[求助]IE给www.93801.com劫持了(问题已解决,大家可以来参考下)-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]IE给www.93801.com劫持了(问题已解决,大家可以来参考下) 0.00雪花

发表于: 2010-12-2 14:22 1639

[旧帖] [求助]IE给www.93801.com劫持了(问题已解决,大家可以来参考下) 0.00雪花

gmgdream

2010-12-2 14:22

1639

IE给www.93801.com劫持了
开始是在桌面生成个IE劫持的图标, 把他干掉, 也把注册表清理了一遍, 并在主页里设好了www.sina.com.cn, 但问题还是没解决, 在C:\Program Files\Internet Explorer 直接运行IE, 先进入www.93801.com马上跳转www.detian.net, 查了下他里面的源码 <iframe width="100%" height="1280" frameborder="0" scrolling="no" marginheight="0" marginwidth="0" src="http://www.46.com/1/index63.htm"></iframe>, 这个是最终的网址。
目前的状况是：打开IE浏览器后, 属性里的主页显示是:www.93801.com, 但注册表:HKEY_CURRENT_USER\Software\Microsof\Internet Explorer\Main 以及HKEY_LOCAL_MACHINE\Software\Microsof\Internet Explorer\Main 打StarPag的键值都是www.sina.com.cn，不知道他是怎么做到这点的。

现在只有先将IE浏览器加参数-nohome 进行阻档进入这个网站

这个问题已解决:木马利用金山漏洞篡改主页. 具体是:金山网盾存在安全漏洞，有大量“金锁”木马利用此漏洞将用户浏览器首页锁定为恶意网址，使用普通方法无法解锁。

[课程]Linux pwn 探索篇！

收藏・0

免费・0

支持

最新回复 (17)
jianghe 雪币： 54 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	jianghe 2 楼你在网上找下专杀的工具。应该会有的 2010-12-2 14:46 0
sltpgm 雪币： 83 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 101 粉丝 0 关注私信	sltpgm 3 楼手动删除你肯定不会了，用金山卫士吧，修复首页效果很好 2010-12-2 14:53 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 4 楼有样本吗？? 2010-12-2 14:58 0
recker 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	recker 5 楼本来我想说下可以用360安全卫士修复并绑定首页。。不过看到楼上有推荐金山卫士的，我果断低调飘走。。 2010-12-2 15:17 0
gmgdream 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 76 粉丝 0 关注私信	gmgdream 6 楼我用的瑞星杀毒，用卡卡扫描没反应，设IE保护也没用。现在就是搞不清楚，为什么修改完主页点了应用，还没有退出IE，再进选项里，又被改成原来的了。用了超级兔子IE管理家也没用；Dr.WEB（听说是俄罗斯军方用的）扫描也没用。 2010-12-2 16:34 0
kingzero 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 1 关注私信	kingzero 7 楼 windows清理助手试试个人感觉这个应付没问题 2010-12-2 16:42 0
recker 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	recker 8 楼嘿嘿。。看你用瑞星我就明白了，瑞星杀毒纯属娱乐。。 2010-12-2 18:50 0
sltpgm 雪币： 83 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 101 粉丝 0 关注私信	sltpgm 9 楼我没用金山，但是经常帮别人修电脑，每次都是360解决不了的东西换金山就好了 2010-12-2 21:36 0
杨氏雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	杨氏 10 楼前段时间也碰到类似这样的事情。我是先把网线先拔了。在注册表里面删网址再杀毒。再用Windows清理助手清除插件就好了。里面一定是有插件的。你就试试吧。 2010-12-2 22:00 0
zhuangbx 雪币： 289 活跃值： (67) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	zhuangbx 11 楼看看有什么可疑进程.BHO之类的 2010-12-2 22:28 0
chiew 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	chiew 12 楼用360修复系统就行了，以前也碰上这种情况现在我都不用IE浏览器了推荐楼主用世界之窗浏览器吧 2010-12-3 02:26 0
reggie 雪币： 695 活跃值： (70) 能力值： ( LV4，RANK：40 ) 在线值：发帖 4 回帖 63 粉丝 0 关注私信	reggie 13 楼虽然我不情愿，但是360还是很擅长搞这个 2010-12-3 09:50 0
newdds 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	newdds 14 楼最好用工具搞定咯~~ 手动容易忽视一些细节，不全面 2010-12-3 10:18 0
gmgdream 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 76 粉丝 0 关注私信	gmgdream 15 楼这个问题终于解决了, 360卫士还是比较专业. 问题出在这: 木马利用金山漏洞篡改主页已发现金山网盾存在安全漏洞，有大量“金锁”木马利用此漏洞将用户浏览器首页锁定为恶意网址，使用普通方法无法解锁。 2010-12-3 16:13 0
gmgdream 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 76 粉丝 0 关注私信	gmgdream 16 楼摘自360安全提示: “由于某上网保护软件带有‘浏览器主页锁定’功能，而它某些版本的程序配置文件没有经过加密，因此被黑客用来制作木马，不光篡改IE首页，还会在桌面和快速启动栏创建大量恶意网址链接。”360安全工程师介绍说，如果电脑出现类似故障，而且能在硬盘中搜到kws.ini、KSWebShield.exe等文件，说明已经感染了“金锁”木马。为此，360安全卫士已紧急升级，可为用户查杀和预防该木马，并修复浏览器首页和桌面图标。话说得很含糊, "某上网保护软件"指的就是金山网盾。我用了三天时间把注册表翻了个底朝天；实时监测IE起动时的调用, 有几万条, 看得我眼都花了，还是没找到蛛丝马迹。也对金山网盾有个怀疑，但当时安装他的是从银行网站下的，觉得应该没问题，谁知道会有这种事发生。 2010-12-3 19:53 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 17 楼修改hosts文件，直接把url干掉 2010-12-3 21:07 0
chiew 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	chiew 18 楼金山和360打架的时候楼主还没睡醒吧我现在发觉360对于木马的定义太敏感了，我用的一个90年代出品的一个行业仪表仪器分析软件，运行时会碰到一些比较敏感的位置就被定义为木马，要知道我用NOD32都几年了都没有发现乱报，360什么会定义成木马呢每次用到这软件就得关掉360 2010-12-3 22:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

gmgdream

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
jianghe 雪币： 54 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	jianghe 2 楼你在网上找下专杀的工具。应该会有的 2010-12-2 14:46 0
sltpgm 雪币： 83 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 101 粉丝 0 关注私信	sltpgm 3 楼手动删除你肯定不会了，用金山卫士吧，修复首页效果很好 2010-12-2 14:53 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 4 楼有样本吗？? 2010-12-2 14:58 0
recker 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	recker 5 楼本来我想说下可以用360安全卫士修复并绑定首页。。不过看到楼上有推荐金山卫士的，我果断低调飘走。。 2010-12-2 15:17 0
gmgdream 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 76 粉丝 0 关注私信	gmgdream 6 楼我用的瑞星杀毒，用卡卡扫描没反应，设IE保护也没用。现在就是搞不清楚，为什么修改完主页点了应用，还没有退出IE，再进选项里，又被改成原来的了。用了超级兔子IE管理家也没用；Dr.WEB（听说是俄罗斯军方用的）扫描也没用。 2010-12-2 16:34 0
kingzero 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 1 关注私信	kingzero 7 楼 windows清理助手试试个人感觉这个应付没问题 2010-12-2 16:42 0
recker 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	recker 8 楼嘿嘿。。看你用瑞星我就明白了，瑞星杀毒纯属娱乐。。 2010-12-2 18:50 0
sltpgm 雪币： 83 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 101 粉丝 0 关注私信	sltpgm 9 楼我没用金山，但是经常帮别人修电脑，每次都是360解决不了的东西换金山就好了 2010-12-2 21:36 0
杨氏雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	杨氏 10 楼前段时间也碰到类似这样的事情。我是先把网线先拔了。在注册表里面删网址再杀毒。再用Windows清理助手清除插件就好了。里面一定是有插件的。你就试试吧。 2010-12-2 22:00 0
zhuangbx 雪币： 289 活跃值： (67) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	zhuangbx 11 楼看看有什么可疑进程.BHO之类的 2010-12-2 22:28 0
chiew 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	chiew 12 楼用360修复系统就行了，以前也碰上这种情况现在我都不用IE浏览器了推荐楼主用世界之窗浏览器吧 2010-12-3 02:26 0
reggie 雪币： 695 活跃值： (70) 能力值： ( LV4，RANK：40 ) 在线值：发帖 4 回帖 63 粉丝 0 关注私信	reggie 13 楼虽然我不情愿，但是360还是很擅长搞这个 2010-12-3 09:50 0
newdds 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	newdds 14 楼最好用工具搞定咯~~ 手动容易忽视一些细节，不全面 2010-12-3 10:18 0
gmgdream 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 76 粉丝 0 关注私信	gmgdream 15 楼这个问题终于解决了, 360卫士还是比较专业. 问题出在这: 木马利用金山漏洞篡改主页已发现金山网盾存在安全漏洞，有大量“金锁”木马利用此漏洞将用户浏览器首页锁定为恶意网址，使用普通方法无法解锁。 2010-12-3 16:13 0
gmgdream 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 76 粉丝 0 关注私信	gmgdream 16 楼摘自360安全提示: “由于某上网保护软件带有‘浏览器主页锁定’功能，而它某些版本的程序配置文件没有经过加密，因此被黑客用来制作木马，不光篡改IE首页，还会在桌面和快速启动栏创建大量恶意网址链接。”360安全工程师介绍说，如果电脑出现类似故障，而且能在硬盘中搜到kws.ini、KSWebShield.exe等文件，说明已经感染了“金锁”木马。为此，360安全卫士已紧急升级，可为用户查杀和预防该木马，并修复浏览器首页和桌面图标。话说得很含糊, "某上网保护软件"指的就是金山网盾。我用了三天时间把注册表翻了个底朝天；实时监测IE起动时的调用, 有几万条, 看得我眼都花了，还是没找到蛛丝马迹。也对金山网盾有个怀疑，但当时安装他的是从银行网站下的，觉得应该没问题，谁知道会有这种事发生。 2010-12-3 19:53 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 17 楼修改hosts文件，直接把url干掉 2010-12-3 21:07 0
chiew 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	chiew 18 楼金山和360打架的时候楼主还没睡醒吧我现在发觉360对于木马的定义太敏感了，我用的一个90年代出品的一个行业仪表仪器分析软件，运行时会碰到一些比较敏感的位置就被定义为木马，要知道我用NOD32都几年了都没有发现乱报，360什么会定义成木马呢每次用到这软件就得关掉360 2010-12-3 22:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复