流氓软件处理收集帖（不断更新。。。这些垃圾）　本站·收藏

//转载请注明出处，DVD知识库/.6372034，http://www.dvdfaq.com.cn

虽然本人已经很小心，但还是不知不觉被一些垃圾软件搞得烦心.

垃圾网站 7939.com 篡改默认首页的处理方式

1、使用超级兔子

这些是典型的流氓软件，请您下载安装“超级兔子”软件可以清除

www.pctutu.com

超级兔子的使用次序一般是这样的

首先使用超级兔子清理王，清除恶意插件和流氓网站

然后使用超级兔子IE修复专家修理被帮定的浏览器设置

之后使用超级兔子的上网精灵，锁定系统主页，屏蔽恶意网站

一般经过这几个步骤，这些垃圾软件都会被清除的，个别的需要重启才能见效

2、安全模式下手动处理

1.进入安全模式打开我的电脑查找以下文件C:/windows/system32/Realplayer.exe ,删掉Realplayer.exe .注意不进安全模式删不掉. forum.techweb.com.cnuKCHuh

3．删掉IE主页中的7939网址．并将7939网址放入受限站点中就OK拉！

垃圾网站7b.COM.CN 的处理方式

病毒名称：not-a-virus:AdWare.Win32.Delf.k（Kaspersky）
病毒大小：92,160 字节
加壳方式：UPX
样本MD5：8cc23791a96c204bb0e6591066e7c249
样本SHA1：35fc21cd56663ec5185301ac9e5437be105a7934
发现时间：2006.09.04
更新时间：2006.09.04
传播方式：通过恶意网站传播，通过其它病毒/木马下载

技术分析
==========

相关文件：
C:\Program Files\Tencent\QQ\Messenger.exe
C:\Program Files\Tencent\QQ\RTraveler.dll
%System%\Maxthonz.dll

是之前Realplayer.exe的变种，通过恶意网站传播，运行后复制自身到C:\Program Files\Tencent\QQ\Messenger.exe，在相同目录下释放RTraveler.dll，尝试插入Explorer.exe进程。

另释放Maxthonz.dll到系统目录，使用regsvr32命令：

regsvr32.exe %System%\Maxthonz.dll /s

注册Maxthonz.dll，创建PROTOCOLS\Filter，当用户打开IE时会自动打开恶意网站http://7b.com.cn/：

[HKEY_CLASSES_ROOT\CLSID\{0EB00690-8FA1-11D3-96C7-829E3EA50C29}\InprocServer32]
@="%System%\Maxthonz.dll"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
@="Microsoft/IE MimeFilter 1.0"
"CLSID"="{0EB00690-8FA1-11D3-96C7-829E3EA50C29}"

Messenger.exe还会复制自身到系统目录和临时目录：
%Windows%\v20060903.rar
%temp%\v20060903.rar

在%Windows%目录生成bat批处理删除自身原文件：

:try
del "原文件"
if exist "原文件" goto try
del %0

创建启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Messenger.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"
"Realplayer.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"
"Messager.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Messenger.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"
"Realplayer.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"
"Messager.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon]
"Shell"="Explorer.exe C:\Program Files\Tencent\QQ\Messenger.exe"

更改IE主页：

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://7b.com.cn/"

修改“显示所有文件和文件夹”选项，使用户无法顺利查看隐藏文件：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

以上注册表信息会被不停地恢复。

此外，它还会关闭一些进程和窗口：
uihost.exe
360safe.exe
360shell.exe
AVP窗口

清除步骤
==========

1. 结束C:\Program Files\Tencent\QQ\Messenger.exe进程

2. 结束%Windows%\Explorer.exe进程

3. 通过任务管理器或其它进程管理工具把%Windows%\Explorer.exe再运行起来

注：如果不会结束进程，可以启动进入安全模式继续处理以下内容。

4. 删除文件：
C:\Program Files\Tencent\QQ\Messenger.exe
C:\Program Files\Tencent\QQ\RTraveler.dll
%System%\Maxthonz.dll

