fzzfzz - 2010-4-10 20:21:00
下载一个软件时,被欺骗的“下载”标志欺骗了。粗心大意下,中了2212.net的招。现象是:1.
桌面上出现了 Intenet Exploer 的快捷键。 没有细看,运行后,进入www.2212..net 页面。发现这个图标并不是正常的 Internet Explorer.,两个英文单词中各 少一个r 。2.
非法的Intenet Exploer图标可以删除,3.
Quick Launch文件夹里也有这个Intenet Exploer,也能删除。4.
中招后,桌面上的正常的Internet Explorer被删除。5.
找回正常的Internet Explorer,后,正常的Internet Explorer能正常工作。6.
检查时,发现 C:\program files\Internet Explorer 中的iexplore.exe ( IE 7.0.5730.13) 的哈希值和另2台未中招的机器的iexplore.exe 的哈希值不同( IE 7.0.5730.13)。.7.
注册表中没有找到有和非法的Intenet Exploer有关的项。8.
桌面上的Intenet Exploer 属性是 快捷方式,后缀是 .ink
它是一个脚本,用编辑打开,内容为:on Error Resume Nextp = WScript.arguments.Item(0)if p = "" then p = "http://www.2212.net/"set WSHShell = WScript.CreateObject("WScript.Shell")strWinDir = WSHShell.ExpandEnvironmentStrings("%ProgramFiles%")DefaultIE = strWinDir&"\Internet Explorer\iexplore.exe"它WSHShell.run Chr(34)& DefaultIE & Chr(34)& p, , True==============1. 用桌面搜索,找出所有的非法Intenet Exploer,全部删除。从别的机器拷贝正常的iexplore.exe到 C:\program files\Internet Explorer。把正常的Internet Explorer拉回到桌面,对C盘杀毒,重启动,无效,回复到上述中毒的情况。2. 使用本版提供的FixIE_Plus.exe和 SmtDel.exe 也无效。===============用本版提供的2个软件扫描后的日志:用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)附件:
2个扫描日志.rar
fzzfzz - 2010-4-10 20:23:00
请各位版主和大虾多多关注,谢谢!
辛达星郁 - 2010-4-10 20:27:00
SREngLOG.log 这个日志没有见什么异常。
天月来了 - 2010-4-10 20:35:00
去我签名处的工具贴内找费尔删除工具,抑制再生删除下面两文件即可
c:\windows\system32\helpme.ink
c:\documents and settings\all users\「开始」菜单\程序\启动\helpme.ink
fzzfzz - 2010-4-10 20:58:00
天月来了版主 的意见是正解。
目前问题已经解决。
谢谢!
PS.
系统中只有c:\windows\system32\helpme.ink 一项
fzzfzz - 2010-4-10 21:02:00
另外,想请教一下,这个恶意代码是通过什么途径再生的?
和主帖上贴出的那个脚本有关系吗?
谢谢!
fzzfzz - 2010-4-10 21:15:00
也谢谢 辛达星郁 的帮助,
辛达星郁 仔细查看了我上传的两个日志。花费了宝贵的时间。
谢谢!
PS.
在查找问题的过程中,在不同的位置保存了多个 Intenet Explore 的副本(有脚本的那个文件),有趣的是,无论在它们的哪个中,把其中的
www.2212.net 改成其他地址,比如
www.baidu.com后,所有的副本都会自动做出相同的改变,点击后都会去访问修改后的地址。
天月来了 - 2010-4-10 21:26:00
日志显示下面项异常:
[键]HKLM\SYSTEM\CURRENTCONTROLSET\CONTROL\SESSION MANAGER
[值]PENDINGFILERENAMEOPERATIONS
[类型]REG_MULTI_SZ
[内容]\??\c:\windows\system32\helpme.ink
\??\c:\documents and settings\all users\「开始」菜单\程序\启动\helpme.ink
此注册表路径下是系统自身的延时删除重命名的项目
这玩意在第一次运行后即退出系统,并删除自身,然后将注入系统目录内的c:\windows\system32\helpme.ink在延时重命名那注册改名至c:\documents and settings\all users\「开始」菜单\程序\启动\helpme.ink
这样你每次开机启动系统时,系统将把c:\windows\system32\helpme.ink文件在延时重命名那改名至c:\documents and settings\all users\「开始」菜单\程序\启动\helpme.ink启动,此文件启动后做完所有恶搞的事以后,继续创建系统目录内那文件并继续向注册表内写入那个重命名过程,便于下次开机自启动。期间最重要的是会删除启动文件夹内的自身,所以后来不能查看到它。
一般工具或软件不查看那个注册表位置,所以不容易折腾
我那工具添加了那注册表位置的值的读取,所以能查看到
目前恶搞首页以及浏览器的手段很多,我个人已经无法快速跟踪添加新的那些恶搞行为了。无奈呢。你是运气好而已。
fzzfzz - 2010-4-10 21:54:00
非常感谢版主的详细解释。学习了。
谢谢!
fzzfzz - 2010-4-11 9:33:00
清理工作
删除全部有关联的 .vbs 和 .ink文件, 删除 win32games 文件夹。
在注册表中删除 相关的键值。
快乐未来雨 - 2010-4-11 9:35:00
~~记得这个好象能用金山急救箱处理~~
最怕有毒 - 2010-5-16 4:03:00
我是误装了一个win32games的小软件IE被2212劫持,用windows优化大师卸载该软件后,删除SYSTEM32目录下的SYSURL.DLL和SYSPOWERUES.DLL找到INTENET EXPLOER.LNK删掉问题解决,并没有出现加载SYSURL.DLL失败的问题
© 2000 - 2025 Rising Corp. Ltd.