一位网友说他的电脑中的360浏览器被7322.com劫持,而IE浏览器则被6781.com劫持,桌面上的IE图标也无法删除。请偶帮忙解决。
通过QQ远程协助,右击网友电脑桌面上的IE图标,弹出的快捷菜单确实与正常的IE图标不同:
点击“属性”,打开的是Internet选项,其中的主页设置为:about:blank。
用 pe_xscan 扫描log并分析,发现如下可疑项:
pe_xscan 09-06-21 by Purple Endurer
2010-2-24 18:1:38
Windows XP Service Pack 3(5.1.2600)
MSIE:6.0.2900.5512
管理员用户组
正常模式
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RtkBtMnt.exe * 4000 | 2009-8-26 13:58:49 | Realtek HD Audio Data Rerouter | 1.0.0.10 | Realtek HD Audio Data Rerouter | 2006 (c) Realtek Semiconductor. All rights reserved. | 1.0.0.10 | Realtek Semiconductor Corp.| ? | RtkBtMnt | RtkBtMnt.exe
O2 - BHO QvodExtend - {53AC8551-0DE0-4606-8A1E-A51AF20ADD60} = C:\Program Files\QvodPlayer\QvodExtend.dll | 2010-1-8 15:18:8
Google了一下,RtkBtMnt.exe应该就是Realtek声卡相关驱动程序文件,宏基的笔记本都有这个。而QvodExtend.dll则有许多网友反映删除不了。
在注册表中搜索“6781.”,找到:
[HKEY_CLASSES_ROOT\CLSID\{09860117-AE68-60e5-9DBE-C2C2388A068A}\Shell\Open(&O)\Command]
@="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE hxxp://www.6781.com"
双击该项,把后面的网址hxxp://www.6781.com删除,再打开IE,显示的是空白页。
这一项 pe_xscan 没有扫描出来-_-!看来又要更新pe_xscan了。
右击桌面上和快速启动栏上的360浏览器快捷图标,发现它们的目标都指向:
"C:\Program Files\360\360se3\360SE.exe" hxxp://www.7322.com
把后面的网址hxxp://www.7322.com删除,再测试360浏览器,已经恢复正常了。
让网友重新启动电脑再试,IE和360浏览器都正常!