[转帖] 猎杀劫持IE的元凶——顽固的英文恶意网页
2016-8-13 01:59 编辑 <br /><br /><P>猎杀劫持IE的元凶——顽固的英文恶意网页</P>
<P> 1、IE主页/搜索页被设为一国外搜索引擎,如有的恶意网页含有"Search for";
2、当输入无效网址或网站不能访问时,IE被重定向到国外恶意网页;
3、IE主页设为“about:blank”空白页,打开却变成“Search for”网页;
4、访问google时被重定向到该恶意网页;
5、主页及搜索页设置无法修改,或修改后很快又被劫持;
6、自动添加受信任站点;
7、收藏夹里自动反复被添加成人网站;
8、输入字符时IE速度严重减慢;
9、Internet选项出现不能更改或隐藏的选项;
10、手工修改注册表或使用通常的IE修复工具不能修复、修复后很快又被劫持或者电脑重启后IE又遭劫持。
如果你的IE不慎被国外恶意网页劫持了,可以去查查,看看是不是CoolWebSearch恶意网站家族的变种。本帖附录给出了最新的CoolWebSearch网址列表,你可以去查查。</P>
<P> 下面介绍中了这类国外恶意网页的清除方法:</P>
<P> 一、CoolWeb Shredder(CoolWeb粉碎机)</P>
<P> 中了CoolWebSearch恶意网站家族的变种,可以用CoolWeb粉碎机来清除,这是款完全免费的工具,而且可以在线升级,该工具是HijackThis的作者Merijn的另一个作品。不但彻底可以清除CoolWebSearch及其变种,对付其它恶意网页代码、小广告也很有效。最新的版本是2.0,可以查杀几百种恶意网页。虽然是英文界面,但使用非常简单。</P>
<P>CoolWeb粉碎机下载:
点击浏览该文件 (从这儿下载后需要解压)</P>
<P>Merijn主页下载</P>
<P> 使用方法:</P>
<P> 1、下载后得到安装文件CWSInstall.exe,双击出现下图,点“I AGREE”,接受协议自动安装到C:\Program Files\InterMute\SpySubtract\下,并在桌面上建立快捷方式CWShredder。CoolWeb Shredder是个绿色软件,卸载时直接删除C:\Program Files\下的InterMute文件夹即可。
此主题相关图片如下:
<P>
图一</P>
<P> 2、安装完成后,CWShredder自动运行,出现下图,一共四个选项:Scan only(仅检查)、Check for update(检查更新)、Make Report(制作报告)、Fix->(修复)。
此主题相关图片如下:
<P>
图二</P>
<P> 3、由于CoolWebSearch不断产生变种,所以查杀前请先点击“Check for update”进行在线升级,如果没有新的更新,中间的按钮“Download and open the update”会置灰,如果有新的更新,则该按钮会激活,你可以按下它下载升级文件。CWShredder会关闭并自动更新。更新完毕,你需要重新双击启动CWShredder。
此主题相关图片如下:
<P>
图三(有更新)</P>
<P>
此主题相关图片如下:
<P>
图四(正在下载更新)</P>
<P> 这是偶昨晚刚从Merijn主页下载的最新版本,所有没有新的更新。如下图:
此主题相关图片如下:
<P>
图五(没有新的更新)</P>
<P> 4、点击右下角的“Fix->”按钮进入修复界面。这时跳出个窗口提示你“现在请关掉浏览器口、文件夹窗口以及记事本等所有能关闭的程序窗口,以方便CWShredder修复”。如果有浏览器窗口打开着,则CoolWebSearch很难被清除掉。确认关闭了这些窗口后,点击“确定”,即可开始清除CoolWebSearch及其变种。如图:
此主题相关图片如下:
<P>
图六</P>
<P> 5、如果发现CoolWebSearch或其变种,会提示清除。CWShredder工作结束后,显示“done!”。
此主题相关图片如下:
<P>
图七(正在检查)</P>
<P>
此主题相关图片如下:
<P>
图八(修复完毕)</P>
<P> 6、点击Next,进入下一步。有一些要求访问网站和制作报告的建议,都是英文站点。我们点“Exit”退出。
此主题相关图片如下:</P>
<P> 图九</P>
<P> 7、如果使用CoolWebSearch提示发现问题并修复,重新启动后却问题依旧。对于这种情况,建议进入安全模式,再次使用CWShredder修复,修复后清空IE临时文件,方法:internet选项→点击“internet 临时文件”下的“删除文件”→勾选“删除所有脱机内容”,点“确定”。清除完毕后建议给系统打全所有安全补丁。</P>
<P>
二、COOL-WWW-SEARCH SMARTKILLER MINIREMOVAL专杀工具</P>
<P> 如果使用CWShredder时,一打开CWShredder,其窗口一闪就自动关闭,可能是遇到了一个通过阻挠反劫持软件的运行来阻止用户清除自己的CoolWebSearch变种。这时就要请该变种的专门清除工具COOL-WWW-SEARCH SMARTKILLER MINIREMOVAL出马了。</P>
<P>
COOL-WWW-SEARCH SMARTKILLER MINIREMOVAL专杀工具下载:
点击浏览该文件(需要解压)</P>
<P> 使用时请关闭所有IE和Windows的“资源管理器”窗口,然后再运行该工具,即可清除。</P>
