论坛: 电脑门诊 标题: 这个是啥病毒哟?不是空白页的空白页 复制本贴地址    
作者: zmdxl [zmdxl]    论坛用户   登录
本帖由 [阿Q] 从 << 病毒专区 >> 转移而来

看看我的MYIE的空白页: [就算我不联网 它也能出现 看来源文件在我机器上]



[此贴被 zmdxl(zmdxl) 在 08月24日19时32分 编辑过]

地主 发表时间: 04-08-24 19:30

回复: bluecat_ [bluecat_]   论坛用户   登录
可能是恶意代码

B1层 发表时间: 04-08-24 20:14

回复: lijingxi [lijingxi]   见习版主   登录
重新安装MY IE2 看看!

B2层 发表时间: 04-08-24 20:51

回复: zuanmolv [zuanmolv]   论坛用户   登录
这个好象是驻留在HOST里的东西,删掉它得了!

B3层 发表时间: 04-08-25 15:17

回复: linyuan_25 [linyuan_25]   论坛用户   登录
打开此键值,删除就可以了!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

B4层 发表时间: 04-08-25 15:45

回复: zmdxl [zmdxl]   论坛用户   登录
楼上的
佩服
谢谢那么多人帮我
真是谢谢了


B5层 发表时间: 04-08-25 17:22

回复: fengsp [fengsp]   论坛用户   登录
他是骗人的
不要信他
我试过了
不行

B6层 发表时间: 04-08-26 18:09

回复: saskatoon [saskatoon]   论坛用户   登录
偶才不晓得,要不用个IE修复一下,或是还原吧,呵呵~~估计成功希望不大

B7层 发表时间: 04-08-26 21:07

回复: bluecat_ [bluecat_]   论坛用户   登录
他应该是脱机文件来的呀.........你去搜索一下

B8层 发表时间: 04-08-26 21:09

回复: zmdxl [zmdxl]   论坛用户   登录
这个病毒太牛X了
估计它还会改写注册表的其他地方
我反正是搞不定了
终于系统重新做了



B9层 发表时间: 04-08-26 22:35

回复: bluecat_ [bluecat_]   论坛用户   登录
不至于到重装了把

B10层 发表时间: 04-08-27 00:35

回复: yourbra [yourbra]   论坛用户   登录
因为这个东东
我的机器拖的好慢
只好重做
有哪位曾经搞定过 来说下你的经验啊
大家以后中招的话 也好修复 谢谢了

B11层 发表时间: 04-08-27 04:45

回复: vivi [vivi]   论坛用户   登录
解决它很麻烦
不如重做
要对注册表很了解才行啊


B12层 发表时间: 04-08-28 18:14

回复: tianshia [tianshia]   论坛用户   登录
这个我也中过,自己去找个杀毒软件杀下就好了,我用的瑞星杀的

B13层 发表时间: 04-08-28 22:05

回复: nscn [nscn]   论坛用户   登录
我也出现这样的情况,4楼的兄台,请问要删除这个�I的哪些内容?


[此贴被 nscn(nscn) 在 08月29日19时03分 编辑过]

B14层 发表时间: 04-08-29 18:48

回复: nscn [nscn]   论坛用户   登录
我前几天出现同样的问题,不过我在第二天就把它搞定,告诉你们,我是修改注册表内IE部份才把她摆平的哦,具体的解决办法,以后出现同样的问题,大家再发帖就行啦

B15层 发表时间: 04-09-03 23:35

回复: nakata [nakata]   论坛用户   登录
楼上的说啊!

B16层 发表时间: 04-09-07 14:22

回复: easy2254 [easy2254]   论坛用户   登录
>>>>>>


B17层 发表时间: 04-09-07 15:32

回复: feng [feng]   论坛用户   登录
不关注册表的事,也不是病毒,它在你的SYSTEM里建了一个*.DLL的动态连接库。我们只要删除哪个DLL文件就可以了。

删除方法:
1、你看ABOUT:BLANK的原文件根据中的网页不同它产生的DLL文件不同。找到他的位置和名字。
2、用进程管理工具,结束该进程。
3、删除该DLL文件。

>>>>>>>>注意:在上以三个步骤结束后,不用打开IE以及IE有关的程序。建议清除一下临时文件。得启计算机。

B18层 发表时间: 04-09-08 15:47

回复: cycong [cycong]   论坛用户   登录
楼上的兄弟说的好啊

B19层 发表时间: 04-09-08 22:58

回复: chy_tzl [chy_tzl]   论坛用户   登录
该问题是由于电脑感染了著名木马家族CoolWebSearch的新变种造成的。本变种有两个.dll文件,其中一个可以被最新版本的CWShredder.exe或者Ad-aware清楚,也能被HijackThis发现,但是另一个.dll文件使用了特别的加密、反跟踪手段,使得本身能够逃过大部分软件的监测。正是这个文件反复生成能被清除的那另一个.dll文件,造成此症迁延难愈。


方法一(简单但是可能有损失,未必能解决问题,不推荐)

将注册表恢复到出问题以前(但这期间对注册表做的其它操作也会无效)
或者
系统还原到出问题以前。

方法二(针对9X/Me用户,同样很简单)
启动到安全模式,使用HijachThis找到在O4:……Runservicesonce项启动的一个.dll文件,修复该项。(使用msconfig.exe或者直接改注册表都可以。)然后找到并删除此.dll文件(可能需要先去除其只读、系统、隐藏等属性,这之前还要打开文件夹选项中的“显示隐藏文件”才能看到它)。重新启动到正常模式。

进入安全模式的方法:重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows

方法三(针对2000/XP用户,复杂,请看清步骤,由于操作失误造成的损失只好请您自己承担)

1 下载reglite,这是一个免费的注册表编辑器,功能比Windows自带的有所增强。 http://www.resplendence.com/download/reglite.exe

另外,再请下载最新版CWShredder.exe备用。
4个地址,同一工具。 http://www.merijn.org/files/CWShredder.exe http://www.zerosrealm.com/downloads/CWShredder.zip http://www.spywareinfo.com/~merijn/files/CWShredder.exe http://www.spywareinfo.com/~merijn/files/cwshredder.zip

2 安装并运行reglite,在最上面的地址栏(address)输入下面一行(可以从这里复制粘贴过去)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

点右面的Go

3 在右下的窗口双击AppInit_DLLs,会弹出一个叫“data editor”的窗口。在最下面的Value那一行,您会看到一个(一般来说应该是一个).dll文件的路径和文件名。这就是那个“隐藏”的文件。记住它的路径、名字以及上一行的Size值。这个文件一般应该在系统文件夹,这里为了叙述方便,假设它为C:\Windows\system32\dllname.dll。

4 此时左下的窗口选中的应该是Windows一项,请再用鼠标点它一下以使对它的选中激活(选中时的颜色为紫色,请确认没错,是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows,千万不要搞错),点击最上面工具条上的Edit,然后在弹出菜单上点击Rename。此时可以给Windows这一项改名字了,请改为notWindows。(改为notWindows主要是为了便于叙述,其实也可以改成别的,重要的是把Windows项改名这一动作本身去除了对那个.dll文件的某些保护。)

5 回到右下窗口再次双击AppInit_DLLs,在Value那一行删除刚才看到的关于那个.dll文件的整个项目。在我假设的例子里,就是在Value那一行删除C:\Windows\system32\dllname.dll这一项。点击该窗口下面第三个按钮“Apply”再点第一个按钮“OK”。

6 重复上面的第4步,但这次是把刚才改名的Windows那一项(改为notWindows了,对吗)改回原名Windows。

7 运行CWShredder.exe,先点击chech for update将它升级为最新版(需要联网),然后点Fix让它自动修复问题。这一步会清除剩下的另一个.dll文件。

8 下面就要请那个“隐藏”的.dll文件出去啦。上面说了,这里我假设它为C:\Windows\system32\dllname.dll,注意,您遇到的那个.dll应该有自己的名字和路径,您安装系统的分区也可能不是C。首先我们要去除该文件的属性,开始――运行――输入command――按“确定”――在弹出的DOS窗口中,输入 CD C:\Windows\system32 ――按“Enter”(回车)――输入 attrib -r -s -h dllname.dll ――按“Enter”(回车)――输入 exit――按“Enter”(回车),DOS窗口关闭。
再往下的方法有几个,基本上应该都可以。
(1)如果您使用的是Fat/Fat32格式,可以尝试给该.dll文件改名(连扩展名一起改),然后重新启动后尝试删除它。一次不行的话,不妨连续多改几次。

(2)上面的方法不行的话,如果您是双系统或者多系统,而且其中包括9x或Me,您也可以启动到9x或Me的安全模式,删除该.dll文件。(最好在文件夹选项中显示系统文件、隐藏文件,否则可能找不到它)。

进入安全模式的方法:重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows

(3)如果您没有使用NTFS格式,还可以用启动光盘或者启动软盘启动到DOS模式,删除该文件。希望您有一定的DOS操作经验。操作举例(注意每输入一行,后面都要按“Enter”回车)
C:
CD C:\Windows\system32
attrib -r -s -h dllname.dll (注意,加上这一步是为了保险)
del /f dllname.dll
然后重新启动,在BIOS里恢复从硬盘启动,正常进入windows。

关于如何在BIOS里设置从光盘或者软盘启动,请参考
BIOS设置图解说明 http://community.rising.com.cn/Forum/msg_read.asp?FmID=3&SubjectID=1724648&page=1
简单说,进CMOS设置(一般是开机过程中按Del,也可能是其它键,参考你的主板说明书),并选择BIOS FEATURES SETUP――>Boot Sequence,将其值设为A,C或A;C,SCSI(注:用PageUp\PageDown设置),按ESC退出,选择SAVE&EXIT SETUP保存设置并重新启动。这就设成了从软驱优先启动。(注:不同主板的电脑进入CMOS设置有可能不一样,但设置大体相似)

(4)如果您使用NTFS格式,由于NTFS格式可以设置一些权限(该木马也的确这么做了),问题就比较麻烦了。您可以尝试反复给这个.dll文件改名(可以使用CopyLock等第三方工具),每次用一个不同的名字(尤其扩展名要改成windows不能识别的,比如dgewsc.dafhf或者342234.5346什么的),反复改名几次,也许就可以删除它了。不行的话,设置从光盘启动,插入2000/XP光盘,进入恢复控制台(让您选择时按R),然后参照上面(3)的DOS清除法。


B20层 发表时间: 04-09-09 18:53

论坛: 电脑门诊

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号