瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【推荐】日志项中有_IS_ISC.dll的朋友来看看(反chaxun.com劫持)

1234   1  /  4  页   跳转

【推荐】日志项中有_IS_ISC.dll的朋友来看看(反chaxun.com劫持)

收藏
sanadayukimura
头像
强壮不惑狮
  • 帖子:1173
  • 注册: 2005-05-18
  • 来自:
发表于: 2005-08-05 19:11 | 显示全部 短消息 资料
字号: 1楼

【推荐】日志项中有_IS_ISC.dll的朋友来看看(反chaxun.com劫持)

朋友们:
  大家好。最近以下几项内容经常出现在社友们的日志中:
  advapi32;_IS_WEBH.dll;_IS_ISC.DLL。
  清除它们似乎不是一件容易的事情。下面介绍几种方法来消灭它们,每种方法都有成功的案例可以参考。
最后编辑2006-09-26 12:12:26
分享到:
gototop
 
sanadayukimura
头像
强壮不惑狮
  • 帖子:1173
  • 注册: 2005-05-18
  • 来自:
发表于: 2005-08-05 19:22 | 显示全部 短消息 资料
字号: 2楼

一、手动清除。
  请暂时关闭系统还原功能并关闭所有的IE窗口,重新使用HijackThis扫描一遍后修复以下项目,修复前请允许HijackThis保留备份。
  O2 - BHO: EyeOnBrowser Class - {1272F701-349D-4DB3-BBCD-10CBDCD049FE} - C:\WINDOWS\Downlo~1\_IS_WEBH.dll
  O4 - 启动项HKLM\\Run: [advapi32] RUNDLL32 C:\WINDOWS\Downlo~1\_IS_ISC.DLL,isc
  重启至安全模式,调用命令提示符,键入:
  Del C:\_IS_ISC.DLL /s/a回车(注意执行Delete时请务必加上/s/a这两个参数)
  Del C:\_IS_WEBH.DLL /s/a 回车(注意执行Delete时请务必加上/s/a这两个参数)
  Del C:\Windows\backup\*.*回车
  Rd C:\Windows\backup回车。
  打开注册表编辑器:
  定位HKEY_CURRENT_USER\Software,找到advapi32,删除!
  定位HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,找到advapi32,删除!
  定位HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects,找到{1272F701-349D-4DB3-BBCD-10CBDCD049FE},删除!
  定位HKEY_CLASSES_ROOT\CLSID,找到{1272F701-349D-4DB3-BBCD-10CBDCD049FE},删除!
  定位HKEY_CLASSES_ROOT\CLSID,找到{1CC08B2F-AFF1-11D9-9651-0003FF7E92CE},删除!
  定位HKEY_CLASSES_ROOT\TypeLib,找到{1CC08B21-AFF1-11D9-9651-0003FF7E92CE},删除!
  定位HKEY_CLASSES_ROOT\TypeLib,找到{7B781699-1FF6-45B6-8AA7-2CB16B587C24},删除!
成功案例:http://forum.ikaka.com/topic.asp?board=67&artid=6839781&page=1
gototop
 
sanadayukimura
头像
强壮不惑狮
  • 帖子:1173
  • 注册: 2005-05-18
  • 来自:
发表于: 2005-08-05 19:28 | 显示全部 短消息 资料
字号: 3楼

二、半自动清除。
  这个方法是“海色の月”提供的,在此表示感谢!
  1、断开网络,关闭所有浏览器窗口,退出/关闭可以退出/关闭的应用程序(因为其文件_IS_*.DLL可能会插入在其它进程中);
  2、结束掉Rundll32.exe进程(调用_IS_ISC.DLL);
  3、结束掉Explorer.exe进程(在Explorer.exe进程里也插入了几个_IS_*.DLL文件,其中就有进程保护的DLL。另,结束掉Explorer.exe进程后,桌面、任务栏会丢失)以上步骤是为了尽量使那些_IS_*.DLL文件没有被调用,如果你对系统熟悉也可不用这样操作,只要确定当前没有_IS_*.DLL文件被调用即可;
  4、把Explorer.exe进程再运行起来(恢复桌面、任务栏。也可以先进行第5步删除相关文件);
  5、删除%Windows%\Downloaded Program Files\目录下面所有_IS_*.*文件(可以使用WinRAR,WinRAR也是一个文件浏览器用它可以浏览到一般不能直接查看的Downloaded Program Files\目录下的文件,用WinRAR找到那些_IS_*.*,删除掉),再删除%Windows%\backup\目录;
  6、双击导入 DEL_isc.rar (在附件中)中的REG文件,作用是删除那些东西在注册表里留下的启动项和其它信息。
成功案例:http://forum.ikaka.com/topic.asp?board=67&artid=6900411

