手杀健康上网专家28日更新（有详细过程）

taoyuan237

现在开始直播
要用到的工具

1检测系统分析文件

得到以下文件

c:\windows\ftct.exe
c:\program files\feiteng3\configcenter.dll
c:\program files\feiteng3\log.dll
c:\program files\feiteng3\plm.dll
c:\program files\feiteng3\surfctl.dll
c:\windows\ftcomdll.dll
c:\windows\ftlive.dll
c:\windows\ftslsp.dll
c:\windows\system32\ftsurfmon.dll
c:\windows\system32\drivers\ftdrv.sys

    启动项目 －－ 注册表之如下项删除：
[FtV3]    <C:\WINDOWS\ftct.exe>
[{2607A95D-8E16-4C9F-9AF6-18872B4418D6}]    <C:\WINDOWS\ftcomdll.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[ftdrv / ftdrv]    <\SystemRoot\system32\drivers\ftdrv.sys>

    系统修复－－　浏览器加载项之如下项删除：
[FT3]    <C:\WINDOWS\system32\ftsurfmon.dll>

另外还有c:\program files\feiteng3的目录。毕竟是正常软件。。。
接下来禁运
我这里用的江民
其实镜像劫持也都可以。。。。


接下来取消启动项



失败。。。原来忘了结束进程。。。其实重启也可以。。不过我比较懒，直接干掉他吧
另外PS一句
这个的软件限制功能就是检查签名和文件名。如果没有签名而且文件名变更的话控制就失效了


这个错误应该是系统环境引起的而不是健康上网专家。所以换一个
我这里用的是july因为没有签名所以也无法控制
结束了进程。。。

顺便卸载了下模块。。。
然后重头戏上场
先去掉启动项BHO等

接下来删除文件




最后启动wsyscheck
这个时候吧wsyscheck改名就可以启动了

因为删除后文件已经没有了虽然没重启

剩下的恢复SSDT，修复winscok，删除服务，最后重启完事


XP下映像劫持有两种方法
1
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options添加劫持的子项
如HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
2参见此贴
http://bbs.kafan.cn/thread-478203-1-1.html

[ 本帖最后由 taoyuan237 于 2009-5-28 16:51 编辑 ]

taoyuan237

SF，今天没带U盘否则还有更猛的方法

gxrsprite

启动项还有个dll也是FT的

tawny2008

删除挟持，恢复SSDT和删除文件就OK了？看来这个东西也不怎么样嘛
还是3721比较好

[ 本帖最后由 tawny2008 于 2009-5-26 16:29 编辑 ]

yhjtj

支持一下，
但lz少了判断过程，找到过程，修复过程，重启验证过程。干掉过程不详细，没有干掉的文件列表。
请版主对分数予以裁定。

156200

好简单的过程弄个强的的毒再试试吧（喜欢多图）。

backway

LZ你确定劫持那2个exe 删除驱动就能恢复系统正常么？
刚试了，http://bbs.kafan.cn/thread-487724-5-1.html

[ 本帖最后由 backway 于 2009-5-26 17:57 编辑 ]

taoyuan237

原帖由 backway 于 2009-5-26 17:16 发表
LZ你确定劫持那2个exe 删除驱动就能恢复系统正常么？
刚试了，http://bbs.kafan.cn/thread-487724-5-1.html

不一定会但是至少启动不了。既然无法启动那么我们就可以ARK了。。
明天更新更猛的方法

dl123100

这个保护不强，要让它启动不了大部分方法都能用。都启动不了了，再用ark就未必方便了。
这个主要是看如何尽可能地清理干净残留信息，并且不影响系统正常运行。

[ 本帖最后由 dl123100 于 2009-5-26 19:16 编辑 ]

lixiang1977

楼主用的是什么还原软件？