手工清除360清除失败的1188恶意劫持木马

前一阵安装一个小游戏，不幸中了木马，IE打开就是http://www.1188.com/?serv的网站。使用360木马清除工具，未发现异常，使用360IE修复，重启后仍然没用。

 在沉默高羊的博客上发现了一篇手动清除该木马的方法，证明有效，引用过来：D

------------------------引用链接： http://blog.sina.com.cn/s/blog_4995a0490100frm5.html###   ----------------------

------------------------------------------------------------引用内容---------------------------------------------------------

借助两个工具Autoruns、ProcessExplorer和注册表编辑器搞定。下面说一下步骤：
第一、
先用ProcessExplorer查看当前系统的进程是否有异常，软件运行后，看到一个叫“Servicex.exe”的文件在运行，很可疑，先把它结 束掉。接着打开“注册表编辑器”，查找“Servicex.exe”，在注册表中找到两项是和它相关的，分别 在：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Sanser 和 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Sanser\Security ，删除这两个相关的项。

 

第二、
接着用Autoruns查看一下开机启动是否加载了异常的文件，在Logon的页面中发现“Explorer”这项被改为“C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\Pnkx.exe”，把后面多余的“C:\WINDOWS\system32\Pnkx.exe”删除掉。

第三、
打开注册表编辑器，按“Ctrl + F”查找，在查找目标对话框中输入“www.1188.com”（引号内的内容）开始查找，我找到了两处，一处 为：HKEY_CLASSES_ROOT\CLSID\{E188F7A3-A04E-413E-99D1-D79A45F78506}\Shell \open\command @="F:\\Program Files\\Internet Explorer\\iexplore.exe http://www.1188.com/?y6"，删除掉{E188F7A3-A04E-413E-99D1-D79A45F78506}。
还有一处为：HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command @="\"F:\\Program Files\\Internet Explorer\\iexplore.exe\" http://www.1188.com/?serv"，删除掉{871C5380-42A0-1069-A2EA-08002B30309D}。

关闭注册表编辑器，删除桌面上中招的三个Internet Explorer图标，重启电脑验证一下。重启后没有再出现中招的迹象，搞定！

 

本文中提到的软件下载地址：
http://download.sysinternals.com/Files/Autoruns.zip
http://download.sysinternals.com/Files/ProcessExplorer.zip

-------------------------------引用结束&致谢！---------------------------------

木马信息在每个人注册表上的位置会有所不同，还需要自己搜索下，建议多搜索几遍。