6700.cn 浏览器劫持解决办法 原创：老板

zjr

引用:                                                                              外部如需转载  请注明出处 http://chengfeng.5d6d.com/thread-678-1-1.html  

2月15日提示：最近发现6700.cn劫持浏览器的求助帖子又增多了，查看扫描报告后发现要清理的文件名称长度已经不再固定为5位，而是7位。请中招的朋友注意。如清理无效，可发纸条给我。

重点提示：
经测试，该方法通用于下面几个劫持浏览器首页的恶意程序的清理！
http://www.kz123.cn/?tn=xxxxxx
http://www.3929.cn?tn=xxxxxx
http://www.6700.cn?tn=xxxxxx
最近不少网友联系说方法无效，远程看时才发现是什么问题。windows清理助手和手工清理后，IE首页都需要自己去修改回来的。不少网友就是没有去修改，以为清除无效。呵呵。
11月11日光棍节，祝各位光棍快乐，快乐
鉴于部分网友无法看懂手工清理操作。在光棍节附加了动画上来。希望可以让各位朋友更直观的看到如何手工查找文件。可在视频上点击右键放大观看。
手工清理动画下载地址：http://laoban.8800.org/6700clear.rar
windows清理助手清理动画下载地址：http://laoban.8800.org/6700zhushou.rar 引用:

以下手工查找过程在2000系统下演示，所以系统路径为
winnt 而非xp和vista系统下的windows 这点请朋友们注意。
【第一步：】
右键我的电脑－属性－硬件－设备管理器
查看－显示隐藏的设备，展开非即插即用驱动程序列表
从里面记录下长度为5位的名称：这里我的是：
mnmdd
winio
ntgtn
【第二步：】
打开系统驱动文件目录，这里假设系统安装在C盘
2000系统为：c:\winnt\system32\drivers
xp/vista为: c:\windows\system32\drivers
点击"大小"列，让目录下的所有文件按文件大小排列。
寻找28K左右的文件。重点注意第一步找到的驱动名称
相同的文件。这里28k的为ntgtn.sys，正好和上面对应。右键
查看属性可以看到没有版本。就是它了。
找到要清理的驱动文件为
c:\winnt\system32\drivers\ntgtn.sys
c:\winnt\system32\dg28Cr.dll
【第三步：】
打开c:\winnt\system32 找要清理的DLL文件，看44K左右
的。依然按文件大小排列。找到44K的。特别要注意数字、
字母混合起名字的文件。然后右键－属性，查看版本号。
这里找到的是
c:\winnt\system32\dg28Cr.dll
【第四步：】
打开下载回来的XDelBox 复制刚才找到的两个文件地址。
右键选择"从剪切板导入不检查路径"。再选择"立即重启
执行删除"
注：由于没有虚拟机，重启部分不再录像。第一次重启会
默认进入XDelBox的删除菜单，这个不用我们动手，自己会
进入DOS执行删除。然后再次重启进入windows系统。然后
我们测试是否可以修改回来了。
【修改方法：】
右键IE－属性－常规下进行修改。有的网友只是IE快捷方式。
可打开IE－工具－internet选项，从里面进行修改即可。

经测试www.3929.cn?tn=xxxxxx和6700.cn处理方法相同！
10月18号晚经测试，升级过的windows清理助手应该可以解决该问题了。XP和VISTA下可以直接清理掉，我的2000系统在重启删除时蓝屏一次，硬启动后也清理掉了。中招的朋友可先尝试使用windows清理助手看问题是否可以解决，如不行再使用下面以前提供的解决办法。windows清理助手下载地址：http://www.onlinedown.net/soft/52983.htm 请朋友们注意，下面的方法所使用的工具Xdelbox不支持VISTA系统。因为Xdelbox要在boot.ini文件中写入自己的启动项，但在vista系统中微软已经修改了启动方式，该文件貌似不存在了。另外，上午手工帮网友看的一个xp系统，使用xdelbox无效，无法写入启动项到boot.ini文件中，具体原因未知，后使用还原系统中的dos工具箱手动删除掉。想来应该还是修改过的系统版本所产生的问题。如windows清理助手和下面的方法都无效，可留言或发纸条给我。我会抽时间帮您手动清理的。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
最近比较忙，虽然获取到两份样本，可是一直抽不出时间测试。很对不起大家了。今天终于抽出点时间来,才发现几天前测试时系统监控上好像出了问题。导致最后分析失败。看这次的。两份样本分别为tn=102741和tn=102743 程序运行后会生成一个驱动文件和一个DLL文件。其中驱动文件以Boot级启动，DLL文件以线程注入的方式插入到explorer.exe进程。随机生成文件名。


两份样本生成DLL文件大小固定为：45056字节。生成驱动文件为：28512字节和28640字节。如下图：



先处理DLL文件是没有效果的。我们来处理驱动文件。虽然文件名不固定，但是大小应该变化不是特别大.这里我的系统安装在C盘下。生成的DLL文件位置为C:\Windows\System32目录。驱动SYS文件位置为C:\Windows\System32\Drivers目录下，先打开C:\Windows\System32\Drivers目录，按"详细资料"排列文件，点"大小"列按文件大小排序，我们看大小为28k的文件。共找到两个，如下图：


修改时间一样。我们对两个sys文件分别点右键，看属性有什么不同。一般来说，非法文件都是没有版本信息的。这样我们很快就可以找到下图所示。右边那个mvnam.sys就是非法驱动文件。如下图：

OK，文件找到了。我们来删除掉。该XDelBox 上场了。XDelBox下载地址：http://www.dodudou.com/down/download.php?fname=./01.原创软件/XDelBox1.8剑盟版.rar
打开XDelBox，把mvnam.sys的路径C:\Windows\System32\Drivers\mvnam.sys填写到文件路径，点"添加"按钮，在下面的路径上点右键选择"立刻重启执行删除"。

这个时候系统会重启并进入到XDelBox 启动菜单。我们不用动。让XDelBox自己执行。删除完毕会再次重启。好了。驱动文件处理掉了。然后处理DLL文件。其实这个时候DLL文件已经不运行了。我们要做的是找到并删除掉。文件大小45056字节，还是按找驱动文件的方式查找。很快我们就可以找到。如下图:

手工删除掉就可以了。好了。现在看看是不是可以修改首页了。由于只获取到两份代码，如发现不能修改的，请直接跟贴。我会联系你帮你解决的。

[ 本帖最后由 zjr 于 2009-4-30 16:07 编辑 ]