附件附件:

下载次数:0
文件类型:application/octet-stream
文件大小:
上传时间:2005-8-5 19:28:23
描述:
gototop
 
sanadayukimura
头像
强壮不惑狮
  • 帖子:1173
  • 注册: 2005-05-18
  • 来自:
发表于: 2005-08-05 19:35 | 显示全部 短消息 资料
字号: 4楼

三、全自动清除。
  我做的一个小包裹,请下载后解压,根据Direction文件的提示操作。
成功案例:http://forum.ikaka.com/topic.asp?board=67&artid=6863446

附件附件:

下载次数:0
文件类型:application/octet-stream
文件大小:
上传时间:2005-8-5 19:35:48
描述:
gototop
 
sanadayukimura
头像
强壮不惑狮
  • 帖子:1173
  • 注册: 2005-05-18
  • 来自:
发表于: 2005-08-05 19:37 | 显示全部 短消息 资料
字号: 5楼

别嫌我啰嗦,请打大家务必断网并重启至安全模式执行相关的操作。
gototop
 
sanadayukimura
头像
强壮不惑狮
  • 帖子:1173
  • 注册: 2005-05-18
  • 来自:
发表于: 2005-08-09 02:01 | 显示全部 短消息 资料
字号: 6楼

【回复“gigi110”的帖子】
您遇到什么问题,请先说明。
请修复以下的项目:
1.O04 - 自动运行项(Run) - MyApp,MyApp
10.O21 - 自启动项SSODL - BACIBC0D
11.O21 - 自启动项SSODL - mtklefa
12.O21 - 自启动项SSODL - mtklef
删除它们后面列举的文件。
如果问题还没解决,请用下面这个小工具扫描个日志并贴上来。

附件附件:

下载次数:0
文件类型:application/octet-stream
文件大小:
上传时间:2005-8-9 2:01:55
描述:
gototop
 
sanadayukimura
头像
强壮不惑狮
  • 帖子:1173
  • 注册: 2005-05-18
  • 来自:
发表于: 2005-08-10 01:18 | 显示全部 短消息 资料
字号: 7楼

感谢楼上诸位的热情回复。包裹进行了修改,XP、2000和NT操作系统可以直接使用,不必修改任何语句。
gototop
 
sanadayukimura
头像
强壮不惑狮
  • 帖子:1173
  • 注册: 2005-05-18
  • 来自:
发表于: 2005-08-10 20:45 | 显示全部 短消息 资料
字号: 8楼

【回复“fb626”的帖子】
您遇到什么问题?请先说明。
以下建议仅供参考,如果您认识其中的一些设置抑或是您的手动设置,就不必执行。
请暂时关闭系统还原并删除IE临时文件,确保关闭所有的窗口,重新使用HijackThis扫描一遍后修复以下项目,修复前请允许HijackThis保留备份。
O2 - BHO: CSaveTarget Object - {0E7505F8-8F30-41E0-9D1E-D9DEABD36D38} - C:\Program Files\MiniTuoTu\MiniTuoTu.dll
O14 - IERESET.INF: START_PAGE_URL=http://tomatolei.com
然后也请顺带修复以下几项:
O3 - IE工具栏增项: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - IE工具栏增项: 完美网译通 - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - C:\WINDOWS\WORLD2\TOOLBAR\hmtoolbar.dll (file missing)
O9 - 浏览器额外的按钮: (no name) - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - (no file)
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\程序\QQ.EXE (file missing)
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\程序\QQ.EXE (file missing)
O9 - 浏览器额外的按钮: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-219?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - 浏览器额外的“工具”菜单项: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-219?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\程序\QQIEHelper.dll (file missing)
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\程序\QQIEHelper.dll (file missing)
最后显示隐藏文件和系统文件,删除(如果存在的话):
C:\Program Files\MiniTuoTu文件夹。
gototop
 
sanadayukimura
头像
强壮不惑狮
  • 帖子:1173
  • 注册: 2005-05-18
  • 来自:
发表于: 2005-08-12 16:43 | 显示全部 短消息 资料
字号: 9楼

【回复“闲着且忙着”的帖子】
进入安全模式的方法请参考:
【原创】图说本版的一些基本操作第11、12楼
http://forum.ikaka.com/topic.asp?board=67&artid=6789825
gototop
 
sanadayukimura
头像
强壮不惑狮
  • 帖子:1173
  • 注册: 2005-05-18
  • 来自:
发表于: 2005-08-12 16:44 | 显示全部 短消息 资料
字号: 10楼

【回复“闲着且忙着”的帖子】
鉴于您的情况,请将注册表文件导入。
gototop
 
<<上一主题|下一主题>>
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT