6313网址大全恶意修注册表问题解决 bbs.ikaka.com

临川才子王羊 - 2009-2-15 12:21:00

今年怪事真多！我的xp主页被修改为：http://www.6313.com/，“工具-Internet选项-主页”等将主页手工修改为自己需要的网址成功。但是，点桌面网址链接，依然如故地链接主页：http://www.6313.com/，见鬼一般。
1、注册表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft项目下无子项Internet Explorer\Control Panel ；
2、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main 和HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 手工修改成功；
3、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run 无registry.exe子键；
4、HKEY_LOCAL_MACHINE\Software\Microsoft\Internet ExplorerMain\Default_Page_URL 手工修改成功；
5、[HKEY_CURRENT_USER\Software\Policies\Microsoft项目下无Internet Explorer\Control Panel]
手工增加子项也无效。
请高手指点！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

夲號ヱ被ジ盜 - 2009-2-15 12:26:00

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

里面的
www.6313.com 删除解决
或
开始运行

cmd /c echo 202.108.22.46 www.6313.com >>%systemdrive%\WINDOWS\system32\drivers\etc\hosts

11144 - 2009-2-15 12:34:00

哇简直就是复制hao123的就是改个logo还有自己做广告

临川才子王羊 - 2009-2-15 12:55:00

引用:

原帖由 夲號ヱ被ジ盜 于 2009-2-15 12:26:00 发表
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

里面的
www.6313.com 删除解决
或
开始运行

cmd /c echo 2......

临川才子王羊 - 2009-2-15 12:58:00

注册表中，HKEY_CLASSES_ROOT项目下无CLSID子项。

超级游戏迷 - 2009-2-15 13:09:00

引用:

原帖由 临川才子王羊 于 2009-2-15 12:58:00 发表
注册表中，HKEY_CLASSES_ROOT项目下无CLSID子项。

这是不可能的，好好找找。

别被HKEY_CLASSES_ROOT这个根键下最开始的“.aca” 什么的子项排序晃点了，CLSID子项在后面……:default2:

最硬的石头 - 2009-2-15 13:17:00

你去直接找IE浏览器的原始文件C:\Program Files\Internet Explorer\IEXPLORE.EXE运行看怎样

可能你在桌面打开的那时个被恶搞的IE快捷方式

临川才子王羊 - 2009-2-15 13:22:00

引用:

原帖由 超级游戏迷 于 2009-2-15 13:09:00 发表

引用:

原帖由 临川才子王羊 于 2009-2-15 12:58:00 发表
注册表中，HKEY_CLASSES_ROOT项目下无CLSID子项。

这是不可能的，好好找找。

别被HKEY_CLASSES_ROOT这个根键下最开始的“.aca” 什么的子项排序晃点了，CLSID子项在后面……:defa

临川才子王羊 - 2009-2-15 13:25:00

直接找IE浏览器的原始文件C:\Program Files\Internet Explorer\IEXPLORE.EXE运行,网址进入我设置的正常网站。
那又如何解决？
请指教！

超级游戏迷 - 2009-2-15 13:26:00

晕，你没看到你图中每个子项的名称前面有个点么？昏迷了……:default21:

临川才子王羊 - 2009-2-15 13:30:00

是有一个点，但我不能找到CLSID子项，请教了！
对不起，我这一块不懂！

最硬的石头 - 2009-2-15 13:32:00

这说明主页没被修改，你桌面上的那个IE的快捷方式打开的是某个网站的快捷方式，非IE的

超级游戏迷 - 2009-2-15 13:33:00

最硬的石头 - 2009-2-15 13:35:00

直接将附件导入吧

附件: 主页.rar

临川才子王羊 - 2009-2-15 13:39:00

对不起，没注意CLSID子项前面无点！
我找到了CLSID子项，并作了修改，桌面链接正常了，但桌面左下角快速启动的链接仍没有改正6313链接。
请教！

最硬的石头 - 2009-2-15 13:39:00

再有点的键值很后面，先是.再是a，b，c这里就有你找的clsid了:default3:

夲號ヱ被ジ盜 - 2009-2-15 13:48:00

C:\Program Files\Internet Explorer\iexplore.exe
重新发送到桌面快捷方式

临川才子王羊 - 2009-2-15 13:54:00

我将快速启动栏目中的“链接-属性-目标”项下网址手工修改，成功。
问题得到解决，谢谢！

最硬的石头 - 2009-2-15 13:58:00

快速启动栏上ie图标上右键单击，选属性，把目标改成

"C:\Program Files\Internet Explorer\iexplore.exe" （包括引号）

collinback - 2009-3-18 7:58:00

www.6313.com或www.97tl.cn恶意插件在IE中植入一个叫BlockerClass的插件。
　　临时解决方案：
如果已经感染，可以通过打开任意本地html文件的方式打开IE（这样该病毒不会发作），然后禁用该插件(IE菜单“工具”-“管理插件”...)。
　　彻底清除方法：(仅供参考，后果自负！)
　　1.关闭所有IE窗口。还需要在任务管理器中检查有无残存的IE进程。如果不行就重新启动。
　　2.删除C:\Windows\surhost.dll。注意该文件有隐藏属性。
　　3.删除以下注册表项：
　　[HKEY_CLASSES_ROOT\CLSID\{EBF22F53-896C-48b1-9986-0891F7709EC9}]
　　[HKEY_CLASSES_ROOT\SWIHOST.Blocker]
　　[HKEY_CLASSES_ROOT\SWIHOST.Blocker.1]
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EBF22F53-896C-48b1-9986-0891F7709EC9}]
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SWIHOST.Blocker]
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SWIHOST.Blocker.1]
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{07F17041-CD93-4D39-A2B6-39A49DCF8CF7}]
　　4.正常打开IE，清除IE主页设置

lufay - 2009-3-19 8:21:00

引用:

原帖由 最硬的石头 于 2009-2-15 13:58:00 发表
快速启动栏上ie图标上右键单击，选属性，把目标改成

"C:\Program Files\Internet Explorer\iexplore.exe" （包括引号）

我用这个就解决了~~~啊哈哈哈不知道重启后还会不会变回去不过现在是改好了

lufay - 2009-3-19 8:22:00

引用:

原帖由 最硬的石头 于 2009-2-15 13:35:00 发表
直接将附件导入吧

这个这个用这个直接导入的

瑞星卡卡安全论坛