标题: IE被劫持到http://www.1188.com/?y6 [打印本页]

---

作者: 李莫愁     时间: 2009-9-28 16:30    标题: IE被劫持到http://www.1188.com/?y6

刚换了windows7办了个大煞风景的事情，就安装了一个游戏叫做《异星大混战》，没想到游戏里面带了流氓，一直没有留意，直到今天看了实在碍眼于是尝试将其创建的ie图标删除掉，尝试无果只能手动删除该流氓软件。人啊，有技术不往正地方用，对注册表这么熟悉竟然造个流氓出来，不得不佩服。但是终究以清除成功结束。我真想问候www.1188.com站长的母亲。

　　该流氓的动作有：

　　　　1.在桌面创建两个ie图标，其中一个ie图标就像快捷方式一样很容易删除，另外一个则很难删除掉，并且伪装的很像真正的ie图标，下图将会给各位看到。

　　　　2.在windows超级任务栏中添加图标

　　　　3.在windows的system32中复制流氓软件（或许是木马）

　　　　4.更改windows的注册表，让桌面多出来一个假ie图标，其实没有调用ie，在调用复制到windows32中的流氓软件，见下图。



接下来附上清除的方法：（改表有风险，入市须谨慎）

　　1.开始---运行---regedit。在注册表编辑器查找“opie.exe”，如下图，将“HKEY_CLASSES_ROOT\CLSID\{E188F7A3-A04E-413E-99D1-D79A45F78506}”，删除之





这家伙将自己的默认图标设置为ie的样子



command命令确实流氓软件，如果你到该目录双击那个该死的opie.exe就发现了，其实打开的是流氓网站。明显挂羊头卖狗肉。




更多图片给大家欣赏，丫还伪造了右键属性，很像ie桌面的真实图标。

　　2.到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace”中找到“E188F7A3-A04E-413E-99D1-D79A45F78506”项整个删除。“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace”位置主要是在桌面创建图标用的。



3.回到桌面刷新，图标消失

4.进入c:\windows\system32\找到opie.exe删除掉




至此清除完成

:D:D:D

---

作者: snhao     时间: 2009-9-28 17:26
呵呵，技术帖，拜读。

---

作者: luoniao     时间: 2009-11-21 20:27
我前几天也中招了
弄了2个小时搞定，c:\windows\system32\目录下的木马名字似乎是随机的，我的是PNK.EXE

---

作者: zqrsc     时间: 2009-11-22 21:17
提醒一下，对于 \{E188F7A3-A04E-413E-99D1-D79A45F78506}” 之类得 CLSID 对于不同得计算机可能不会相同，对于楼主在前面得删除描述，建议大家谨慎处理，大家可以查找 opie.exe 来反过来确认自己机器上得这串 CLSID 可能和楼主并不相同。  本帖给予加分鼓励～
:P

[ Last edited by zqrsc on 2009-11-22 at 21:18 ]

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn