!
  定位HKEY_CLASSES_ROOT\TypeLib,找到{1CC08B21-AFF1-11D9-9651-0003FF7E92CE},删除!
  定位HKEY_CLASSES_ROOT\TypeLib,找到{7B781699-1FF6-45B6-8AA7-2CB16B587C24},删除!
成功案例:http://forum.ikaka.com/topic.asp?board=67&artid=6839781&page=1
gototop
 
sanadayukimura
头像
强壮不惑狮
  • 帖子:1173
  • 注册: 2005-05-18
  • 来自:
发表于: 2005-08-05 19:28 | 只看楼主 短消息 资料
字号: 3楼

二、半自动清除。
  这个方法是“海色の月”提供的,在此表示感谢!
  1、断开网络,关闭所有浏览器窗口,退出/关闭可以退出/关闭的应用程序(因为其文件_IS_*.DLL可能会插入在其它进程中);
  2、结束掉Rundll32.exe进程(调用_IS_ISC.DLL);
  3、结束掉Explorer.exe进程(在Explorer.exe进程里也插入了几个_IS_*.DLL文件,其中就有进程保护的DLL。另,结束掉Explorer.exe进程后,桌面、任务栏会丢失)以上步骤是为了尽量使那些_IS_*.DLL文件没有被调用,如果你对系统熟悉也可不用这样操作,只要确定当前没有_IS_*.DLL文件被调用即可;
  4、把Explorer.exe进程再运行起来(恢复桌面、任务栏。也可以先进行第5步删除相关文件);
  5、删除%Windows%\Downloaded Program Files\目录下面所有_IS_*.*文件(可以使用WinRAR,WinRAR也是一个文件浏览器用它可以浏览到一般不能直接查看的Downloaded Program Files\目录下的文件,用WinRAR找到那些_IS_*.*,删除掉),再删除%Windows%\backup\目录;
  6、双击导入 DEL_isc.rar (在附件中)中的REG文件,作用是删除那些东西在注册表里留下的启动项和其它信息。
成功案例:http://forum.ikaka.com/topic.asp?board=67&artid=6900411

附件附件:

下载次数:0
文件类型:application/octet-stream
文件大小:
上传时间:2005-8-5 19:28:23
描述:
gototop
 
sanadayukimura
头像
强壮不惑狮
  • 帖子:1173
  • 注册: 2005-05-18
  • 来自:
发表于: 2005-08-05 19:35 | 只看楼主 短消息 资料
字号: 4楼

三、全自动清除。
  我做的一个小包裹,请下载后解压,根据Direction文件的提示操作。
成功案例:http://forum.ikaka.com/topic.asp?board=67&artid=6863446

附件附件:

下载次数:0
文件类型:application/octet-stream
文件大小:
上传时间:2005-8-5 19:35:48
描述:
gototop
 
sanadayukimura
头像
强壮不惑狮
  • 帖子:1173
  • 注册: 2005-05-18
  • 来自:
发表于: 2005-08-05 19:37 | 只看楼主 短消息 资料
字号: 5楼

别嫌我啰嗦,请打大家务必断网并重启至安全模式执行相关的操作。
gototop
 
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-08-05 19:48 | 短消息 资料
字号: 6楼

最近诸如此类的问题繁多,谢谢楼主分享.
gototop
 
华仔·2
头像
初生襁褓狮
  • 帖子:663
  • 注册: 2004-01-13
  • 来自:
发表于: 2005-08-05 21:54 | 短消息 资料
字号: 7楼

我在安全糢式下OK的 。
gototop
 
雪地阳光
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2005-08-06
  • 来自:
发表于: 2005-08-06 10:49 | 短消息 资料
字号: 8楼

使用了楼主的包裹后,问题得到解决,方法:
1.先将批文件中盘符c;改为e:(我的xp装在e:盘)
2.断网,重新启动,按f8启动到安全模式
3.运行批文件
4.运行注册表程序
5.重新启动,问题解决
非常感谢楼主和各位兄弟姐妹的帮助。困扰多日的问题得以解决。
gototop
 
心言
头像
强壮不惑狮
  • 帖子:754
  • 注册: 2004-11-30
  • 来自:
发表于: 2005-08-06 20:35 | 短消息 资料
字号: 9楼

谢谢楼主分享,展现了问题,体现了水平。
gototop
 
dogis陈一舟
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2005-08-07
  • 来自:
发表于: 2005-08-07 15:19 | 短消息 资料
字号: 10楼

哈哈·没有看到在这里已经至顶了呵呵··不好意思啊·让这个病毒把我气的真不清啊,什么都看不到了·只想看到什么能杀了他,谢谢你啊sanadayukimura谢谢你啊
gototop
 
<<上一主题|下一主题>>
12345678»   1  /  10  页   跳转
页面顶部
Powered by Discuz!NT