5. 删除启动项和其它被添加的注册表信息：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Messenger.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"
"Realplayer.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"
"Messager.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Messenger.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"
"Realplayer.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"
"Messager.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT]

[HKEY_CLASSES_ROOT\CLSID\{0EB00690-8FA1-11D3-96C7-829E3EA50C29}]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]

【CISRT2006036】Messenger.exe RTraveler.dll Maxthonz.dll 7b.com.cn 解决方案

档案编号：CISRT2006036
病毒名称：not-a-virus:AdWare.Win32.Delf.k（Kaspersky）
病毒别名：
病毒大小：92,160 字节
加壳方式：UPX
样本MD5：8cc23791a96c204bb0e6591066e7c249
样本SHA1：35fc21cd56663ec5185301ac9e5437be105a7934
发现时间：2006.09.04
更新时间：2006.09.04
关联病毒：
传播方式：通过恶意网站传播，通过其它病毒/木马下载

技术分析
==========

相关文件：
C:\Program Files\Tencent\QQ\Messenger.exe
C:\Program Files\Tencent\QQ\RTraveler.dll
%System%\Maxthonz.dll

是之前Realplayer.exe的变种，通过恶意网站传播，运行后复制自身到C:\Program Files\Tencent\QQ\Messenger.exe，在相同目录下释放RTraveler.dll，尝试插入Explorer.exe进程。

另释放Maxthonz.dll到系统目录，使用regsvr32命令：

CODE:

[Copy to clipboard]

regsvr32.exe %System%\Maxthonz.dll /s

注册Maxthonz.dll，创建PROTOCOLS\Filter，当用户打开IE时会自动打开恶意网站http://7b.com.cn/：

CODE:

[Copy to clipboard]

Messenger.exe还会复制自身到系统目录和临时目录：
%Windows%\v20060903.rar
%temp%\v20060903.rar

在%Windows%目录生成bat批处理删除自身原文件：

CODE:

[Copy to clipboard]

:try
del "原文件"
if exist "原文件" goto try
del %0

创建启动项：

CODE:

[Copy to clipboard]

更改IE主页：

CODE:

[Copy to clipboard]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://7b.com.cn/"

修改“显示所有文件和文件夹”选项，使用户无法顺利查看隐藏文件：

CODE:

[Copy to clipboard]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

CODE:

[Copy to clipboard]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Messenger.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"
"Realplayer.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"
"Messager.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Messenger.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"
"Realplayer.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"
"Messager.exe"="C:\Program Files\Tencent\QQ\Messenger.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT]

[HKEY_CLASSES_ROOT\CLSID\{0EB00690-8FA1-11D3-96C7-829E3EA50C29}]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]

6. 修改注册表信息：
打开注册表编辑器到这个位置：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
双击右边“CheckedValue”，把值数据从“0”修改为“1”

7. 恢复IE主页

//转载请注明出处，DVD知识库/.6372034，http://www.dvdfaq.com.cn

当前位置：首页 -> 本站·收藏

流氓软件处理收集帖（不断更新。。。这些垃圾）

垃圾网站 7939.com 篡改默认首页的处理方式

1、使用超级兔子

2、安全模式下手动处理

垃圾网站7b.COM.CN 的处理方式

网罗最新促销快报

DVD知识分类

本站最受欢迎

该文章相关知识

友情链接站点

当前位置：首页 -> 本站·收藏 流氓软件处理收集帖（不断更新。。。这些垃圾）

垃圾网站 7939.com 篡改默认首页的处理方式

1、使用超级兔子

2、安全模式下手动处理

垃圾网站7b.COM.CN 的处理方式

网罗最新促销快报

DVD知识分类

本站最受欢迎

该文章相关知识

友情链接站点

当前位置：首页 -> 本站·收藏

流氓软件处理收集帖（不断更新。。。这些垃圾）