|
下载HijackThis。修复以下项目: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.7939.com/
O1 - Hosts: 130.88.100.48 nxunicom.wsyyt
O17 - HKLM\System\CCS\Services\Tcpip\..\{603345D3-9181-4E0F-8ACD- C9B2563FB2B1}:
O14 - IERESET.INF: START_PAGE_URL=http://www.7939.com/
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe(此项隐蔽性很高,一不小心就当是正常的Realplayer进程了,问题也是出在这个文件上) 今天本站电脑门诊第259号应该是碰到了7939。com的变种IE劫持(而且中了木马)。这里一并给予解答,分析其日志:
O4 - 启动项HKLM\\Run: [zt] C:\Program Files\Intel\svhost32.exe(此文件可能不属于IE劫持,但是属于木马,可能出现问题的机子不一定全有)
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P(此文件可能不属于IE劫持,但是属于木马,可能出现问题的机子不一定全有)
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe(此项隐蔽性很高,一不小心就当是正常的Realplayer进程了,问题也是出在这个文件上)
修复以上选项,重新启动进入安全模式删除 C:\Program Files\Intel\svhost32.exe和C:\WINDOWS\VM_STI.EXE以及C:/windows/system32/Realplay.exe三个文件,如果提示不能删除,请进入纯DOS下用命令号进行删除。
手动处理办法:
重新开机,不能马上打开IE-->先清理临时文件>--清理 Cookies-->最后进入注册表删除2个键值的所有内容。7939.com;202.100.96.68 202.96.64.84;最后清理掉Hosts文件(方法:用记事本打开c:/windows/目录下 Hosts文件,操作系统不同可能路径有区别,把里面除了127.0.0.1 localhost以外的内容全部删除。马上重新启动系统进入安全模式删除C:\WINDOWS\system32\Realplayer.exe文件。问题解决。
| 
IP卡
狗仔卡
发表于 2006-8-28 22:04:00
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