<P>
三、HijackThis工具</P>
<P> 如果中了最新变种使用上述两个工具都无效,或者是中了非CoolWebSearch及其变种的恶意网页,那只有请出著名的HijackThis,该工具对于恶意网页代码尤其有效,对于查找系统内的木马/蠕虫也有很好的辅助作用!不但适用国外的恶意网页,也同样适用于国内的恶意网页。如果用寻常工具应付不了,建议使用该工具清除或辅助清除!!</P>
<P>
此主题相关图片如下:</P>
<P> 图十</P>
<P> 偶和闻道长安版主都发过介绍HijackThis的帖子,这是个很热门的工具,各大论坛和瑞星主页都有它的介绍。该工具虽然功能强大,使用方便,但一来由于其检查日志需要仔细分析,可能有的会员嫌麻烦;二来其日志涉及Hosts文件、BHO(浏览器的辅助模块)、自启动项、注册表键值、IE插件、ActiveX对象、IERESET.INF文件等等名词,刚入门菜鸟会员可能会觉得头晕。</P>
<P> 不过,如果你不想永远是菜鸟的话,建议你学习使用HijackThis,因为读懂了HijackThis的Log日志文件,你就算半个大虾了!^_^如果你不想成为大虾,也建议你使用HijackThis,因为你可以用HijackThis检查后点“保存日志”,保存后Log日志文件会自动打开,然后将所有内容帖到论坛,让大虾们帮助你分析问题。有磁自启动项、进程、IE插件、ActiveX对象、注册表关键键值等等在这个日志中都有!不仅适应于IE修复,所有涉及自启动项、进程、IE插件、ActiveX对象等故障的问题都适用!这比你费神又费力的长篇大论一气还让大虾们丈二和尚摸不着头越听越糊涂,要明了得多!有效的多!!呵呵……
好了,废话少说,言归正传。关于HijackThis,偶几个月以前就发过其下载及教程的帖子,就不重复发了,在这里只帖出其链接:
<P> 有一点请注意,使用HijackThis前,同样要关闭所有的其它程序窗口,包括资源管理器窗口!!</P>
<P> 强烈建议会员们学习使用HijackThis!!!</P>
<P>附录:
如何查看劫持IE的网址是否为CoolWebSearch及其变种</P>
<P>此主题相关图片如下:
<P>
图11</P>
<P> 第二步:该网页很长,我们拖动IE窗口右边的滑块,将其拖到如图12的位置:</P>
<P>此主题相关图片如下:
<P>
图12</P>
<P> 第三步:从图13所示的位置,按住鼠标左键不动,一直往网页右下角拖,看看,是不是出现了很多E文,好了,这就是我们要找的网址列表!只不过Merijn为了怕别人误点击,只保留了网址的关键部分。</P>
<P> 图13</P>
<P>
<P> 图14(小样儿,你往哪儿跑!这不出来了!^_^)</P>
<P>下面是偶昨晚才复制的最新列表,中了国外恶意网页的朋友可以将这些E文复制进记事本,用记事本的“查找”功能,输入恶意网址的关键词来找找。</P>
<P> 注意:不要尝试浏览这些网站,否则后果自负!
-----------------------------------------------------------------------------------------------------------------
The following domains belong to CWS affiliates and can be found on infected systems. This list is included to help people find this page. You should not be reading it. :) </P>
------------------------------------------------------------------------------------------------------------------
好了,总算完成了。
瑞星社区虽然有一个介绍CoolWeb Shredder的帖子,但版本是1.70的,这个是最新的2.0版,也没这个详细,而且其介绍恶意网址列表的链接已经失效。
早有写这个帖子的想法,原因是论坛上问这类故障的不少,而且基本上都得不到解决,清除CoolWebSearch不是一两句话能说清的。常在水边走,哪能不湿鞋。“黄山IE修复专家”虽然不错,但安装时会强迫安装中文域名系统,让人不爽!而且对一些新的CoolWebSearch变种不见得有效。希望大家收藏本文及相关软件,以备不时之需。
愿本帖对大家有所帮助!希望微笑能将本文及偶介绍HijackThis的那个转帖收录进网站,谢谢!</P>
<P>---------------------</P>
<P>下次有时间,就放一些绝的</P>
<P>第一么兴趣看</P><P>第二图全部是XX</P> 2016-8-13 01:59 编辑 <br /><br /><DIV class=quote><B>以下是引用<I>goenitzchild</I>在2005-7-2 15:48:00的发言:</B>
<P>第一么兴趣看</P>
<P>第二图全部是XX</P></DIV>
<P>
<P>ZT后才发现全是XX,用自己相册贴太烦了。其实图是可有可无的,没有也看得懂。</P>
<P>反真也不是我原创,看不看无所谓,只怕你们这些人遇到此类问题就束手无策了。</P>
我RP还好……还么遇到过……
页:
[1]