瑞星卡卡安全论坛

最近自己和身边朋友都分别因为聊天或浏览网页时，被引导点击某个网址，知情或不知情的下载了某个小程序后，导致IE主页被强迫连接到不同网站。在上论坛寻求帮助的时，发现还有很多朋友遇到此问题，虽然起因和连接网站不同，但现象和手法近似。所以总结了一套方法，和大家一起研究，希望不在受这种恶意程序骚扰！


第一  右键点击IE浏览器，打开属性检查internet选项设置 主页 项是否被修改，如果是请改为空白页，并清空IE的临时文件夹。

第二  升级 瑞星杀毒软件 至最新版，查杀内存中是否有病毒运行（只查杀内存即可）。

第三  在开始菜单中的 运行 项中输入msconfig命令调出 系统配置实用程序 ，检查 启动 项（2000系统可以从XP系统拷贝MSCONFIG.EXE使用，也可以使用第三方软件查看，如WINDOWS优化大师）。记录每个不明启动项的文件名及所在路径，并取消这些自启动项。

第四  CTRL+ALT+DEL 打开 任务管理器 ，检查 进程 中是否有和启动项中同名的的程序在运行，尝试结束该进程！（注意，该名称很可能与某些系统程序同名，即恶意攻击程序伪装成系统进程运行。也许会有两个同名进程存在，这很可能就是你要找的凶手。）   
    附：已知伪装进程
    英文文件名 taskmgr.exe    中文名 任务管理器 
    现象：两个同名进程同时运行，基本无法分辨。但结束正确进程会关闭任务管理器，而结束假冒进程则可暂时解决IE自动连接问题！

第五 按照在启动项里所找到的文件路径，查找你刚刚你所结束的可以进程的文件。打开我的电脑，在窗口上方菜单中依次打开 工具——文件夹选项——查看，点选 显示所有文件和文件夹 项，同时取消 隐藏受保护的操作系统文件 前的对勾，以便完全检查所有文件。（注意，已知恶意程序均为深度隐藏，98系统下需打开显示隐藏文件功能，2000、XP系统下必须同时取消隐藏受保护的操作系统文件功能）

第六 找到目标文件后，请右键该文件查看属性。注意其创建时间和修改时间，多数病毒文件这两个时间都会一致或相差较小，这个时间就是你中招的时间。还有，请将查看设置为 详细信息 检查是否在该文件夹下还有同时间创建的文件，病毒有可能伪装成影音或其他格式的文件，不要被它迷惑更不要点击运行它。马上原地将它们压缩，改为其他名称，这样以来可以解除威胁，二来可以防止误删除系统文件。（如果提示你该程序正在运行，你可以重起机器后连续按F8键进入安全模式，然后压缩）当然，如果你可以确认是病毒，最好直接删除~

第七 使用开始菜单中的 搜索 功能在硬盘上完全查找你发现的可以文件，看是否在其他位置还有该文件副本一并删除。（笔者所遭遇的恶意程序就是在伪装成 任务管理器 的同时又伪装成notepad.exe记事本程序，并使得所有记事本文件都会通过它打开，也就是说你打开某个记事本文件的同时恶意程序会再度运行。）另外，请手动检查windows文件夹下是否存留同名病毒文件，还有windows下的system和system32文件夹也要仔细检查，笔者发现最近的病毒都将自身副本加入了上述三个文件夹中，如果清楚不干净很可能死灰复燃！

第八 重新启动你的电脑，连线上网打开IE，看看是否已经恢复正常。如果不行请再次按上述方法更详细的分析一下，看看是否有遗漏。

第九 问题解决不要高兴的太早，这种恶意程序引导的网站很有可能带有病毒会木马程序。请将杀毒软件升级至最新版本进入安全模式完全查杀一遍，保证安全！

以上是本人根据自己的实际情况所总结的经验，望能给同样问题的以帮助。另外，还是提醒大家不要被好奇心驱使，去点击陌生网址或接收不明文件~

转贴请注明来自瑞星反浏览器劫持论坛！
感谢魔法学徒 电脑+足球 endurer 风之咏者 刺客刺客
五位朋友给予的帮助和指点~

希望我这只老菜鸟能给大家一点帮助~~~~~~~~~~~~~~~
该帖于【2004-10-12 23:58:55】被【taikey】修改

该帖于【2004-10-14 12:25:00】被【taikey】修改

【回复“lz6868lz”的帖子】你可能是中了ＱＱ爱虫病毒．不尽会让你禁用任务管理器．在ＱＱ聊天的时候也会自动给好友发送病毒文件．去这个网站下载专杀工具吧．http://www.antion.microtwo.com/
记住用的时候要在安全模式下．断网．关闭系统还原功能．把病毒库更新一下．

