在为网友解决www.51115.com劫持的问题中发现,Windows自带的搜索功能应该好好利用。www.51115.com的劫持手段几乎天天在变,病毒文件从最初的%system%\taskmgr.exe、%system%\spoo1sv.exe,变化到如今的%system%\sym1csvc.exe及%system%\smssm.exe……以上几项借助HijackThis很容易识别,但是光清除以上的文件是不够的,利用病毒文件建立的同时性这一弱点(别急着清楚病毒文件或修复),我们可以搜索与病毒文件创建时间相同的可疑文件,果然有所收获:找到了%system%\win.dll和%system%\windll.dll这对“姐妹花”,不能怜香惜玉,进回收站吧!所以,今后在用HijackThis修复相关项目之前,可以先查看病毒文件的创建时间(如果记得中招时间也行),大侠们也应该在回复中加上“请查看创建时间相同的可疑文件并删除”这句。另外查找时不仅可以以创建时间为条件,对于感染了几天但没清除干净的用户,还可以以文件的大小为条件查找。搜索范围可以仅是系统盘,为了搜索方便,请勿将游戏之类装入系统盘。(什么?多管闲事?)
特别提示——www.51115.com劫持花样翻新,请查找以下文件是否存在:
%system%\taskmgr.exe
%system%\spoo1sv.exe
%system%\sym1csvc.exe
%system%\smssm.exe
%system%\win.dll
%system%\windll.dll
%Windows%\N0TEPAD.EXE(请注意中间是阿拉伯数字“0”而不是英文字母“O”)
%system%\N0TEPAD.EXE(请注意中间是阿拉伯数字“0”而不是英文字母“O”)
%system32%\N0TEPAD.EXE(请注意中间是阿拉伯数字“0”而不是英文字母“O”)
%System%\CTFM00N.EXE(请注意中间两个是阿拉伯数字“0”而不是英文字母“O”)
删除掉启动项(如果有的话):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sym1csvc.exe"="%System%\sym1csvc.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFM00N.EXE"="%System%\CTFM00N.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"taskmgr.exe"="%system%\taskmgr.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoo1sv.exe"="%system%\spoo1sv.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"smssm.exe"="%system%\smssm.exe"
最后应该恢复TXT文本文件关联(本文第7楼有介绍)。
也就是说要解决www.51115.com劫持的问题应该参考www.51115.com和QQ尾巴http://www.18hi.com/123.exe两种解决方案(有待进一步证实)。
