謂何我電腦每次重新開機~桌面和C槽跟開始捷徑都一直出現假IE捷徑~

MyChat 數位男女

手機版

地圖

簡體

您是第 10998 個閱讀者

可列印版加為IE收藏收藏主題上一主題 | 下一主題

小瞇瞇阿樺

級別: 路人甲

▼

[病毒蠕蟲] 謂何我電腦每次重新開機~桌面和C槽跟開始捷徑都一直出現假IE捷徑~

我每次一開機~會重新開機時桌面和C槽跟[開始]捷徑都會出假IE的捷徑~捷徑的目標是"C:\Program Files\Internet Explorer\iexplore.exe"qq5.com...
每次我都要去搜尋假IE的捷徑~都會有四個~每次殺掉了~然後重新開機又會再出現假IE捷徑，我自己有試過修改機碼如下
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
原本機碼內容有C:\Program Files\Internet Explorer\iexplore.exe"qq5.com...
我把qq5.com...刪掉~但是等下次重開機時又是C:\Program Files\Internet Explorer\iexplore.exe"qq5.com...的內容。
請求各位大大幫我求解。
這是我跑出來的Efix LOG： http://www.sendspace...e/ws3z2u
請求解之。謝謝


x0 [樓主] From：台灣中華電信 \| Posted：2010-01-31 18:01 \|

LostDream

級別: 小人物

▲ ▼

這麼處理一次吧，請依照以下流程操作。

一、請先找出所有偽造的IE圖示，也就是所謂的假捷徑，全數手動刪除過後繼續第二步驟。

二、下載工具Efix：http://sylovanas.myweb.hine...ta/EF55.exe

三、執行Efix，並且確保網路通順；待EF圖形化介面出來後，點選「自訂腳本」。

四、將以下文字腳本「完整複製」貼到EF空白輸入處，後按下「開始」，EF將全自動運行，請遵守程式指示、不要中斷，除非超過60分鐘。
複製程式

MOVE FILE::
C:\WINDOWS\system32\Ndges.exe
C:\WINDOWS\system32\Namipan.dll
C:\WINDOWS\iun6002.exe

del Driver::
Namipan Service

mod reg::
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe"

REBOOT::

五、自動重開機之後檢查看看還有沒有再生？


x0 [1 樓] From：台灣中華電信 \| Posted：2010-01-31 22:00 \|

小瞇瞇阿樺

級別: 路人甲

▲ ▼

嗯嗯~謝謝LostDream大大~重新開機後已經沒有假IE捷徑再出現了。感激不敬


x0 [2 樓] From：台灣中華電信 \| Posted：2010-01-31 23:05 \|

handsome616

級別: 路人甲

▲ ▼

請問這個可以借我轉嗎


x0 [3 樓] From：台灣中華電信 \| Posted：2010-02-09 14:02 \|

LostDream

級別: 小人物

▲ ▼

下面是引用 handsome616 於 2010-02-09 14:02 發表的 :
請問這個可以借我轉嗎

可以是可以，不過應該不太有用。
每個案例都有其特異性，腳本製作是針對個案編寫，所以不是相同案例就可能無效。

我是建議有相同問題的苦主，補充詳細資料並且附上EFix Log，前往各大有反病毒版區的論壇尋求協助。
Yahoo知識家建議先不用考慮，或許跟環境條件有關係，那邊的答案都是複製貼上，通常會花很多時間但是成效不彰…


x0 [4 樓] From：台灣中華電信 \| Posted：2010-02-09 17:11 \|

handsome616

級別: 路人甲

▲ ▼

先感謝再說
不過我蠻在意你的語法是怎麼寫得
看起來不像是C++之類的


x0 [5 樓] From：台灣中華電信 \| Posted：2010-02-09 20:15 \|

LostDream

級別: 小人物

▲ ▼

那並不是什麼語法，也不是什麼程式語言，沒有那麼的了不起。
不過就是軟件作者設計好得腳本參數，每個參數都有相對應的功能，一切都已經由EFix作者所設計好。
我做的只有判讀產生的LOG將問題項目列出，後對應各個參數的功能分類，接下來就全部給程式自己清囉。


x0 [6 樓] From：台灣中華電信 \| Posted：2010-02-10 03:23 \|

handsome616

級別: 路人甲

▲ ▼

!!
作者他有提供腳本參數喔!?
我去看他網站的時候沒有看到~


x0 [7 樓] From：台灣中華電信 \| Posted：2010-02-10 09:05 \|

LostDream

級別: 小人物

▲ ▼

好像是真的沒有，大概是一般使用者並不需要腳本參數、以及怕一般使用者亂搞，所以才沒放出來吧。
常用到的大概是這幾種，我從整合教學文章裡獨立抽出出EFix腳本參數給您參考吧。

MOVE FILE::
檔案基本刪除，刪除失敗會自動提升刪除等級。

Kill File::
使用catchme進行破壞、刪除，是Efix中最強力的刪除指令。

mod reg::
註冊表刪除，有分三種寫法。
1.清除值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp......]
"{ACADABAF-1000-0010-8000-10AA006D2EA4}"=-

2.清除主鍵
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D500885E-...}]

3.修改資料
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000000

4.清空資料
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"gdi++"=""

RESET REG::
恢復註冊表中指定鍵的權限。

del Driver::
刪除服務、驅動，值得注意的是如果拿SREng日誌要執行刪除，名稱得依照此方法輸入，下面舉例
[A A A(顯示名稱) / BBB(服務名稱)][Running/Auto Start]
BBB <-是要輸入服務名稱運行刪除，服務、驅動相同。

List Folder::
資料夾內容查看。

List File::
檔案資訊查看。

clean ADS::
清除目標檔案的NTFS文件流。

CP FILE::
替換檔案用指令，使用方式如下，注意「|」是符號。磁碟機、路徑都可自行更換。
C:\來源檔案、路徑|C:\目標檔案、路徑

REBOOT::
重新啟動系統。


x0 [8 樓] From：台灣中華電信 \| Posted：2010-02-10 21:52 \|

handsome616

級別: 路人甲

▲

感謝熱心提供~~


x0 [9 樓] From：台灣中華電信 \| Posted：2010-02-11 11:20 \|



MyChat 數位男女 » 防毒防駭討論

Powered by PHPWind v1.3.6 Copyright © 2003-04 PHPWind	Processed in 0.057610 second(s),query:16 Gzip disabled 本站由瀛睿律師事務所擔任常年法律顧問 \| 免責聲明 \| 本網站已依台灣網站內容分級規定處理 \| 連絡我們 \| 訪客留言