因为一直都没有用IE浏览器,所以主页被改了都不知道,直到今天同事拿我的优盘来说上面有病毒,我才知道我的机器中毒了.不过这病毒一定伪装的很好,因为我的卡巴从来都没有报过警(2天前杀毒时到是杀掉了个木马,当时也没多想,早知道就应该留下副本好好研究下.顺道说下这次立功的杀毒软件竟然是瑞星,虽然不喜欢它,不过在杀国内的木马上,它的反映速度倒是不慢.同样的木马克星没有报警.国产的杀毒软件我就不说什么了).

     说下这个病毒.因为手头没有副本了,所以也没有办法研究了,只能从症状说起了.打开IE后,会在地址栏里出现一堆乱码,然后被浏览器翻译成Unidode编码.不管你搜索的什么最后都会定位在abc.256.com这个网站.更改Internet设置里的默认主页为blank后,关闭浏览器,再打开还是如此.用Windows优化大师更改IE设置并且把主页锁定为blank后,重启IE还是如此.靠,打开优化大师后发现灰色不可更改的主页竟然又变回那些乱码了.既然这样不行,那看看注册表里有什么变化.从注册表中搜索abc.265.com没有搜索到!!也是,它并不是一开IE就打开265这个网站,中间有个跳转的过程.仔细检查HKLM和HKCU下有关IE的设置都没有什么不正常的.包括URLSearchHooks都是默认的,难道现在这些小破网站都有这么厉害了??我不信.

     上网仔细的搜了下,发现和我一样症状的人还真不少.有个伙计还到北京的那个什么不良软件举报的地方把这个网站给举报了.呵呵.不过大家好像都没有什么好的解决办法.有个伙计提出的解决办法是更改host表.这个办法在我看来是不得已的办法.因为host表这么个改法会使它越来越大,最终会有什么后果我到是不清楚.反正微软的东西你别让它不正常的就对了.发现大家对HijackThis这个软件赞不决口,都说要用它来扫描系统,以发现什么暗藏的东西.我就下了个,然后扫描了下系统.看看我扫描的结果.

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      Benny 13:53:26, 日期 2005-11-2
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\ZTE MC315 无线网卡\ZTE MC315.exe
D:\Program Files\Maxthon\Maxthon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\MSNMES~1\msnmsgr.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Program Files\FlashGet\flashget.exe
F:\My Soft\hijackthis11.99.1_2\hijackthis1.99.1汉化第二版(7月16日).exe
D:\Program Files\HijackThis\HijackThis1991汉化版\HijackThis1991zww.exe

O2 – BHO: AcroIEHlprObj Class – {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} – D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 – BHO: (no name) – {A5366673-E8CA-11D3-9CD9-0090271D075B} – (no file)
O2 – BHO: AcroIEToolbarHelper Class – {AE7CD045-E861-484f-8273-0445EE161910} – D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 – IE工具栏增项: Adobe PDF – {47833539-D0C5-4125-9FA8-0819E2EAAC93} – D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 – 启动项HKLM\\Run: [KAVPersonal50] "d:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 – 启动项HKLM\\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 – 启动项HKLM\\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 – HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 – IE右键菜单中的新增项目: 使用网际快车下载 – D:\Program Files\FlashGet\jc_link.htm
O8 – IE右键菜单中的新增项目: 使用网际快车下载全部链接 – D:\Program Files\FlashGet\jc_all.htm
O8 – IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) – res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 – 浏览器额外的按钮: kele8 – {84920E5F-3788-49cd-A274-E365578DF174} – http://www.kele8.com/ (file missing)
O9 – 浏览器额外的“工具”菜单项: kele8 – {84920E5F-3788-49cd-A274-E365578DF174} – http://www.kele8.com/ (file missing)
O9 – 浏览器额外的按钮: 信息检索 – {92780B25-18CC-41C8-B9BE-3C9C571A8263} – D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O14 – IERESET.INF: START_PAGE_URL=about:blank
O16 – DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) – http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127047748669
O17 – HKLM\System\CCS\Services\Tcpip\..\{874803E5-6A72-4D10-9E1C-10C4AC5044E3}: NameServer = 192.168.0.1,202.102.128.68
O17 – HKLM\System\CCS\Services\Tcpip\..\{FF833534-7A6B-4132-B2C6-3CE303511EF4}: NameServer = 211.97.168.129 220.192.8.58
O18 – 列举现有的协议: msnim – {828030A1-22C1-4009-854F-8E305202313F} – "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 – NT 服务: Crypkey License – Kenonic Controls Ltd. – C:\WINDOWS\SYSTEM32\crypserv.exe
O23 – NT 服务: kavsvc – Kaspersky Lab – d:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 – NT 服务: StarWind iSCSI Service (StarWindService) – Rocket Division Software – D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

