浏览器主页被篡改的处理及思路
[i=s] 本帖最后由 七月灬等待 于 2009-5-30 08:52 编辑 [/i]最近各大论坛很多类似的帖子,都没能得到很好的解决。昨天测试了个病毒,也是篡改主页的,分享下解决方法。
运行样本后,主页被改为[url=http://www.qian14.cn/][color=#0000ff]http://www.qian14.cn[/color][/url]
设置“使用空白页”后退出,IE属性里再去看,还是[url=http://www.qian14.cn/]http://www.qian14.cn[/url]这个主页
[attach]22368[/attach]
用最新版本的清理助手扫描到两个东西
[attach]22369[/attach]
不正确的首页打开方式就是下面这个注册表键值屁股后面跟有参数
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\\REG_SZ01"%PROGRAMFILES%\INTERNET EXPLORER\IEXPLORE.EXE"[color=red][url=http://www.qian14.cn/]http://www.qian14.cn[/url][/color]
[color=#ff0000][/color]
意思是,不管我IE属性主页选项里被设置成什么。只要从桌面快捷方式启动IE打开的是[url=http://www.qian14.cn/][color=red]http://www.qian14.cn[/color][/url]
执行清理后,仍更改不了主页!怀疑有隐藏更深的木马,扫描sreng日志。但除了几个映像劫持外,看不到可疑东西···
[quote][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe]
<IFEO[firefox.exe]><C:\Program Files\Internet Explorer\IEXPLORE.EXE [url=http://www.qian14.cn/]http://www.qian14.cn/[/url]?> [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Maxthon.exe]
<IFEO[Maxthon.exe]><C:\Program Files\Internet Explorer\IEXPLORE.EXE [url=http://www.qian14.cn/]http://www.qian14.cn/[/url]?> [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SuperKiller.exe]
<IFEO[SuperKiller.exe]><shutdown -r -t 20> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TTraveler.exe]
<IFEO[TTraveler.exe]><C:\Program Files\Internet Explorer\IEXPLORE.EXE [url=http://www.qian14.cn/]http://www.qian14.cn/[/url]?> [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\uninst.exe]
<IFEO[uninst.exe]><C:\Program Files\Internet Explorer\IEXPLORE.EXE [url=http://www.qian14.cn/]http://www.qian14.cn/[/url]?> [File is missing][/quote]
第一次时这样做了:删除了c:\windwos\temp目录下的几个文件(运行病毒时衍生的几个文件,用hips软件监控到的),删除了那些ifeo项。涛声依旧····
又扫描了一份狙剑的报告 也没看出问题来····
只好用最简单而原始的办法了,注册表搜索[url=http://www.qian14.cn/]http://www.qian14.cn[/url],找到了
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main这项
竟无法删除和修改[url=http://www.qian14.cn/]http://www.qian14.cn[/url]项
[attach]22370[/attach]
查不到病毒,便想到权限的问题
[attach]22371[/attach]
[attach]22372[/attach]
果然是这样的,在“完全控制”那一行,“允许”下面的框打上勾后,那些项就可以删除了,主页也可以更改了!
(这个用户组MS不是很安全··对注册表也不是很清楚)你也可以选中everyone这个用户删除了,再点[color=red]添加[/color]-在弹出“选择用户或组”的对话框里选择-[color=red]高级[/color]-[color=red]立即查找[/color]-找到的用户中,选中你当前登陆计算机的用户,点确定。再给权限。
上面说到那几个劫持,这病毒有点特别了··我的avant也打不开···
继续搜索[url=http://www.qian14.cn/]http://www.qian14.cn[/url]
这里同样删除不了。被修改了权限,加了权限后删除那几个ifeo,avant可以打开了。重
启后主页依旧可以自己设置。这个问题已经基本解决了!
这方法不通用,但可以参考下。如果没能解决,请开个帖说明下情况,怎样操作的,操作结果如何。我们才好给出解决方案。最近看过很多类似的帖子,LZ都是不怎么反馈情况。或给的信息不准确。
前阵我看到很多帖标题:主页被XXX给锁定了
什么叫锁定了?我这试毒这种情况就主页被锁定。改不了。还有的更严重,IE属性里的
使用默认主页 那几个建全是灰白的。这种情况多是病毒干扰。
[b]如果设置主页选项里可以设置为A网址。但从桌面启动浏览器却是B。浏览器所在文件夹里启动是A。那可以分为以下两种情况[/b]
1、HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\\REG_SZ01"%PROGRAMFILES%\INTERNET EXPLORER\IEXPLORE.EXE"后面加了参数也就是B
[attach]22374[/attach]
2、浏览器快捷方式的属性被修改。
查看IE或其他浏览器的快捷方式的属性。你会发现上C:\Program Files\Internet Explorer\iexplorer.exe后面跟着一个网址
[attach]22375[/attach]
[b]或者是目标指向一个URL文件[/b]
[b][attach]22457[/attach]
[/b]第一种情况用windows清理助手可以解决,第二种情况貌似不行···自己是什么样的情况还请自己根据症状判断
[b]一般的主页问题。360,兔子类软件是能搞定的。如果修复了不的话也不用盲目的挨个使用这类软件。根据自己的症状判断下问题所在。有必要的话可到论坛上发帖求助。发帖时描述清理症状,用什么软件清理过。清理结果如何。[/b]
[b][color=magenta]给出几个建议。帮助大家判断浏览器主页问题
[/color][/b]
第一步,先得保证系统中的木马清理干净了。
推荐使用windows清理助手。能清理大部分木马。你用急救箱卡卡助手等一起上也可以。但要判断上面说的两种情况!
第二步,可以使用杀软扫描下,如果扫不出病毒。上个sreng日志。日志里没看问题的话。再去注册表搜索删除。
很多求助者都反映注册表删除没效果···我不知道他是哪种情况。怎么删除的。删除结果如何。
如果还有类似情况的求助者。请反馈下情况我们才好判断。在确保系统无活动病毒后。
搜索到的注册表项能不能删除? 权限是哪个组的?设置权限 删除网址之后能不能设置主页
有一种情况是自己设置主页后。重启又IE又被改了。分两种情况观察:
1、重启后不运行其他程序。直接启动IE。如果被改了,这种情况可能是系统还有病毒存在。
建议到安全模式扫描sreng日志,狙剑或QQ医生的报告。发到各安全论坛给大虾们判断下
2、重启后不运行其他程序。直接启动IE。没有被改。后来上网或玩游戏后才被改。这种情况可能是用了
一下带毒的外挂,或一些游戏修改的。尝试下删除他们看能不能解决。
最后再介绍个最终极,也是最无奈的办法
[quote]HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\\REG_SZ01"%PROGRAMFILES%\INTERNET EXPLORER\IEXPLORE.EXE"[color=red]http://www.qian14.cn
[/color]意思是,不管我IE属性主页选项里被设置成什么。只要从桌面快捷方式启动IE就会打开的是[url=http://www.qian14.cn/][color=red]http://www.qian14.cn[/color][/url][/quote]
利用这个,到这个注册表键值后面添加你想设置的网址。这样,虽然你在IE属性里改不了主页。但只要你在这里改了。从桌面启动IE打开的网址就是你注册表后添加的网址。 [i=s] 本帖最后由 七月灬等待 于 2009-5-24 13:34 编辑 [/i]
附上此次试毒样本,哪位大虾有兴趣去试下
原来帖[url=http://www.arswp.com/bbs/thread-45259-1-2.html]http://www.arswp.com/bbs/thread-45259-1-2.html[/url] 急救箱对这个病毒可以处理。安装了扫描以后主页被改成空白。注册表权限也恢复正常。
主页可以更改了。但下次再用急救箱的时候,还是会把你设置的主页改成空白页···
看来急救箱是把系统恢复到原始状态?这软件有时候还真是救急用的····大家可以试试,我没怎么用就不多作评论了 我下载下来玩玩!
好久没测试病毒了,哈哈。。。 [i=s] 本帖最后由 yyylll66 于 2009-5-26 09:31 编辑 [/i]
运行qqxc.exe(伪装QQ相册密码XX器)行为分析:
在%SystemRoot%\temp文件夹里生成二个文件:sbreg.exe和sbreg.ini
sbreg.ini内容为:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main [8]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Maxthon.exe [8]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe [8]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TTraveler.exe [8]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SuperKiller.exe [8]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\uninst.exe [8]
也就是对注册表Main 和映像劫持进行动作!
首先HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
增加Default_Page_URL指向[url]http://www.qian14.cn[/url]
更改ie主页HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Start Page为[url]http://www.qian14.cn[/url]
对搜索同时也进行动作
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Search Page指向[url]http://www.qian14.cn[/url]
映像劫持腾讯、火狐和遨游浏览器,只要使用这几款浏览器的用户,一打开浏览器就会自动打开hxxp://www.qian14.cn/?网址
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TTraveler.exe
Debugger
C:\Program Files\Internet Explorer\IEXPLORE.EXE [url]http://www.qian14.cn/?[/url]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe
Debugger
C:\Program Files\Internet Explorer\IEXPLORE.EXE [url]http://www.qian14.cn/?[/url]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Maxthon.exe
Debugger
C:\Program Files\Internet Explorer\IEXPLORE.EXE [url]http://www.qian14.cn/?[/url]
同时映像劫持顽固木马专杀大全,可能怕顽固木马专杀大全能查杀掉这个马!~
(只要使用顽固木马专杀大全,那么20妙就要关机重启电脑!——很阴险哦。。。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SuperKiller.exe
Debugger
shutdown -r -t 20
如果中招用户要卸载软件,那么对不起,一律让你链接到hxxp://www.qian14.cn/?网址,让你欲哭无泪!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\uninst.exe
Debugger
C:\Program Files\Internet Explorer\IEXPLORE.EXE [url]http://www.qian14.cn/?[/url]
注册表HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND默认值"%PROGRAMFILES%\INTERNET EXPLORER\IEXPLORE.EXE"更改为
C:\Program Files\Internet Explorer\IEXPLORE.EXE [url]http://www.qian14.cn[/url]
在桌面创建一个“Q14网址大全”快捷方式,指向链接hxxp://www.qian14.cn [b] [url=http://www.arswp.com/bbs/redirect.php?goto=findpost&pid=192727&ptid=45527]5#[/url] [i]yyylll66[/i] [/b]
temp文件夹里的文件我没细看··
[quote]映像劫持腾讯、火狐和遨游浏览器,只要使用这几款浏览器的用户,一打开浏览器就会自动打开hxxp://www.qian14.cn/?网址[/quote]
我还以为是打不开浏览器的现象{:3_168:}怎么我的avavt浏览器打开假死······这个没有被劫持啊? [url]http://bbs.arswp.com/viewthread.php?tid=45565&extra=[/url]
提供了清理脚本 救命啊!!!
1, 下载了清理助手,但无法运行。每次运行都是一瞬间一个类似DOS的命令框一闪就自动关掉了。我是从论坛首页下的,并关闭了所有杀毒软件/防火墙等可能引起屏蔽阻碍的程序
2, 后来用regedit命令进去搜索删除每个qian14,IE恢复正常了,但maxthon无法运行,一运行就自动跳到IE界面无网页显示。其中我找到了C:\Program Files\Internet Explorer\IEXPLORE.EXE [url]http://www.qian14.cn[/url] ,于是把后面的网址[url]http://www.qian14.cn[/url]删除了,难道是这个造成的影响么?
急啊,请高手解答 不知道为什么,直接发帖好是不成功,老说验证码错误。刷新了几次都无办法。急啊,求指点 我改下验证码,你再试试 已经改了验证码的显示,你再试试? 实在是谢谢楼主帮忙,我心灰意冷本来准备重做系统的,用你第一种方法研究了半个多小时,终于弄好了,不过我这个不再MAIN这里,我搜到2个,分别在另外另外的2个地方,然后用你的方法家权限删除就行了...太感谢了...特此注册了一个号来回复...
最后一局 狠谢 哈,早上开机打开网页发现自动打网址“[url]http://www.sohao123.com[/url]",这个不是我自己设定的,所以觉得应该是被劫持了,之前来过这里看过,根据里面的一些方法搞定了。 看来ls两位是很认真的看我的帖子了{:3_183:} 这么长的帖子看完不容易啊··
有些情况是注册表扫描不到网址。或搜索到删除不了。可能就存在驱动级的病毒了。或者系统文件被修改了!建议扫描个sreng日志救助 我是女的,对这些其实不感兴趣,也看不明白。
但是我的主页也换不了啊。我以前用清理助手很管用,可是刚过一天就换回来了。
求助啊。。。大侠们!!!! [url]www.96nn.com[/url]大家碰到过吗? [b] [url=http://www.arswp.com/bbs/redirect.php?goto=findpost&pid=198965&ptid=45527]16#[/url] [i]picanol[/i] [/b]
没有 [b][size=4]我的主页被【[/size][/b][url=http://cn10000cn.cn][b][size=4]http://cn10000cn.cn[/size][/b][/url][b][size=4]】劫持。(瞬间变为[/size][/b][url=http://07707.cn/123.htm][b][size=4]http://07707.cn/123.htm[/size][/b][/url][b][size=4])[/size][/b]
[b][size=4]注册表也搜索不到这两个网址。[/size][/b]
[b][size=4]Windows清理助手也查不到。[/size][/b]
[b][size=4]怎么办?[/size][/b] 跪求 大哥们 我开始也遇到那个Q14网站 后来在百度找了好多方法终于换掉啦 可是浏览器在属性里
那个使用当前网页键怎么还是灰色的 [img][/img] 我的 属性目标是"C:\Program Files\Internet Explorer\IEXPLORE.EXE"
起始位置是%HOMEDRIVE%%HOMEPATH%
这是正确的 吗
页:
[1]
2