IE主页被设为www.7939.com的解决方法
<p> 下载HijackThis。修复以下项目:</p><p> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.7939.com/<br/> O1 - Hosts: 130.88.100.48 nxunicom.wsyyt<br/> O17 - HKLM\System\CCS\Services\Tcpip\..\{603345D3-9181-4E0F-8ACD- C9B2563FB2B1}: <br/> O14 - IERESET.INF: START_PAGE_URL=http://www.7939.com/<br/> O4 - HKCU\..\Run: C:\WINDOWS\system32\Realplayer.exe(此项隐蔽性很高,一不小心就当是正常的Realplayer进程了,问题也是出在这个文件上)</p><p> 今天本站电脑门诊第259号应该是碰到了7939。com的变种IE劫持(而且中了木马)。这里一并给予解答,分析其日志:</p><p><br/> O4 - 启动项HKLM\\Run: C:\Program Files\Intel\svhost32.exe(此文件可能不属于IE劫持,但是属于木马,可能出现问题的机子不一定全有)<br/> O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present<br/> O4 - 启动项HKLM\\Run: C:\WINDOWS\VM_STI.EXE USB PC Camera 301P(此文件可能不属于IE劫持,但是属于木马,可能出现问题的机子不一定全有)<br/> O4 - HKCU\..\Run: C:\WINDOWS\system32\Realplayer.exe(此项隐蔽性很高,一不小心就当是正常的Realplayer进程了,问题也是出在这个文件上)</p><p><br/> 修复以上选项,重新启动进入安全模式删除 C:\Program Files\Intel\svhost32.exe和C:\WINDOWS\VM_STI.EXE以及C:/windows/system32/Realplay.exe三个文件,如果提示不能删除,请进入纯DOS下用命令号进行删除。</p><p><br/> 手动处理办法:</p><p> 重新开机,不能马上打开IE-->先清理临时文件>--清理 Cookies-->最后进入注册表删除2个键值的所有内容。7939.com;202.100.96.68 202.96.64.84;最后清理掉Hosts文件(方法:用记事本打开c:/windows/目录下 Hosts文件,操作系统不同可能路径有区别,把里面除了127.0.0.1 localhost以外的内容全部删除。马上重新启动系统进入安全模式删除C:\WINDOWS\system32\Realplayer.exe文件。问题解决。<br/></p>
页:
[1]