      没有什么不正常的啊.或者说没有我觉得什么不正常的.那到底是什么原因导致这个265这么个耍流氓呢??肯定是软件上的原因.曾经想到了抓个包看看,可这是我的笔记本(不知道大家有没有发现这台机器是笔记本呢,hoho~~),没装这些东西.怎么办?只好自己分析啦!!

    首先从kele8开始吧(贼讨厌这些在程序里做广告的).在IE里把kele禁了,然后把主页更改回blank,关闭再打开.嘿嘿,没有出现265啊.那好,随便输入个长字符串,好家伙,流氓265又窜回来了.TMD.不过现在它好像不能把主页改回它那个流氓网站了,只是每次在搜索的时候把结果转到265上.难道是kele8的事吗?不能确定这个.但好像别的东西都不可能干这种事啊!用hijackthis把有关kele8的东西全都搞掉,现在看看IE什么样子了.

      在地址栏中随便输入一个长字符串,搜索结果出来了,不过怎么是3721呢??难道还能转到3721上?不会吧?再试了一遍,还是这个样子.在状态栏中显示的是从msn转的.就去msn测试下.到msn网站上看看,的确是转到3721网站上的.

         本以为这样就好了,结果发现不是这样的.在测试了几次后,发现浏览器又回到以前的情况了.只要输入不存在的网站,就会转到abc.265.com这个网站.我靠,我没有治了.竟然还有如此垃圾的网站.以前知道hao123是很垃圾,什么时候又跑出来个265??想想在删除了kele8的IE插件的时候,浏览器曾经暂时的恢复了正常,会不会是kele8的事情呢?可是没有发现kele8的反安装程序.用超级兔子和优化大师也无法卸载啊.本来想用TotalCMD解压kele8的安装程序,却发现没有办法实现.用Winrar解压只解压出一个fc2boot.dll文件.看名字是和启动有关的.于是用regsvr32 /u把它给卸载了,可是看样子这个文件和265网站的出现没什么关系.重新启动机器后浏览器还是会把结果转向265.在注册表里搜索kele8的相关,就找到一个,删除后再手动删除它所有的文件,还是没有结果!!

     靠,这个网站肯定是注册了什么组件,不然它哪有那么大的本事让Microsoft把自己的搜索页面转到它265上!垃圾啊!在网上接着找,看看大家都有什么好的办法.在Pchome上看见一篇文章是手动清除灰鸽子的,感觉自己好像看见有这么个*_hook.dll的文件,不会是中了这个吧??赶紧在自己的机器上搜索了半天,没有!不过这篇文章提到一个很好的工具:Icesword.下了一个,看看效果.还是没有提示有什么奇怪的东西.自己找了半天一无所获啊!!在这期间到是找到一个折中的办法,就是可以在Internet选项里把从地址栏搜索这个选项关闭了.这样就可以避免浏览器自动跳转到265了.这个办法比更改host表简单,不过不能自动搜索好像太郁闷了吧?而且这都是治标不治本的办法啊!!想想去265的网站把它的首页给下下来,然后打开看看,没有什么奇怪的东西,顶多就是下个什么它的插件啊.

一直都没有安装过这个插件.不过别的软件安装过没有我到不能肯定,很多垃圾软件从来都不提示就给安装上了.会不会是在浏览器转向的途中被劫持了呢?那就要抓个包看看了.没办法.下了个影音嗅探,不过好像不管用啊.原来是影音嗅探不能发现我的无线上网卡,靠,没有办法抓包.算了吧,再找别的办法吧.我可以肯定是从注册表里更改了什么东西,但是我不知道什么时候浏览器变成这个样子,也许是我上次备份的时候浏览器就已经是这样了.而且我也有随意恢复以前的备份导致系统挂掉的经验,想想还是自己去注册表里看看吧.不过这次还是没什么收获.郁闷2个字啊.如果我知道是什么软件更改我的系统就好了.这样只要我重新安装这个软件,然后在安装过程中记录下它做过什么修改就可以了.我想它自己的浏览器插件应该就可以了吧.那用什么监视呢?印象中好像有个什么完美卸载.以前从来都没有用过,这次就试验一下.下载了最新的完美卸载,打开它的安装监视然后开始安装265的插件.