【回复“taikey”的帖子】
常常一个网页自动跳到另一个不好的网站去，且每次都会产生两个文件在桌面上，分别是chendat.dat和tcgg.txt
我用瑞星查毒也没查出来，搜索那两个文件能搜到十多个，把它们全删了，可不久又出现了，烦得很

我的电脑一打开就会有http://marksixb.com/这个令人恶心的网站，将其关闭之后，只要一上网它又来了。我请教大家！帮帮我。

【回复“菜鸟的老公”的帖子】
这个cnsmin.dll 是在 c:\windows\downlo~1里吗？

这应该是3721网络实名的文件，请重装3721网络实名或者彻底清除它。

【回复“幽侠”的帖子】

》》常常一个网页自动跳到另一个不好的网站去
楼主是否使用了未注册的陈桥智能五笔输入法？


》》且每次都会产生两个文件在桌面上，分别是chendat.dat和tcgg.txt
这两个文件一般是陈桥智能五笔输入法产生的。

【回复“小久”的帖子】

请下载并使用HijackThis1.99.1扫描log，另开新主题贴，把LOG贴上来，方便大家分析。

有关操作方法可参考：
【推荐】反浏览器劫持的一些常用操作
http://forum.ikaka.com/topic.asp?board=67&artid=6490491

欢迎原创

我的机子常常被改了IE,重启时能正常上网,约半小时后就不能正常上网了,哪个大侠给个帮助!
谢谢!
也可以加我的QQ250971060或者写信到我的邮箱zzqahfy@163.com

【回复“zzqah”的帖子】

你的windows系统打全关键更新和补丁了吗？

只是照搬吧，这个我已经在“天下论坛”里面写的很清楚了，
断章取义了一个小段，还算浓缩了一点吧。呵呵。

清空C:\WINDOWS\system32\drivers\etc下HOSTS表

我的系统是XP，最近几天开机时出现“某程序将从www.vaec.gov.vn获取信息”的对话框，要求上网。幸好我的上网拔号是手动的。我怀疑是中了病毒或木马，用瑞星查不出来，用优化大师将可疑的开机自动执行程序全关了，只留必要的几个，可还是回出现这个问题。请教各们高手应该怎么解决？谢谢。

很实用,收了

【回复“故园秋色”的帖子】
www.vaec.gov.vn是：

VAEC - Vietnam Atomic Energy Commission
Purpose is to formulate directions, strategies and planning for research and
development and to conduct work on nuclear reactor technology and fuel. News,
libraries, training and international relations.

出现这个问题前楼主安装过什么软件吗？
如果安装了，请卸戴看看。


如果问题还不能解决，请下载并使用HijackThis1.99.1扫描log，另开新贴，把LOG贴上来，方便大家分析。

有关操作方法可参考：
【推荐】反浏览器劫持的一些常用操作
http://forum.ikaka.com/topic.asp?board=67&artid=6490491

各位大师大家好：我在不小心点击一个网站后IE就不动了任务栏和工具栏全消失。只能重新启动。启动后不动任何键会自动连接这个网站，无法操作。怎么办啊？

这帖子好

很不错~~~
谢谢~

偶的IE前些天给改了刚好试一下

我是个菜鸟，根据所说的查看了“启动项”和“任务管理器”的“进程”里面有很多同名程序在运行，不知道哪个程序没用，请帮助分析以下.不会几个图一起发，还是一个一个的发吧。[img][/img]

附件: 2351732005724101440.JPG

图2

附件: 2351732005724101618.JPG

图3

附件: 2351732005724101725.JPG

图4

附件: 2351732005724102212.JPG

好啊

太好了

请问：我的机子最近不停的弹出正在浏览的网页，用瑞星和反间谍都查不出来，该怎么办呢？

受益非浅，照单全收了，谢谢了

谢谢啦~~~~

该用户帖子内容已被屏蔽

【回复“hotdog0”的帖子】
请注册或卸载万能五笔就可以了...