标题: 网友利用微点和微点工具清除IE主页被篡改为http://www.9384.com/?100082 [打印本页]

---

作者: images     时间: 2010-12-6 11:25    标题: 网友利用微点和微点工具清除IE主页被篡改为http://www.9384.com/?100082

原文来自搜房博客：http://blog.soufun.com/6390570/10938124/articledetail.htm

清除IE主页被篡改为http://www.9384.com/?100082 [怀疑利用鬼影病毒技术]

现象：
1.开始菜单-程序-启动多出QQ.exe
2.ie浏览器主页被修改为hxxp://www.9384.com/?100082 [避免误点已经把http修改为hxxp]

分析:
启动项里面的qq.exe可以确认并非用户自己安装的qq文件，现在版本的qq都是通过注册表启动，[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"QQ2009"="\"C:\\Program Files\\Tencent\\QQ2010\\Bin\\QQ.exe\" /background";
被修改的ie主页采用常规的修改注册表或解锁ie主页锁定都无效，怀疑采用前段时间比较流行的修改系统主引导扇区mbr技术[鬼影病毒]。

处理：
1.由于采用了修改mbr的方式，所以重新安装操作系统是无效的;
2.下载系统修复工具，强制修复mbr;
下载地址：http://tools.micropoint.com.cn/B00000002
使用方法：双击运行System Repair.exe，选择其他选项-重置硬盘主引导记录-点击修复;
然后立即重启;
3.下载驱动级杀毒软件，用于检测系统未知启动项，排除病毒重写mbr导致，第二步修复mbr失败;
下载地址：http://www.micropoint.com.cn/download/download.php?site=local [微点主动防御软件，驱动级别的安全软件，可详细查看系统底层启动项，主要是能够自动识别正常的启动项，方便查看未知启动项]
使用方法：下载安装后需要重启，果然重启后立即报警现象1种所说的QQ.exe为木马病毒，选择删除;打开微点主界面，选择系统分析-系统自启动信息，在右侧详细信息窗口右键隐藏已知的启动信息，这里可以发现启动方式为Explorer插件方式启动的bhoexe.dll文件，识别为其他软件[见下图]

右键查找目标，会自动定位到这个文件所在目录，（微点软件提供这个功能很实用，简化了很多用户的操作）然后在文件上右键属性，发现其数字签名无效[见图]

这时候基本可以确认这个文件非正常文件，对其进行删除处理，通过微点的系统自启动信息功能右键这个文件名，选择删除文件与自启动项。
因为安装微点的时候重启过一次系统，所以为了避免病毒再次修改了mbr，所以这个时候再重复下步骤二，然后立即重启;

重启之后已经没有出现现象1的情况，且ie主页也可以自定义了。

重要提醒：修复硬盘主引导记录存在一定风险，提醒您注意，如果有非常重要的个人数据，建议您先备份到其他移动存储设备上。防范意外情况。

圣诞节送什么礼物呢？ 送女朋友香水会喜欢吗？

原文来自搜房博客：http://blog.soufun.com/6390570/10938124/articledetail.htm

[ Last edited by images on 2010-12-6 at 11:28 ]

---

作者: 反黑先锋     时间: 2010-12-6 16:49
假如所有微点用户能像楼主&唯三色彩那样就好了，活学活用:)

---

作者: Odyssey     时间: 2010-12-7 08:54
微点到了高级用户(有一点电脑系统常识)手中,真是如鱼得水.

---

作者: lsj301     时间: 2010-12-7 11:58
膜拜一下。

---

作者: 三人路     时间: 2010-12-7 12:46
不过微点的杀毒技术不是很好 不喜欢用

---

作者: alai     时间: 2012-2-4 11:35
佩服楼主。

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn