用微点清除IE主页被篡改为http://www.9384.com/?100082 [怀疑利用鬼影病毒技术]

zhagjun

现象：
1.开始菜单-程序-启动多出QQ.exe
2.ie浏览器主页被修改为hxxp://www.9384.com/?100082 [避免误点已经把http修改为hxxp]

分析:
启动项里面的qq.exe可以确认并非用户自己安装的qq文件，现在版本的qq都是通过注册表启动，[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"QQ2009"="\"C:\\Program Files\\Tencent\\QQ2010\\Bin\\QQ.exe\" /background";
被修改的ie主页采用常规的修改注册表或解锁ie主页锁定都无效，怀疑采用前段时间比较流行的修改系统主引导扇区mbr技术[鬼影病毒]。

处理：
1.由于采用了修改mbr的方式，所以重新安装操作系统是无效的;
2.下载系统修复工具，强制修复mbr;
下载地址：http://tools.micropoint.com.cn/B00000002
使用方法：双击运行System Repair.exe，选择其他选项-重置硬盘主引导记录-点击修复;
然后立即重启;
3.下载驱动级杀毒软件，用于检测系统未知启动项，排除病毒重写mbr导致，第二步修复mbr失败;
下载地址：http://www.micropoint.com.cn/download/download.php?site=local [微点主动防御软件，驱动级别的安全软件，可详细查看系统底层启动项，主要是能够自动识别正常的启动项，方便查看未知启动项]
使用方法：下载安装后需要重启，果然重启后立即报警现象1种所说的QQ.exe为木马病毒，选择删除;打开微点主界面，选择系统分析-系统自启动信息，在右侧详细信息窗口右键隐藏已知的启动信息，这里可以发现启动方式为Explorer插件方式启动的bhoexe.dll文件，识别为其他软件[见下图]
右键查找目标，会自动定位到这个文件所在目录，（微点软件提供这个功能很实用，简化了很多用户的操作）然后在文件上右键属性，发现其数字签名无效[见图]
这时候基本可以确认这个文件非正常文件，对其进行删除处理，通过微点的系统自启动信息功能右键这个文件名，选择删除文件与自启动项。
因为安装微点的时候重启过一次系统，所以为了避免病毒再次修改了mbr，所以这个时候再重复下步骤二，然后立即重启;

重启之后已经没有出现现象1的情况，且ie主页也可以自定义了。

重要提醒：修复硬盘主引导记录存在一定风险，提醒您注意，如果有非常重要的个人数据，建议您先备份到其他移动存储设备上。防范意外情况。

见:
http://bbs.micropoint.com.cn/showthread.asp?tid=76940&pid=541008&page=1&sid=mGgnJ7#pid541008
http://blog.soufun.com/6390570/10938124/articledetail.htm

zhagjun

沙发是自己的

HONEY0806

好，微点就是强大，又学到了一招

pianokjt

顶一下

小天才

不错，学习了

挥泪斩情思

微点现在已经可以直接拦截鬼影了  放心吧

ezpod32432

这个讲的是中了毒再用微点+修复mbr工具自救吧~~
技术贴。。

小茂

支持一下

bluewormlee

这些东西技术性忒强，小白只会点击“扫描”按钮

威尔士王子

不错滴说，感谢分享