瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 www.9991.com劫持解决测试方案【推荐】

12345   1  /  5  页   跳转

www.9991.com劫持解决测试方案【推荐】

收藏
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-03-29 08:44 | 只看楼主 短消息 资料
字号: 1楼

www.9991.com劫持解决测试方案【推荐】

【案例】
本人曾经被www.9991.com劫持过
也进入了www.9991.com
发现并不是什么恶意网站
初步分析与C:\WINNT\SYSTEM32\WBEM\IRJIT.DLL有关

【分析一】
IRJIT.DLL已经调用了RUNDLL32.EXE
举例如下:
[RUNDLL32.EXE]
CommandLine = C:\WINNT\SYSTEM32\RUNDLL32.EXE C:\WINNT\SYSTEM32\WBEM\IRJIT.DLL,Export 1087

【分析二】
IRJIT.DLL自动创建了系统服务
但是系统服务的名称是变化的
举例如下:
O23 - Service: Microsoft Update Service (BKMARKS) -  - C:\WINDOWS\system32\rundll32.exe c:\windows\system32\wbem\irjit.dll,export 1087
O23 - Service: Local Connection Manager (BNESS) - - C:\WINNT\system32\rundll32.exe c:\winnt\system32\wbem\irjit.dll,export 1087
(卡卡助手扫描到的相关服务)

[DNS Cache / lDOMANE]
<D:\WINDOWS\SYSTEM32\RUNDLL32.EXE D:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>
(System Repair Engineer扫描到的相关服务)

说明:
对于这个服务
用HIJACKTHIS有时会扫描不到
(我是用HIJACKTHIS来解决的,但本论坛大多数朋友的日志并没有扫描到该服务)

【解决测试方案】
通过System Repair Engineer导出的日志查找IRJIT.DLL创建的系统服务

开始--控制面板--管理工具--服务
禁用其服务

开始--运行
输入regedit
确定 
进入注册表
搜索IRJIT.DLL
删除其所在的系统服务文件夹

开机时按住F8<可以不停地按动F8>
选择"安全模式"或"SAFE MODE"进入安全模式
然后删除c:\winnt\system32\wbem\irjit.dll

进入正常模式下
重置一下IE首页

============
另外
在今天又在百度上搜索一下相关贴子
发现http://www.9991.com/劫持还与下面的相关文件夹有关连
C:\Program Files\Common Files\SAND\
C:\Program Files\Common Files\Update\
c:\windows\system32\update.exe
c:\windows\system32\res.exe
等等

============

http://www.9991.com/提供了首页解锁修复工具--fix.exe
http://www.9991.com/fix.exe
下载之后直接双击就可以设置主页为空白页
然后再重置一下IE首页
提醒:流氓网站的修复工具不知是否可靠?
最后编辑2006-06-03 17:27:40
分享到:
gototop
 
艾玛
头像
大版主
  • 帖子:18894
  • 注册: 2004-01-01
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-03-29 08:58 | 短消息 资料
字号: 2楼

不言放弃:

c:\winnt\system32\wbem\irjit.dll强制删除试过么?

你天天都在线
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-03-29 09:12 | 只看楼主 短消息 资料
字号: 3楼

引用:
【艾玛的贴子】不言放弃:

c:\winnt\system32\wbem\irjit.dll强制删除试过么?

你天天都在线



...........................

也试过
但是好像删除不了
以前我是这样操作的:
用icesword结束irjit.dll被插入的rundll32.exe进程后
再删除c:\winnt\system32\wbem\irjit.dll
但是删除不了

我用费尔木马强力删除助手也无法删除

我没有测试KILLBOX
估计用KILLBOX能够删除

至于如何删除
就看大家的方法了
呵呵

DOS下结束相关进程后
再删除相关文件
或许是一条捷径
嘻嘻
gototop
 
2116bromgamed2m
头像
锋芒艾服狮
  • 帖子:1263
  • 注册: 2005-10-18
  • 来自:SC
发表于: 2006-03-30 01:40 | 短消息 资料
字号: 4楼

楼主又写拉一个很实用的好作品!
建议版主置顶
gototop
 
幻影影幻
头像
初生襁褓狮
  • 帖子:63
  • 注册: 2006-02-22
  • 来自:
发表于: 2006-03-30 03:21 | 短消息 资料
字号: 5楼

谢谢楼主,我这几天也被锁定这个网站,这个网站也没有什么不好,只是强行把别人的主页锁住不讨人喜欢.
这个网站有个解除主页锁定的的工具,下载这个工具安装运行后,可暂把浏览器恢复到空白主页;还需删除注册表中包含www.9991.com的键;然后搜索电脑包含www.9991.com的有关文件,删除.
我是这样做的,呵呵.
gototop
 
魔法学徒
头像
卡卡技术团队
  • 帖子:11465
  • 注册: 2004-10-03
  • 来自:
发表于: 2006-03-31 23:24 | 短消息 资料
字号: 6楼

支持原创,置顶5天鼓励
gototop
 
反黑小巨人
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2006-04-01
  • 来自:
发表于: 2006-04-01 06:34 | 短消息 资料
字号: 7楼

帮帮我吧!   我的电脑也是被www.9991.com黑的啊
  我的是在C:\program files\Internet Explorer\IEXPLORE.EXE
      帮帮我!
gototop
 
大连蓝天
头像
社区嘉宾
  • 帖子:20967
  • 注册: 2004-02-17
  • 来自:
卡卡名人堂十周年
发表于: 2006-04-01 14:11 | 短消息 资料
字号: 8楼

狂顶楼主,学习啦。
gototop
 
天使之剑
头像
社区嘉宾
  • 帖子:2961
  • 注册: 2005-09-15
  • 来自:
发表于: 2006-04-01 19:57 | 短消息 资料
字号: 9楼

【回复“不言放弃”的帖子】
学习一下……
gototop
 
々太子々
头像
初生襁褓狮
  • 帖子:177
  • 注册: 2005-04-16
  • 来自:
发表于: 2006-04-02 09:38 | 短消息 资料
字号: 10楼

支持LZ 我也是这个网站的受害者
gototop
 
<<上一主题|下一主题>>
12345   1  /  5  页   跳转
页面顶部
Powered by Discuz!NT