反浏览器劫持论坛本周常见及特殊问题总结[11.25.2005]
时间：2005年11月18日至2005年11月25日




一、常见问题：
　　本周比较常见的一个问题就是关于Look2Me这个恶意网页家族引起的浏览器劫持。
　　我在下面这个帖子中提供了一个免费的专杀工具——Look2Me Remover，遇到这个问题的朋友不妨看一下：
【推荐】Look2Me Remover简介

http://forum.ikaka.com/topic.asp?board=67&artid=7440953
　　这个应该是目前对付Look2Me的最优秀的工具。

二、特殊问题：
　　本周遇到的一个比较特殊的问题就是av610.com劫持。
（一）、特征和行为：
1、在HijackThis日志中能发现异常启动项：O4 - HKCU\..\Run: [SonudMan]%WINDIR%\wnilogon.exe；
2、关于这个%WINDIR%\wnilogon.exe，AntiVir报Trojan/PSW.Lmir.A.1.B；
3、创建文件：
%WINDIR%\wnilogon.exe
%System%\impai.exe
下载%System%\tmdown.exe；
4、篡改注册表：
（1）、在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下建立"SonudMan"="%WINDIR%\wnilogon.exe"；
（2）、更改文本文件关联，将HKCR\txtfile\shell\open\command下的正常关联修改为"default"="%SYSTEMROOT%\System32\impai.exe "%1""；
（3）、修改HKCU\Software\Microsoft\Internet Explorer\Main；
（4）、修改HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel，将HomePage值设为1。
（二）、手工清除方法：
1、修改注册表：
（1）、展开至HKCU\Software\Microsoft\Windows\CurrentVersion\Run，删除"SonudMan"="%WINDIR%\wnilogon.exe"；
（2）、展开至HKCR\txtfile\shell\open\command，将原来键值更改为"default"="%SYSTEMROOT%\System32\notepad.exe "%1""；
（3）、展开至HKCU\Software\Microsoft\Internet Explorer\Main，修改"Start Page"="恶意网址"。
2、删除文件：
%WINDIR%\wnilogon.exe
%System%\impai.exe
%System%\tmdown.exe
3、使用HijackThis修复：
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
　　由于木马会变种，所以以上建议仅供参考。

三、安全建议：
　　为了尽量避免病毒侵害您的计算机，请务必做到以下几项：
　　1、安装可升级的杀毒软件（建议打开实时监控）和防火墙；
　　2、打全系统补丁；
　　3、养成良好的上网习惯。



天使之剑祝您在反浏览器劫持论坛取得收获。