1   1  /  1  页   跳转

[求助] 中了www.2212.net的招,IE被劫持

收藏
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2010-04-10 20:21 | 显示全部 短消息 资料
字号: 1楼

中了www.2212.net的招,IE被劫持

下载一个软件时,被欺骗的“下载”标志欺骗了。粗心大意下,中了2212.net的招。
现象是:
1.
桌面上出现了 Intenet Exploer 的快捷键。 没有细看,运行后,进入www.2212..net 页面。发现这个图标并不是正常的 Internet Explorer.,两个英文单词中各 少一个r
2.
非法的Intenet Exploer图标可以删除,
3.
Quick Launch文件夹里也有这个Intenet Exploer,也能删除。
4.
中招后,桌面上的正常的Internet Explorer被删除。
5.
找回正常的Internet Explorer,后,正常的Internet Explorer能正常工作。
6.
检查时,发现 C:\program files\Internet Explorer 中的iexplore.exe IE 7.0.5730.13 的哈希值和另2台未中招的机器的iexplore.exe 的哈希值不同( IE 7.0.5730.13)。.
7.
注册表中没有找到有和非法的Intenet Exploer有关的项。
8.
桌面上的Intenet Exploer 属性是 快捷方式,后缀是 .ink
它是一个脚本,用编辑打开,内容为:
on Error Resume Next
p = WScript.arguments.Item(0)
if p = "" then p = "http://www.2212.net/"
set WSHShell = WScript.CreateObject("WScript.Shell")
strWinDir = WSHShell.ExpandEnvironmentStrings("%ProgramFiles%")
DefaultIE = strWinDir&"\Internet Explorer\iexplore.exe"
WSHShell.run Chr(34)& DefaultIE & Chr(34)& p, , True

==============
1. 用桌面搜索,找出所有的非法Intenet Exploer,全部删除。
从别的机器拷贝正常的iexplore.exe C:\program files\Internet Explorer
把正常的Internet Explorer拉回到桌面,
C盘杀毒,重启动,无效,回复到上述中毒的情况。
2. 使用本版提供的FixIE_Plus.exe SmtDel.exe 也无效。

===============
用本版提供的2个软件扫描后的日志:

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

附件附件:

下载次数:344
文件类型:application/octet-stream
文件大小:
上传时间:2010-4-10 20:20:51
描述:rar

最后编辑fzzfzz 最后编辑于 2010-04-11 08:40:56
分享到:
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2010-04-10 20:23 | 显示全部 短消息 资料
字号: 2楼

回复:中了www.2212.net的招,IE被劫持

请各位版主和大虾多多关注,谢谢!
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2010-04-10 20:58 | 显示全部 短消息 资料
字号: 3楼

回复:中了www.2212.net的招,IE被劫持

天月来了版主 的意见是正解。
目前问题已经解决。
谢谢!

PS.
系统中只有c:\windows\system32\helpme.ink  一项
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2010-04-10 21:02 | 显示全部 短消息 资料
字号: 4楼

回复:中了www.2212.net的招,IE被劫持

另外,想请教一下,这个恶意代码是通过什么途径再生的?
和主帖上贴出的那个脚本有关系吗?
谢谢!
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2010-04-10 21:15 | 显示全部 短消息 资料
字号: 5楼

回复:中了www.2212.net的招,IE被劫持

也谢谢 辛达星郁 的帮助,
辛达星郁  仔细查看了我上传的两个日志。花费了宝贵的时间。
谢谢!
PS.
在查找问题的过程中,在不同的位置保存了多个 Intenet Explore 的副本(有脚本的那个文件),有趣的是,无论在它们的哪个中,把其中的www.2212.net 改成其他地址,比如www.baidu.com后,所有的副本都会自动做出相同的改变,点击后都会去访问修改后的地址。
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2010-04-10 21:54 | 显示全部 短消息 资料
字号: 6楼

回复:中了www.2212.net的招,IE被劫持

非常感谢版主的详细解释。学习了。
谢谢!
gototop
 
fzzfzz
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2005-09-04
  • 来自:
发表于: 2010-04-11 09:33 | 显示全部 短消息 资料
字号: 7楼

回复:中了www.2212.net的招,IE被劫持

清理工作
删除全部有关联的 .vbs 和 .ink文件, 删除 win32games 文件夹。
在注册表中删除 相关的键值。
最后编辑fzzfzz 最后编辑于 2010-04-11 14:37:51
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT