见近日诸多朋友们出现了“互联星空劫持”，特发一贴，希望朋友们把诸如此类的问题集合在一帖里汇总一下。

引用一位朋友的帖：

引用:

我的电脑主页设的是空白主页，每次开机接通ADSL时，初次起动IE时，无论输入地址拦下任何网址，均出现 bf.welcome.vnet.cn/（中文名互联星空）网址内容，等关掉该页后，才能正常使用显示输入网址的内容，该网页只在第一次接通adsl时，起作用，接通后第二次打开IE时就没事了，好象是绑定了电信的adsl起动项，或是IE的某些项，这个网站的IP地址来自天津电信与济南电信和广州电信，网站显示为雅虎助手认证的安全网站（下有绿色小钩），它可能是一种新病毒，我开机启动TVKOO网络电视时，TVKOO的窗口界面居然也被它给改了.....，一种新病毒出现啦！！！！！请网络管理部门快关掉那个网站.............

个人意见：应该又是一起“电信自我劫持”。

本帖不支持灌水，谢谢合作！

我觉得也像，有一次我让受害者重装系统，让他什么软件也别装，装好后，直接用IE上网。结果这个网站又出来了。

引用:

【我无邪的贴子】我觉得也像，有一次我让受害者重装系统，让他什么软件也别装，装好后，直接用IE上网。结果这个网站又出来了。 ...........................

电信经常搞这样的问题

高手来解决哈 可恶的bf.welcome.vnet.cn/（互联星空）
2006-05-01,10:15:36

System Repair Engineer 2.0.12.350 (2.0 RC 1)
    Windows XP Professional Service Pack 2 - 管理权限用户 - 完整功能

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  <ctfmon.exe><C:\WINDOWS\system32\CTFMON.EXE>
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <load><>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <shell><Explorer.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <Userinit><C:\WINDOWS\system32\userinit.exe,>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <AppInit_DLLs><>

==================================
启动文件夹
服务
[NVIDIA Display Driver Service / NVSvc]
  <C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>

==================================
浏览器加载项
[FlashGet]
  {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} <D:\PROGRA~1\FLASHGET\flashget.exe, Amaze Soft>
[Messenger]
  {FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation>
[AxInputControl Class]
  {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} <C:\WINDOWS\DOWNLO~1\INPUTC~1.DLL, >
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash8b.ocx, Macromedia, Inc.>
[Microsoft Web 浏览器]
  {8856F961-340A-11D0-A96B-00C04FD705A2} <C:\WINDOWS\system32\shdocvw.dll, Microsoft Corporation>
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash8b.ocx, Macromedia, Inc.>
[使用网际快车下载]
  <D:\Program Files\FLASHGET\jc_link.htm, N/A>
[使用网际快车下载全部链接]
  <D:\Program Files\FLASHGET\jc_all.htm, N/A>

==================================
正在运行的进程
[PID: 396][\SystemRoot\System32\smss.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 452][\??\C:\WINDOWS\system32\csrss.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 476][\??\C:\WINDOWS\system32\winlogon.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 520][C:\WINDOWS\system32\services.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 532][C:\WINDOWS\system32\lsass.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 672][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 756][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 808][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 856][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 928][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1080][C:\WINDOWS\Explorer.EXE]  <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
    [D:\Program Files\WinRAR\rarext.dll]  <N/A><N/A>
    [D:\PROGRA~1\ATS2\contmenu.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\nvshell.dll]  <N/A><N/A>
[PID: 1232][C:\WINDOWS\System32\alg.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1272][C:\WINDOWS\system32\wdfmgr.exe]  <Microsoft Corporation><5.2.3790.1230 built by: DNSRV(bld4act)>
[PID: 1480][C:\WINDOWS\system32\ctfmon.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 436][D:\PROGRA~1\SKYNET\FIREWALL\PFW.exe]  <广州众达天网技术有限公司><2.7.7.1004>
    [D:\PROGRA~1\SKYNET\FIREWALL\SKYMISC.DLL]  <N/A><N/A>
    [D:\PROGRA~1\SKYNET\FIREWALL\COMPRESSWRAP.DLL]  <N/A><N/A>
[PID: 1948][D:\Program Files\Maxthon\Maxthon.exe]  <Maxthon International Ltd.><1, 5, 2, 21>
    [D:\Program Files\Maxthon\maxzlib.dll]  < ><1, 0, 0, 2>
    [D:\Program Files\Maxthon\Services\RealTime\real_time.dll]  <><1, 0, 0, 1>
    [C:\WINDOWS\system32\Macromed\Flash\Flash8b.ocx]  <Macromedia, Inc.><8,0,24,0>
[PID: 1868][F:\省大富翁\SREng.exe]  <Smallfrogs Studio><2.0.12.350>

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者

==================================

我个人不这样认为，因为我已经多次致电中国电信10000号（河北电信），话务员说是病毒，建议用户不要被这个网站骗互联星空密码，并提示要重装电脑系统，如果真是他们公司的网站，我想话务员是不会这样果断下结论的？？？？？

看一下注册表.

【回复“zsl568”的帖子】
删除这个浏览器加载项
[AxInputControl Class]
{73E4740C-08EB-4133-896B-8D0A7C9EE3CD} <C:\WINDOWS\DOWNLO~1\INPUTC~1.DLL, >

引用:

【hsdmsx的贴子】我个人不这样认为，因为我已经多次致电中国电信10000号（河北电信），话务员说是病毒，建议用户不要被这个网站骗互联星空密码，并提示要重装电脑系统，如果真是他们公司的网站，我想话务员是不会这样果断下结论的？？？？？ ...........................

如果话务员的话也可以相信的话，那一年之内，您的机器大概可以重做系统N回……

我想问一下，他去过那网站吗？他怎么知道那个网站骗密码？何以断定是病毒？不知道他使用的是哪款杀毒软件查出来的？或自己发现的？
ps:话务员越来越会推脱责任了。

我的也有这样的情况！用HijackThis_815汉化版 V1.99.1扫描日志，也没有发现有什么异常的！！！该怎么解决？？？？

那个网站的IP来自天津电信，有天津电信公司的吗，站出来说一下是不是你们公司的，让大家弄个明白，如果大家都认为那是病毒的话，对你们公司的业务发展那将是一重大损失？？？？？？