hosts文件被劫持,360等软件不能运行

今天,碰到一件怪事,登录360, google,rising等网站均跳转到一个貌似 百度首页的网站,点搜索后出来的是搜狗的搜索结果。想运行360查看,结果发现360的运行文件已被删除。郁闷透了。

用ping 命令 ping www.360.cnwww.baidu.com等网站,IP地址均解释为 219.235.3.16,怀疑dns被劫持。用nslookup查看,上述网站的IP地址是正常的,那只有一个结果:hosts被修改了。打开hosts文件一看,足足有成百个网页被指向 219.235.3.16。把这些条目删除后保存时提示不能保存,有程序再用 hosts文件。这时候明白一定有程序被劫持了。打开任务管理器,没有发现可疑程序。试着安装360,结果一点setup.exe,setup.exe文件就被删除。想用文件粉碎机等强力删除文件工具删除 hosts文件,结果也是一运行就被删除。重启,想进入安全模式修改hosts文件。结果启动到一半,机器又重启,不能进入安全模式。这玩意厉害。

只能另辟蹊径了,在另外一台机器上下载了一个进程查看工具 ECQ-ProcessXplorer-6,查看各个进程的子进程有什么可疑的。ECQ报告的可疑进程都是我安装的可信任的软件。真是超郁闷了。

心想应该是explorer被劫持。先打开一个命令行窗口,定位到 c:\windows\system32\drivers\etc,然后调查任务查看器,终止explorer,在命令行窗口用 del hosts,没想到真的删除了。赶快用 copy con hosts  新建一个hosts文件,用attrib +r +s hosts 把hosts文件设为系统只读文件。再打开explorer,上网,一切正常了。

试着运行360安装文件,还是不行,说明explorer一定有进程在干扰。用诺顿企业版杀毒,没有发现病毒,都是把360的很多工具报为木马给删除了。不管了。再用 ECQ-ProcessXplorer查看explorer的子进程,这次主要查看ecq报为正常的进程,结果发现有一个 caold.dll的进程,没有公司名称,怀疑是它作怪。进入 regedit,搜索 caold.dll,发现有一条,删除之。重启,一切正常。

上网查找 caold.dll,没有查到,不知是什么病毒。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; InfoPath.2; TheWorld)