IE主页再次被00333.cn劫持,360卫士还不能直接查杀

添加评论 2009年9月10日 iefans

昨天看见再次有网友在反应IE浏览器主页又再次被00333.cn给劫持了。安装了360,已经使用了360流行病毒的专杀工具,使用的时候工具上说已经成功恢复了被劫持的IE网页。并且朋友也用正确的方法把的IE主页从新修改过来了。本来以为没有问题。但是只要你把IE浏览器的网页全部给关闭以后再打开浏览器的时候,主页仍然还是00333.cn的网站!

电脑上装了卡巴斯基,全盘杀了一次毒,杀毒软件查杀时也并没有查杀到任何的病毒,用顽固木马专杀大全查杀了,可IE仍然是被劫持状态!

劫持到的IE主页网址:http://00333.cn/wen.htm

PS:网友使用过的方法.

1,用工具,INTERNET选项修改我的IE---失败了

2,开杀毒软件查杀---提示电脑没有病毒

3,开360体检---体检结果是电脑的健康没有任何问题,是满分

4,用360全盘查杀木马---也没有查出有木马
5,用360高级,修复IE---结果系统倒是说查出了劫持你的IE00333.cn,现在已经修复这个问题了。可再次打开网页时仍然是被劫持状态!

6,下载了顽固木马专杀大全查杀,查出有N个病毒,我全按照体统给的提示做了,电脑也重启了---结果现在还是被劫持状态!!

记得上次本站发不过这个病毒的删除方法,ie首页变成00333.cn的手动解决方案,网友们可以看看用这个方法可以解决不,如果不能解决说明这个病毒的感染模式又发生改变了,我会继续留意这个病毒,希望已经找到解决办法的朋友能公布出来。

版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明
文章引用地址:http://www.iefans.net/iezhu-00333cn-jiechi-360-chasha/ 作者:iefans
IE修复 , ,
  1. 2009年10月11日 at 10:29 | #1
    普阳

    你好,我也遇到了这个问题,我试过了所有可行的方案,均无法解决这个问题。
    甚至强行卸载了IE7,删除所有相关文件和所有软件记录。然后重装IE8.
    用了很多大家熟悉的方法,很多种杀毒软件,IE辅助工具。和HIPS。
    证据确凿,此流氓劫持IE首页乃新的变种。

    根据我的观察和主动防御系统的提醒,我注意到它的触发条件是explorer进程运行状态下+鼠标右键事件。
    触发后在C:/WINDOWS/temp目录下生成tc***.exe (***从001开始递增!)
    1、此文件不管是否阻止运行均会运行,似乎优先级高于杀毒软件。因此各种杀毒软件均无法阻拦,包括360等软件也无法阻拦修改主页的行为。
    2、此文件会在运行之后自动卸载,删除所有痕迹。
    3、此文件每次运行会记录运行的次数,然后下次生成的文件名中的数字(***)会递增。
    4、在此文件运行之后,IE首页变成#00333.cn/alei.htm。
    5、在此文件并没有生成的情况下,首页仍然会变成#www.2345.com/?294。说明此流氓软件采用了两套方案来实施首页的更改行为。第二套方案的运行机制尚不明确。
    6、排除以前所有修复方法和删除“mshtml**.dll”文件方法,已经测试无效,无需重复劳动。
    7、所有文件40款杀毒软件报告无毒,无需重复杀毒。

    不知道楼主有好的方法吗?如果有我们交流交流?非常感谢啊!~~~

  2. 2009年10月11日 at 13:22 | #2
    iefans

    您好,你提出的问题暂时我们还没有遇到过,不过我们会从新研究这个病毒的发作方式和原理。谢谢你的支持!

  3. 2009年10月18日 at 10:23 | #3
    普阳

    你好!跟踪一下该病毒的进展,今天该病毒再次产生变异,经证明是一个“下载者”。
    昨天开始,首页已经不再更改成为#00333.cn/alei.htm 和#www.2345.com/?294了,变成了#www.9605.com/*** #www.06000.cn/***。
    同时
    更可恶的是,此病毒不但追求更改首页获得广告收入,而且和金山毒霸达成了一致联盟,自动下载金山毒霸到电脑里面静默安装!!!!
    此前网络上有多篇博文曾经报道:“编写者似乎与360达成某种共识,360和其合作的Nod32均不报该文件为病毒。”但是其他杀软还是报毒的。

    目前该病毒和金山毒霸达成协议,自动下载金山毒霸安装并获取金山毒霸联盟的推广费用而获得暴利。

    太可恶了。不但杀毒软件杀不了,还下载安装杀毒软件,并且下载的杀毒软件都以兼容模式运行在电脑上,显示“您的系统中存在多款杀软,金山毒霸以兼容模式运行。”并且隔几分钟就提示输入金山通行证!!

