手工清除360清除失败的1188恶意劫持木马
前一阵安装一个小游戏,不幸中了木马,IE打开就是http://www.1188.com/?serv的网站。使用360木马清除工具,未发现异常,使用360IE修复,重启后仍然没用。
在沉默高羊的博客上发现了一篇手动清除该木马的方法,证明有效,引用过来:D
------------------------引用链接: http://blog.sina.com.cn/s/blog_4995a0490100frm5.html### ----------------------
------------------------------------------------------------引用内容---------------------------------------------------------
借助两个工具Autoruns、ProcessExplorer和注册表编辑器搞定。下面说一下步骤:
第一、
先用ProcessExplorer查看当前系统的进程是否有异常,软件运行后,看到一个叫“Servicex.exe”的文件在运行,很可疑,先把它结 束掉。接着打开“注册表编辑器”,查找“Servicex.exe”,在注册表中找到两项是和它相关的,分别 在:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Sanser 和 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Sanser\Security ,删除这两个相关的项。
第二、
接着用Autoruns查看一下开机启动是否加载了异常的文件,在Logon的页面中发现“Explorer”这项被改为“C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\Pnkx.exe”,把后面多余的“C:\WINDOWS\system32\Pnkx.exe”删除掉。
第三、
打开注册表编辑器,按“Ctrl + F”查找,在查找目标对话框中输入“www.1188.com”(引号内的内容)开始查找,我找到了两处,一处 为:HKEY_CLASSES_ROOT\CLSID\{E188F7A3-A04E-413E-99D1-D79A45F78506}\Shell \open\command @="F:\\Program Files\\Internet Explorer\\iexplore.exe http://www.1188.com/?y6",删除掉{E188F7A3-A04E-413E-99D1-D79A45F78506}。
还有一处为:HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command @="\"F:\\Program Files\\Internet Explorer\\iexplore.exe\" http://www.1188.com/?serv",删除掉{871C5380-42A0-1069-A2EA-08002B30309D}。
关闭注册表编辑器,删除桌面上中招的三个Internet Explorer图标,重启电脑验证一下。重启后没有再出现中招的迹象,搞定!
本文中提到的软件下载地址:
http://download.sysinternals.com/Files/Autoruns.zip
http://download.sysinternals.com/Files/ProcessExplorer.zip
-------------------------------引用结束&致谢!---------------------------------
木马信息在每个人注册表上的位置会有所不同,还需要自己搜索下,建议多搜索几遍。