微点交流论坛 - 微点主动防御软件 - IE被劫持到http://www.1188.com/?y6

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点主动防御软件 » IE被劫持到http://www.1188.com/?y6

李莫愁
高级用户

积分 646
发帖 644
注册 2009-3-23

#1 IE被劫持到http://www.1188.com/?y6

刚换了windows7办了个大煞风景的事情，就安装了一个游戏叫做《异星大混战》，没想到游戏里面带了流氓，一直没有留意，直到今天看了实在碍眼于是尝试将其创建的ie图标删除掉，尝试无果只能手动删除该流氓软件。人啊，有技术不往正地方用，对注册表这么熟悉竟然造个流氓出来，不得不佩服。但是终究以清除成功结束。我真想问候www.1188.com站长的母亲。

　　该流氓的动作有：

　　　　1.在桌面创建两个ie图标，其中一个ie图标就像快捷方式一样很容易删除，另外一个则很难删除掉，并且伪装的很像真正的ie图标，下图将会给各位看到。

　　　　2.在windows超级任务栏中添加图标

　　　　3.在windows的system32中复制流氓软件（或许是木马）

　　　　4.更改windows的注册表，让桌面多出来一个假ie图标，其实没有调用ie，在调用复制到windows32中的流氓软件，见下图。

接下来附上清除的方法：（改表有风险，入市须谨慎）

　　1.开始---运行---regedit。在注册表编辑器查找“opie.exe”，如下图，将“HKEY_CLASSES_ROOT\CLSID\{E188F7A3-A04E-413E-99D1-D79A45F78506}”，删除之

这家伙将自己的默认图标设置为ie的样子

command命令确实流氓软件，如果你到该目录双击那个该死的opie.exe就发现了，其实打开的是流氓网站。明显挂羊头卖狗肉。

更多图片给大家欣赏，丫还伪造了右键属性，很像ie桌面的真实图标。

　　2.到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace”中找到“E188F7A3-A04E-413E-99D1-D79A45F78506”项整个删除。“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace”位置主要是在桌面创建图标用的。

3.回到桌面刷新，图标消失

4.进入c:\windows\system32\找到opie.exe删除掉

至此清除完成

※ ※ ※ 本文纯属【李莫愁】个人意见，与【微点交流论坛】立场无关※ ※ ※

别问我的马甲是谁，别问谁是我的马甲。在这里都是最熟悉的陌生人。。。。。。

2009-9-28 16:30

snhao
银牌会员

积分 1791
发帖 1782
注册 2007-6-12

#2

呵呵，技术帖，拜读。

※ ※ ※ 本文纯属【snhao】个人意见，与【微点交流论坛】立场无关※ ※ ※

东方微点论坛

2009-9-28 17:26

luoniao
新手上路

积分 35
发帖 33
注册 2006-5-14

#3

我前几天也中招了
弄了2个小时搞定，c:\windows\system32\目录下的木马名字似乎是随机的，我的是PNK.EXE

※ ※ ※ 本文纯属【luoniao】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-11-21 20:27

zqrsc
版主

反病毒区版主

积分 1133
发帖 1118
注册 2005-11-22
来自 .net

#4

提醒一下，对于 \{E188F7A3-A04E-413E-99D1-D79A45F78506}” 之类得 CLSID 对于不同得计算机可能不会相同，对于楼主在前面得删除描述，建议大家谨慎处理，大家可以查找 opie.exe 来反过来确认自己机器上得这串 CLSID 可能和楼主并不相同。本帖给予加分鼓励～

[ Last edited by zqrsc on 2009-11-22 at 21:18 ]

※ ※ ※ 本文纯属【zqrsc】个人意见，与【微点交流论坛】立场无关※ ※ ※

偶在~ 偶一直在~ 偶永远都在~偶不可救药的无处不在~

2009-11-22 21:17

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号