谓何我电脑每次重新开机~桌面和C槽跟开始捷径都一直出现假IE捷径~

MyChat 数位男女

手机版

地图

繁体

您是第 10996 个阅读者

可列印版加为IE收藏收藏主题上一主题 | 下一主题

小眯眯阿桦

级别: 路人甲

▼

[病毒蠕虫] 谓何我电脑每次重新开机~桌面和C槽跟开始捷径都一直出现假IE捷径~

我每次一开机~会重新开机时桌面和C槽跟[开始]捷径都会出假IE的捷径~捷径的目标是"C:\Program Files\Internet Explorer\iexplore.exe"qq5.com...
每次我都要去搜寻假IE的捷径~都会有四个~每次杀掉了~然后重新开机又会再出现假IE捷径，我自己有试过修改机码如下
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
原本机码内容有C:\Program Files\Internet Explorer\iexplore.exe"qq5.com...
我把qq5.com...删掉~但是等下次重开机时又是C:\Program Files\Internet Explorer\iexplore.exe"qq5.com...的内容。
请求各位大大帮我求解。
这是我跑出来的Efix LOG： http://www.sendspace...e/ws3z2u
请求解之。谢谢


x0 [楼主] From：台湾中华电信 \| Posted：2010-01-31 18:01 \|

LostDream

级别: 小人物

▲ ▼

这么处理一次吧，请依照以下流程操作。

一、请先找出所有伪造的IE图示，也就是所谓的假捷径，全数手动删除过后继续第二步骤。

二、下载工具Efix：http://sylovanas.myweb.hine...ta/EF55.exe

三、执行Efix，并且确保网路通顺；待EF图形化介面出来后，点选「自订脚本」。

四、将以下文字脚本「完整复制」贴到EF空白输入处，后按下「开始」，EF将全自动运行，请遵守程式指示、不要中断，除非超过60分钟。
复制程式

MOVE FILE::
C:\WINDOWS\system32\Ndges.exe
C:\WINDOWS\system32\Namipan.dll
C:\WINDOWS\iun6002.exe

del Driver::
Namipan Service

mod reg::
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe"

REBOOT::

五、自动重开机之后检查看看还有没有再生？


x0 [1 楼] From：台湾中华电信 \| Posted：2010-01-31 22:00 \|

小眯眯阿桦

级别: 路人甲

▲ ▼

嗯嗯~谢谢LostDream大大~重新开机后已经没有假IE捷径再出现了。感激不敬


x0 [2 楼] From：台湾中华电信 \| Posted：2010-01-31 23:05 \|

handsome616

级别: 路人甲

▲ ▼

请问这个可以借我转吗


x0 [3 楼] From：台湾中华电信 \| Posted：2010-02-09 14:02 \|

LostDream

级别: 小人物

▲ ▼

下面是引用 handsome616 于 2010-02-09 14:02 发表的 :
请问这个可以借我转吗

可以是可以，不过应该不太有用。
每个案例都有其特异性，脚本制作是针对个案编写，所以不是相同案例就可能无效。

我是建议有相同问题的苦主，补充详细资料并且附上EFix Log，前往各大有反病毒版区的论坛寻求协助。
Yahoo知识家建议先不用考虑，或许跟环境条件有关系，那边的答案都是复制贴上，通常会花很多时间但是成效不彰…


x0 [4 楼] From：台湾中华电信 \| Posted：2010-02-09 17:11 \|

handsome616

级别: 路人甲

▲ ▼

先感谢再说
不过我蛮在意你的语法是怎么写得
看起来不像是C++之类的


x0 [5 楼] From：台湾中华电信 \| Posted：2010-02-09 20:15 \|

LostDream

级别: 小人物

▲ ▼

那并不是什么语法，也不是什么程式语言，没有那么的了不起。
不过就是软件作者设计好得脚本参数，每个参数都有相对应的功能，一切都已经由EFix作者所设计好。
我做的只有判读产生的LOG将问题项目列出，后对应各个参数的功能分类，接下来就全部给程式自己清啰。


x0 [6 楼] From：台湾中华电信 \| Posted：2010-02-10 03:23 \|

handsome616

级别: 路人甲

▲ ▼

!!
作者他有提供脚本参数喔!?
我去看他网站的时候没有看到~


x0 [7 楼] From：台湾中华电信 \| Posted：2010-02-10 09:05 \|

LostDream

级别: 小人物

▲ ▼

好像是真的没有，大概是一般使用者并不需要脚本参数、以及怕一般使用者乱搞，所以才没放出来吧。
常用到的大概是这几种，我从整合教学文章里独立抽出出EFix脚本参数给您参考吧。

MOVE FILE::
档案基本删除，删除失败会自动提升删除等级。

Kill File::
使用catchme进行破坏、删除，是Efix中最强力的删除指令。

mod reg::
注册表删除，有分三种写法。
1.清除值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp......]
"{ACADABAF-1000-0010-8000-10AA006D2EA4}"=-

2.清除主键
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D500885E-...}]

3.修改资料
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000000

4.清空资料
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"gdi++"=""

RESET REG::
恢复注册表中指定键的权限。

del Driver::
删除服务、驱动，值得注意的是如果拿SREng日志要执行删除，名称得依照此方法输入，下面举例
[A A A(显示名称) / BBB(服务名称)][Running/Auto Start]
BBB <-是要输入服务名称运行删除，服务、驱动相同。

List Folder::
资料夹内容查看。

List File::
档案资讯查看。

clean ADS::
清除目标档案的NTFS文件流。

CP FILE::
替换档案用指令，使用方式如下，注意「|」是符号。磁碟机、路径都可自行更换。
C:\来源档案、路径|C:\目标档案、路径

REBOOT::
重新启动系统。


x0 [8 楼] From：台湾中华电信 \| Posted：2010-02-10 21:52 \|

handsome616

级别: 路人甲

▲

感谢热心提供~~


x0 [9 楼] From：台湾中华电信 \| Posted：2010-02-11 11:20 \|



MyChat 数位男女 » 防毒防骇讨论

Powered by PHPWind v1.3.6 Copyright © 2003-04 PHPWind	Processed in 0.063653 second(s),query:16 Gzip disabled 本站由瀛睿律师事务所担任常年法律顾问 \| 免责声明 \| 本网站已依台湾网站内容分级规定处理 \| 连络我们 \| 访客留言