IE首页常被改成5566dh修复方法

电脑最近发现不定期的IE首页被修改为5566dh,wz123,v2233等网址，而且Win+E键无效，用过很多木马和病毒清除软件报告系统没有木马，在网上搜索发现很多人都中有类似的烦恼，没有人查出木马的踪迹。 这个木马就是mshtmldx.dll和mshtmldy.dll！藏在system32目录下面，通过资源管理器加载，也就是在explorer.exe中，把该木马文件删除之后，系终于恢复正常，速度变快了，而且Win+E也可以用了,松了一口气。 下面简单说一下捕捉过程：使用Procmon.exe工具监视IE 首页注册表 Start Page项，然后改机器时间，终于木马有动作了，对IE首页下手了，但也就被 Procmon.exe给截获了，发现名字为Explorer.exe,不用说，肯定是通过com dll的方式被自动加载了。然后使用procexp.exe工具列举Explorer.exe进程，并且对dll/exe进行签名检查，发现有一些未被签名的dll,其中就有mshtmldy.dll文件，但通过查看版本，发现是Microsoft的，版本信息做的太完美了，让我一开始都没有怀疑它，逐个检查每个dll，都觉得没有任何可疑的。 最后我觉得肯定木马截持了Win+E按键，所以就再使用Regmon.exe工具设置explorer.exe为filter,然后按Win+E键，查看注册表，又发现了资源管理器又了mshtmldy.dll，而且热键操作被mshtmldy.dll处理了。既然这样，它就最可疑了，删除相关的注册表和mshtmldy.dll。未重电脑，再按Win+E，居然可以打开资源管理了，哈哈。。。真是功夫不负有心人，终于逮到你了。经过分析，它会下载文件到 \Windows\tmpus目录下面几个文件，127827.exe, setup1.exe, setup2.exe,对文件进行了分析 发现有UPX壳，用工具脱了它，用editplus打开，看到居然出现UUSEE的字样，难怪大家都在骂UUSEE是流氓，果然是太过分了。删除这些文件，然后重启机器，一切都恢复了正常，木马也在没有发作，应该是被清除掉了。

标签:IE修复修复方法IE首页