     等到安装完了,选择软件卸载就是了.它记录的安装情况到还真是详细.选择卸载就是了,不过要用它自己的卸载,这样好像删的比较干净(后来证实了的确是挺干净).做完这些后,再打开浏览器测试,发现没有那个265了,真是爽啊!!!!竟然搞定了!!!看来真是这个什么垃圾软件更改注册表中的什么东西才导致浏览器将搜索结果页面转到265上.不过可惜我没有保留265插件的安装记录,这样就可以知道它的CSID了,也好我手动修改,不让它以后在装到我的机器上!

     这次为了解决这个浏览器被劫持的问题,我整整想了2天,在此之前从来都没有遇到过这样的问题.一是它的劫持和普通的更改浏览器主页不一样,它是在搜索不存在的页面时才会转向.二是没有在启动项或者是服务中加什么东西,用正常的手段都没有办法查出到底是什么地方出错了.我前面虽说瑞星有报警,可那个病毒有可能不是我的机器上的,我的卡巴报警的软件是setuprun.exe和ntsysupdate.exe,不知道是什么软件的.在没有解决这个265之前,我用卡巴扫了好几遍,都没有报警.看来它也没有更改什么系统中重要的东西,或者把自己的线程插入到别的进程中去,所以基本上杀毒软件都不报警.最后的解决办法这么简单,其实很大程度上归于Windows对于注册表的依赖.呵呵,当然,解决问题还是要靠自己去分析问题,其实,玩电脑不就是玩软件吗?

  如果大家也有和我同样的问题,但是用我的方法不能解决,请和我联系.如果转载,请不要把我的名字换成你的,不懂装懂可是不好的!



11条评论

  1. 晕,http://abc.265.com/ 友情提示:您到达本站,是因为您所输入的网址不存在或当前不可用!

  2. 265不屑这么做

  3. 现在的265为了拿流量什么都做得出来

  4. 265 这个畜生,流氓,王八蛋,

    我的浏览器也被搞了。

    输入任何非网址就会出现这个网址,提示网址不可用。

    让全世界的男人操tm去吧。

  5. 现在写程序的人写得越来越好了啊~~感觉这样

  6. 265.com,我干他娘,祖宗十八代,

    弄了我两天也没把他给卸了,真是气死我了。

    请问楼主,我找不到下载265.com插件的地方,来反安装啊。

    真晕!

  7. 真不好意思,就算你卸载了插件也没有办法完全去除265的,因为这是和你的DNS有关.这么说吧,265和你的ISP有协议,在它的DNS里把指向auto.search.msn.com的IP指向了abc.265.com.所以就算你重新格式化了系统还是这样,如果想解决这个问题,要么在你的host表里重新标示search.msn.com这个网站的IP,要么就不要用IE,换maxthon吧,或者firefox.

  8. 大家可以使用这个方法试一下!

    方法1 : 在IE的菜单中选择"工具"-"Internet选项"-"高级"-"从地址栏中搜索"选择其子项目"不从地址栏中搜索" 即关闭自动搜索功能.以后输入不存在的域名后,会直接出现正常的“找不到服务器或DNS错误”页面。

    方法2 :

    用记事本打开SystemRoot%\system32\drivers\etc(作者的地址就是C:\winnt\system32\system32\drivers\etc)下的hosts文件,最后面一行增加

    127.0.0.1 auto.search.msn.com

    如果你对那个站感到厌烦,也可以再增加一行进行屏蔽

    127.0.0.1 abc.265.com

    最好安装ms antispyware。

    最后,操你大爷的265.com!

  9. abc.265.com,默认首页,我终于把你赶走了!!

    我终于把它解决了啊,我网上找了好多资料啊,它的网站上有个安装程序,估计市病毒啊,

    前面反复修改都没有用旧不说了啊 连修改 hosts文件也没有用啊,

    默认首页还市 sw.265.com ,后来我用 windows修改大师,扫描注册表,然后用 系统医生修复旧好了,

    我估计市这样啊,它把注册表故意 弄错,然后打开 ie 时候的,出错,就用msn.com 的搜索, 然后 msn.com d的搜索再指向265

    httP://www.sxsrc.com

  10. 看看c:\winnt 下有没有wc98pp.dll

    删除!不放心可以先移动到别处:)

发表评论

评论也有版权!