用户注意了,此病毒发作原理已经做了相应的改变,通过果果工具条捆绑的形式了,要查实此病毒请看最新的
IE浏览器主页被篡改为365j.com的强解果果工具条的妙招这个这网页。
2009年07月07日 注:原版的雨林木风、深度等系统我用过,但是并未出现过这样的问题。此次出问题的系统是从迅雷在线上下载的,并非官方网站,所以个人猜测属于镜像被人恶意篡改IE浏览器组件文件,经检查是光盘镜像中被恶意加入了一个安装后自动运行的程序。另外有人反映在部分的单机版游戏、游戏外挂中也包含有这样的插件,所以提醒大家务必注意。
365j.com很流氓,取消设为首页后重启又自动设回来,真是“365贱”啊,受不了。
这里先提供它的手动删除方式:
1.进入 windows\system32 目录,删除下面的 mdwdsp.exe,scpc32.dll,rndcinst.dll 三个文件;
2.开始-运行,输入 regedit 回车,运行注册表编辑器;
2.在左侧树中定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,按Ctrl+F弹出来查找对话框,在
查找内容里面搜索 mdwdsp ,如果不出意外会找到一个项,右侧的 ImagePath 中包含了 “mdwdsp.exe” 字样。在
左侧树中选中这个项按Delete并确认,删除它;
3.在左侧定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ,右侧里面找到
Userinit 这项。正常情况下里面只包含了 userinit.exe 这样的一个文件,如果你发现你的包含了好几个文件名,
那就删掉“,....\scpc32.dll”这段(中间句点表示任意字符);
4.在IE中重新设置首页。如果你惯于习惯使用快速启动栏,那就在快速启动栏里面的IE上面点击右键-属性,在“目标”
一栏删除最后的 http://www.365j.com 这样的网址,然后确定即可。
以下补充:
5.HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\Start Page 是默认用户的主页,修改回来;
6.HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 下的“默认”命令行也被加入了网页,去掉;
7.HEKY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 下的“默认”也被加入了网页,去掉;
8.将“HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell”下的“默认”的值设为“none”,删掉下面的“open”子键。
9.删掉system32下的shimgca.dll文件。
以下补充(2009/07/01)
10.删除 Windows\System\nvaccss.dll
11.删除 System32\setacl.dll
12.IE的搜索引擎会被更改,手动修复
13.删除注册表 HKEY_LOCAL_MACHINE\Software\XNJ
至此已经摆平。
经过补充可以发现,365j.com 比想象中的还要流氓无耻,请不要去 365j.com ,下载操作系统镜像等的时候请务必到官方的发布点下载!
对于不会操作的同学,我这里提供一个刚刚编写的清除工具
不过由于技术有限,这是.net写的,也就是说需要你的系统中安装有 .netFramework(
从这里下载)。
截图和下载地址如下:
立即下载已有 1916 次下载 (已升级至 V1.6 build20090701,2009年07月01日 更新)
更新说明
时间:2009年7月1日
+ 增加了删除其它两个文件的操作(nvaccss.dll/setacl.dll)
+ 增加了删除莫名其妙的搜索引擎的操作
+ 修正了修复“打开主页”无效的错误
+ 删除 病毒生成的注册表项
时间:2009年06月30日
+ 增加了对注册表中当前用户和默认用户“打开主页”的强制修复
+ 增加了扫描桌面以及快捷启动栏所有快捷方式的功能
+ 增加了修复默认用户主页的功能
+ 增加了打击双击“我的电脑”IE主页自动被设回的流氓行为
+ 增加了删除文件 shimgca.dll
标签:IE修复IE首页365j.com