ie主页被修改成http://www.054.cc的解决办法
近期有网友称IE浏览器又遭遇一个强行修IE主页改成054.cc的病毒,而且中招以后非常难以删除。有中招的网友给出了解决办法。该网友的电脑环境是win7 64bit的操作系统,系统里面安装的是默认浏览器IE8,中招以后IE8的首页被更改为http://www.054.cc/ ,首先想到修改注册表,但提示不能更改,用360扫描也不行,修复IE也不行,用windows 清理大师也不行,然后360专杀也打不开,强行把桌面上的IE图标删除,重启后又会重新再桌面上生成IE图标,右击点击属性。
如图:
要去除不了这个恶意木马插件确实需要花费一点功夫,用360的修复IE功能可以暂时修复该问题,可是当你再打开IE浏览器时,地址同样会变回www.054.cc 。 具体解决办法如下:
强制删除windows\sysete32下面的network.exe dxseup.exe servicx.exe三个文件,最后一个文件有的系统中可能没有。删除后重启电脑。在单击“开始”–“运行”–输入regedit–回车。运行注册表文件,别自己找,很难找而且很麻烦,方法是“ ctrl+F ”查找功能,在“查找目标”一栏输入“ dxsetup.exe ”,回车。凡是找到的一定要彻底删除,是连项一起删除。
(在此做下解释,所谓项的删除是指注册表右边的文件,假如一个项的名字叫:“device”,它的值则是在它的右面显示出来,这时候不管是项里含有“ dxsetup.exe ”,还是项的值,也就是名字右边的内容含有“ dxsetup.exe ”,都要选中项的名字按“delete”,点确定。)直到注册表搜完,不再出现“ dxsetup.exe ”,为止。在注册表中搜索www.054.cc,搜索后在注册表左边main上右击点权限,注:main权限必须更改才能修改。此木马网站的特点就是删除了main的所有用户修改权限,只留下EVeryone用户的查看权限,造成在系统中不能修改主页项,在对话框中将EVeryone用户权限设为完全控制,设好后就可以改右边start page项下www.054.cc改为你所需要的网站或者为空。继续搜索更改,直到搜不到www.054.cc,在直接关闭注册表。
注意:
木马或病毒的主程序一并要清除!
1,用regedit,用检索把所有的054.cc的字母删除
2,用msconfig,把开始程序dxsetup的选项去掉,并参照其所在路径删除之dxsetup.exe文件!它是罪魁祸首!
3,再用regedit,用检索把所有带有dxsetup的项目删除!
打开注册表regedit,定位到HKCU\software\microsoft\internet explorer\main
在start page里就是那个垃圾的054网站。
在注册表左侧MAIN那里右击 ,选择权限,在完全控制 选项 对应允许那里打上对勾,点击确定。就可以修改main下的值了。
下一步就是用360,“高级”–修复下IE。最后,“开始”–“运行”–“msconfig”,出来的对话窗口的右上角有“启动”。出来的界面就留下“ctfmon、360、杀毒软件”什么的,或者点“全部禁用”,没有关系,上述操作不会对你的机器产生影响。在重新启动电脑。
系统启动到桌面以后,若桌面上还有多出来的IE图标,直接把它删除,然后打开正常的IE浏览器,删除IE下所有临时文件以及cookies等,然后在IE的”工具”-”Internet操作”"-高级”-”重置”选项,点重置把IE还原重置下到此算彻底删除了这个病毒。
MAIN 不能保存对他的修改,
改不了权限。。
还是改不了额
感觉这个IE病毒发作的方式已经发生变化了吧,希望贵站能给出新的查杀的办法啊!
很多网友都反应不能修改main主键的权限,这里说下如何解决吧,我研究一个晚上终于找到毛病在哪了,注意查看注册表中其他键值的权限,你会发现,是不存在everyone这个用户的,我尝试在这些键值中加入everyone用户,结果是可行的,然后我进入刚才那个加入了everyone的主键的子键,也加入everyone用户,并且把该子键的其他用户删掉,期间提醒了,”继承关系”..这下我就明白了
原来是这样的,病毒先将everyone用户加入了main主键的上一级主键,也就是internet explorer主键,然后又将everyone用户加入了main主键,并且设定他只有读取权限,然后再把main主键中的其他用户删除,再把everyone用户设定继承关系,最后也就是产生bug的一步,它把internet explorer主键中的everyone 用户给删掉了…这样毛病就来了,main主键看似有一个everyone用户存在,但是实际上没有了继承关系,它已经废掉了,而且最早设置的权限只读….
我说到这里懂行的应该就明白了吧…权限丢失了,而且控制权没有了,唯一有权的人还是只读的
那么下面就阐述解决方法吧,其实很简单,我们逆向来做一下就行了,既然他删除了interner explorer的everyone用户导致了main主键的权限错误,那么我们就把它添加回去,做法很简单,在internet explorer主键的权限中重新手动加入everyone 用户,并且设置为完全控制,然后再次尝试修改main主键的权限,哈哈,奇迹出现了,可以修改了,我们把原来的用户加入进来,并且设置继承,然后再把万恶的everyone删掉(也可以不删除,只要你不怕任何人都可以看到你的main主键的配置),这下main主键中的所有数据就都可以修改了
还是不能解决问题
我试了 好多方法 :修改注册表 修改策略组 安全模式杀毒 360系列杀毒
我也中了这个,和楼主说的一样,我也是win7 64Bit,楼主说的方法基本已经可以清除了,我这边再补充一点:
这个恶意木马还会在你的硬盘中释放一个backup.reg的注册表文件,其内容如下:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
“Start Page”=”http://www.054.cc”
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@=”\”c:\\program files (x86)\\internet explorer\\iexplore.exe\” wwww.054.cc”
大家可以按照它的内容看看自己的注册表下面是不是也已经被写入了这样的内容。
@哒哒
我也和楼主的配置一样,然后按照哒哒的方法还是不行,MAIN下的文件不能删除。请问还有别的方法吗
按照楼主的操作,权限还是无法进行修改,在main的权限中也无法增加其他用户。[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]键值正常,system32中从一开始就没有看到那3个文件。怀疑是杀毒软件一类的工具把这个病毒不完全删除,导致剩余部分无法按楼主的操作完成。
依然等待能解决的方法……
网上下了360安全卫士与Windows清理助手,通过扫描修复后终于将问题解决了!在修复以后main的权限也可以修改了,建议没有解决的朋友也去试一下。可能是我的这个病毒被杀毒软件没有杀干净留下了残余,无法手动修改,而清理工具解决了残余的问题吧。
我也中了这招,windows\sysete32下面的network.exe dxseup.exe servicx.exe这个找不到呀