中了此毒如何恢复

显示全部楼层 · 发表于 2009-8-24 22:10:43

http://bbs.kafan.cn/thread-544286-1-2.html
斑竹的毒果然厉害，
症状为：无论用什么浏览器打开，火狐，谷歌，世界之窗，都被强制转换到用IE打开

下方生成一个广告栏，见上图，并带有情色弹窗

昨天用vista自带的系统还原恢复正常了，今天用沙盘打开还是中了，我的金山毒霸09一直没有反应

我的问题是中了以后如何修复浏览器，去除广告，不想用系统还原了

显示全部楼层 · 发表于 2009-8-24 22:15:58

发错区了

楼主

显示全部楼层 · 发表于 2009-8-24 22:27:10

用sreng干掉浏览器加载项中的病毒文件。然后用xt看有无映像劫持。有就删掉。然后全盘扫描

显示全部楼层 · 发表于 2009-8-24 22:32:29

跟踪如下，你要手动看图删文件也可以。只截了关键的几部

显示全部楼层 · 发表于 2009-8-24 22:37:23

用hips吗？
还有XT是指RemoveIT Pro XT ？

显示全部楼层 · 发表于 2009-8-24 22:44:02

XueTr
http://bbs.kafan.cn/thread-384301-1-1.html
这是hips跟踪的位置，可以按图用xt删。嫌麻烦直接用杀软。

显示全部楼层 · 发表于 2009-8-25 11:15:34

主要建立的文件：
使用强制删除工具删除~
C:\shovd.exe
C:\kkyhd.exe
C:\Internet Explore.lnk
C:\iexplor.bat
C:\WINDOWS\system32\shared.exe
C:\WINDOWS\system32\skipxbar.dll
C:\Documents and Settings\All Users\Application Data\images\*.*
C:\Documents and Settings\All Users\Application Data\i\*.gif
C:\Documents and Settings\Administrator\Local Settings\Temp\bt51224.bat
C:\Documents and Settings\Administrator\Local Settings\Temp\bt56058.bat
C:\Program Files\Common Files\Microsoft Shared\mocrosoft.exe
C:\Documents and Settings\All Users\Application Data\shared.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\uinstall.exe
全盘搜索Internet Explore.lnk搜到的全部删除~
清楚映像劫持！
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce下删除
C:\Program Files\Common Files\Microsoft Shared\mocrosoft.exe
C:\Documents and Settings\All Users\Application Data\shared.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Default_Page_URL清空
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page清空~
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command删除后面的"C:\Documents and Settings\All Users\Application Data\daohang.htm"
删除临时文件夹中的文件~
最后用windows清理助手清理！

[ 本帖最后由冰比冰水冰于 2009-8-25 11:33 编辑 ]

[其他相关] 中了此毒如何恢复

本帖子中包含更多资源

本帖子中包含更多资源

回复 4楼 z2665 的帖子

回复 5楼 R.T 的帖子