Loading...

2011年4月3日 星期日

[KillVirus] 最近處理了一支綁架 IE 首頁的東西 (9wanwan)

virus 主要症狀

這支大概是四月份出現的,IE 首頁被固定設為 www.9wanwan.com/cp.html。(<--- 不要點那個連結)

處理過程

因為我實在沒辦法去了解使用者做了哪些事,上了哪個網站,而且這台是 64 位元的 NB,EFix 沒辦法用,基本上是手動處理。

大概發現幾個東西,覺得應該是同時也中了好幾個,最後只有 IE 被綁住而已,有一些更嚴重的症狀還沒出現。 (也可能是作業系統不同)

c:\Program Files\win32Games

裡面的東西連資料夾全部砍了吧,這或許是上一些免費小遊戲的大陸網站被裝的?

裡頭會有一堆東西,比較關鍵的一支是 helpme.vbs,這支 VB Script 會改你的 IE Browser 首頁,判斷 StartPage 為空值時,加入要綁架的首頁。

另外 IE 的捷徑會多出一個 (這個捷徑也要砍),就是先執行這支 helpme.vbs 再呼叫 IE,當然,開機的時候,會有一個名為 helpme 的開機啟動,請你用 msconfig 找到並停用。

c:\Program Files (x86)\源晞辦厒啃僅刲坰

反正是一個應該是簡體字的資料夾,因為這台是 64 位元的 NB,所以我是在另一個 Program Files (x86) 那裡找到的,裡頭有一支 FangBian.exe,也是問題來源,整個資料夾砍了。

c:\Windows\System32\helpme.exe

這支 helpme.exe 砍了

最後把 IE 的元件檢查一下 (管理附加元件)

或者到進階頁籤底下的「重設 Internet Explorer 設定」,把所有的 IE 設定回復原狀比較快,需要的東西再裝。

image

心得後記

我用 Nod32 (0524 的病毒碼) 可以掃到部份,其他是看一些大陸網站介紹什麼金山網盾跟什麼 360 衛士多強多強的,裡頭會提到這一支 IE 綁架的解決方法。

我個人是從來不相信大陸出的防駭軟體,從一些經驗來看,這些東西跟他們的軟體會不會有關係,就由看倌自行判斷,我比較常用的是 Hijackthis 跟 EFix。

真的不放心,重灌或還原還比較快。

其他症狀

從一些大陸網站的文件來看(幾乎都只有大陸網站提到解決方法),包括會在電腦新增幾個桌面圖示,快速啟動列會多一個大陸搜尋網站的圖示,只不過這次拿到的電腦沒有上述兩個症狀,猜是因為系統不同 (這台是 Win7),因為路徑與 XP 不同因此沒有出現。

碎念提醒

沒有什麼絕對安全的作業系統,也沒有無敵的防毒軟體,並且,也許整個電腦使用環境最危險的,就是使用者自己,當你有一些「特殊的需求」,或許就會更容易被入侵拐騙,請多多小心,不明軟體就算是寫說什麼好用又免費的掃木馬防毒軟體,還是確定一下再用會比較保險。

針對假的防毒軟體,你可以使用 Remove Fake antivirus 掃掃看,這支工具不會安裝,點選執行後會進行掃描的動作,可以試試看。