博客园  :: 首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理

转自http://tieba.baidu.com/p/4240325541

适合运行假冒小马激活(OEM10)导致浏览器主页被篡改到2345的情况
按运行oem10工具时间、DLL名字、DLL签名判断
1、C:\Windows\System32\drivers\UMDF\jihuo.dll (时间符合、名称一看就是二货起的“激活”),改名;
2、C:\Windows\System32\drivers\LHPLKernel.sys(时间符合、签名二货的名字),改名;

3、C:\Windows\System32\LHPLKC.dat(时间符合、名称一看就是2中文件用的数据文件),改名;
4、C:\Windows\System32\drivers\surak.sys(时间符合、签名二货的名字),改名;

5、还有个一文件 JUGY850F.txt,路径 C:\Users\admin\AppData\Local\Microsoft\Windows\INetCookies,删不删应该都可以,好像是随机生成的名字,内容:
CNZZDATA1257017989
1633915353-1451127010-%7C1451127010
xm1.xxx333xxx.com/
1088
2441287168
30527192
1790396529
30490580
6、改完后重启了一下电脑,再打开IE、Chrome,恶心人问题解决了,系统没出现任何问题,查看Win10和office 2013激活状态,一切正常!!!

顺便说一句,2345太流氓了。。