最近又有不少网友反映被www.1613.c n劫持了,好不容易收到个样本.
此木马没什么特点,不过有个过人之处就是“隐藏的伪系统程序”让“新手看不见”
在此借用一个图来说明怎么显示,只要你发现了它,清除它并不是难事。
下面说说怎么清除,在清除之前向大家提个醒,在删除文件和结束进程的时候要注意,别删错了。
1.首先:同时按“Ctrl+Alt+Del”键调出任务管理器,终止进程Msmnsger.exe,Rnudll32.exe(注意字母别看错了)
2.显示隐藏文件、受保护的系统文件、受保护的文件夹找到(因为此木马为隐藏的伪系统程序):
引用“天使之剑”朋友的图,在此表示感谢。
删除:
%Windows%\Msmnsger.exe
%System%\Rnudll32.exe
3.开始--运行--输入“regedit”(不含引号)展开注册表
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
删除:“Default_Page_URL”=“http://www.1613.cn/wz.asp”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
删除:“Default_Search_URL”=“http://www.1613.cn/wz.asp”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
删除:“searchurl”=“http://www.1613.cn/wz.asp”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
删除整个RUN分支。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除“MSMNessenger”=“C:\WINDOWS\MSMNSGER.EXE”
修改以下注册表值:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
原“Local Page”=“http://www.1613.cn/wz.asp”
改为“Local Page”=“
about:blank”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
原“Start Page”=“http://www.1613.cn/wz.asp”
改为“Start Page”=“
about:blank”
操作完以上步骤就算大功告成了,再清空IE缓存啊,关闭系统还原之类的。
清空IE缓存:开始--控制面版--Internet选项--删除文件--删除所有脱机内容
关闭系统还原:开始--控制面版--系统--系统还原选项卡--“在所有驱动器上关闭系统还原”前打钩点应用,随后开启即可
--------------------
注:
%Windows%指Windows目录
%System%指系统目录