  4. 2009年10月18日 at 10:29 | #4
    普阳

    已经截获最新的一个tc008.exe ,有人需要的话联系我发给你。
    已经发现没有开启CMD情况下进程出现多个未知conime.exe,PID从888、1412、4412、4624、5304、5340、5612、5908、6120.内存均为64K。
    1412 4412 4624 5304 5340 呈现一定的互文规律似乎是病毒编写者疏忽随手写成。

  5. 2009年10月18日 at 10:32 | #5
    普阳

    鉴于我可能是比较早发现这个变种吧,暂时给这个病毒定个名字“杀软下载者病毒”。

  6. 2009年10月18日 at 10:50 | #6
    普阳

    我保证电脑上没有第二个病毒,电脑上安装有正版卡巴斯基全功能安全软件2010、360安全卫士、Comodo的HIPS主动防御系统、锐甲。并且在线瑞星、在线金山毒霸包括这次被偷偷下载来的金山毒霸2009、小红伞、NOD32分别全盘扫描!没有任何病毒!

    期间Comodo的HIPS主动防御、KIS的主动防御、360实时监控等主动防御系统没有任何报告和日志生成。

    保证没有浏览过任何非正规网站,本周只上过sina、sohu、taobao、等几个正规大站、没有用过QQMSN等即时通讯工具,没有用过任何光盘和U盘等储存介质。

    冰刃等各种杀进程工具均无显示任何异常状态。

  7. 2009年10月25日 at 04:37 | #7
    icepoint

    这小玩意很容易解决,前边各位大侠想复杂了,对于被改的主页,直接在IE安全将其加入”受限制站点”,简单有效

    我的主页被修改为00333.cn后,并未发现其有下载行为,也未发现接的木马.

  8. 2009年10月26日 at 09:31 | #8
    iefans

    谢谢你为网友提供的方法!

  9. 2009年10月31日 at 16:31 | #9
    yngff

    有进展么?

  10. 2009年11月8日 at 01:49 | #10
    hq

    我的情况,与你说的几乎一模一样:鼠标右键触发的,自动打开三个网页,鼠标右键很慢,后来就不慢了。也是会自动下载金山毒霸,并安装。现在还没有什么解决办法。

  11. 2009年11月9日 at 02:25 | #11
    hq

    我截获的一个是tc020.exe ,文件大小是7168 bytes,同样是在C:/WINDOWS/temp目录,奇怪的是隔10多分钟,竟自动删除了。

  12. 2009年11月15日 at 04:43 | #12

    我也中了这个病毒。按照网上删除DLL的方法以及下载老版的360ANTIENG引擎以为暂时解决了问题,现在鼠标右键也不拖慢了。但是问题依然没有解决。

    我发现此病毒还有一个触发机制(也是我电脑上现存唯一的触发方式,右键HOOK已经不再出现了):点击桌面的“计算机”图标(我用的英文版的VISTA,就是“我的电脑”啦),会自动打开3个IE窗口,网址也换了,叫做什么网络广告联盟,发财网等,证明这个病毒一直在后台更新网址。

    此时若打开任务管理器,会发现即使将3个IE窗口关闭了,这3个进程任然存在,一直在后台工作。只能强行结束。

  13. 2009年11月19日 at 11:26 | #13
    hq

    我将截获的病毒,上传到某病毒测试网站,找到”F-PROT”可以检出它。安装了”F-PROT”,但它并无扫描出系统有问题,只是发现“internat.exe”。更换“internat.exe”,症状依然。后来因为编程的需要,我装了“Microsoft Visual Studio 2008”,发现这病毒的症状消失了。

  14. 2010年3月17日 at 01:01 | #14
    aaa

    使用 冰刃 在explorer.exe 中卸载 msvbvm60.dll 链接库
    这时 explorer 会停止,使用冰刃,到system32 下找到 msvbvm60.dll 文件
    更改名称,或者拷贝出来,然后删除,重新启动

  15. 2010年3月25日 at 01:43 | #15
    aaa

    如果发现 gugter.dll 在exploer.exe 中,卸载,删除,该文件是木马

  1. 还没有 trackbacks
订阅评论