论坛: 病毒专区 标题: 请问:http://58q.com修改了我的主页,就是改不回来? 复制本贴地址    
作者: song110 [song110]    论坛用户   登录
请问:http://58q.com修改了我的主页,就是改不回来?要如何办呀?急?


地主 发表时间: 04-02-25 15:59

回复: abctm [abctm]   版主   登录
www.20cn.org/~abctm/down/spant.exe
下了 杀毒

B1层 发表时间: 04-02-25 17:46

回复: ghame [ghame]   论坛用户   登录
<BODY id=BASEBody onunload="BASEBody.style.behavior='url(#default#homepage)';if((!(BASEBody.isHomePage('http://www.58q.com/')))&&(!(BASEBody.isHomePage('http://www.58q.com'))))BASEBody.setHomePage('http://www.58q.com/');" bgColor=#ffffff  text=#000000 link=#261cdc vlink="#261cdc" leftMargin=0 topMargin=0 rightMargin=0 bottomMargin=0>
我查过这个网页的源码,以上代码就是要来修改你主页的。当你退出时就生效。
你可以修改注册表的以下键值:
HKEY_LOCAL_MASHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\START PAGE
将它的值改为你要的主页即可。

B2层 发表时间: 04-02-25 21:06

回复: abctm [abctm]   版主   登录
http://www.20cn.net/cgi-bin/club/show.pl?key=cFGwWXkdnaKi&cat=security&forum=virus&page=8&position=1579&id=1072566515

以前有的





这几天一些恶意网站的恶意代码闹得挺凶,像是www.58q.com www.qq230.com 这样欠黑的网站
一打开这些网页就中了恶意脚本,而且一般的IE修复和杀毒软件都不能比较彻底清除

典型症状:

1. IE 首页被改为恶意网站,默认主页,起始页,甚至搜索页全部被更改

2. C盘下生成文件夹:$NtUninstallQxxxxxxx$(x代表数字)
从名字上看企图冒充微软更新补丁的卸载文件夹,并且在Win2000/XP下拥有系统文件级隐藏属性,比较隐蔽。文件夹中包含了恶意脚本文件winsys.vbs、winsys.cer

3. 随机启动项被添加3项:



4. 如用杀毒软件查杀,可以查到名为Harm.Reg.WebImport.g 的病毒,但若是清除不彻底,只是删除了文件夹,开机将会出现提示:



清除方法小结:

1. 删除启动项:

建议通过msconfig 、优化软件禁用或注册表手动删除以上3项启动项

HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run
删除:regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
删除:Sys32,值为:C:\$NtUninstallQxxxxxxx$\WINSYS.vbs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除:Sys32,值为:regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer
删除:internat.exe,值为:internat.exe

2. 删除文件夹:

文件夹选项设置



然后删除整个$NtUninstallQxxxxxxx$ 目录

3. 清理注册表:

记下恶意网站的域名,以它为关键字搜索注册表或用注册表清理工具,因为恶意网站的名字会替换注册表中所有IE 默认起始页、默认搜索页、默认主页等键值。
一旦通过这种方式再次打开恶意网站,以上做的就白费了,所以清理完以前暂时不要打开IE,如需要访问某些网站,可以通过运行输入网址或收藏夹等方式访问。

根据恶意代码的内容,附上被修改的注册表键值,供参考:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURL
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search\SearchAssistant

HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\SearchURL
HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main\Search Page
HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main\Search Bar
HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Search\SearchAssistant

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\First Home Page
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Local Page
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\SearchURL

4. 清理完成后:

建议屏蔽此类网站,具体方法可以搜索以前的讨论,建议试试通过Hosts 屏蔽,嘿嘿

另外对WinXP或安装文字服务的系统,清除恶意代码后,任务栏上的输入法指示器可能消失,无法使用输入法
偶个人试验一下,在开始>运行中输入:ctfmon.exe,启动输入法指示器并加入随机启动组,一般可以解决这个问题,如果问题依旧,请开新帖讨论

补充说明:

系统文件夹(\WINNT或\Windows)下出现的如$NtUninstallQ823980$ 、$NtUninstallQ814033$ 这类文件夹是Windows Update 或安装微软补丁程序留下的卸载信息,用来卸载已安装的补丁,按补丁的编号如Q823980、Q814033 可以在微软的网站查到相应的说明。请注意与恶意代码建立的文件夹区分

如果不打算卸载已经安装的补丁,这些文件夹也是可以安全删除的 











B3层 发表时间: 04-02-25 21:26

回复: ghame [ghame]   论坛用户   登录
请问楼上的,我近几天才帮朋友杀过这个病毒。我删除了winsys.vbs、winsys.cer 两个文件,但是却不能删除$NtUninstallQxxxxxxx$,这个文件夹在Windows和DOS下都是隐藏的,即使重启动进入纯DOS状态用DIR 也不能显示出来。因为这个文件夹里还有子文件夹,所一不能用MD 删除。
请问如何才能彻底删除这个文件夹?

B4层 发表时间: 04-02-25 21:55

回复: abctm [abctm]   版主   登录
我试查看所有文件
然后显示系统文件
用shift+del删除的

B5层 发表时间: 04-02-25 22:13

回复: ghame [ghame]   论坛用户   登录
我已经搞定了,多谢了。

B6层 发表时间: 04-02-25 22:27

回复: song110 [song110]   论坛用户   登录
在这里谢谢大家了!
我已经搞好了
是删除了一些自己看上去不好的!
结果还真行的呀?

B7层 发表时间: 04-02-26 12:04

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号