Storm_Center

　　最近365j .com比较烦人，除了恶意篡改IE，还有苹果工具条也带来同样的365j麻烦，特地搜索手工清除方法及专杀工具，帮助有这方面麻烦的朋友搞定这个网站的恶意推广。

　　本例中的365j并没有直接劫持IE主页，而是修改了在开始菜单旁边的快速启动栏中的IE快捷方式的属性，在快捷方式目标指向的IE程序后面添加自己的网址：http://www.365j.com/?xxx5。不仅如此，还限制用户修改与删除此快捷方式。

　　本例修复结果未经证实，因此仅供参考。症状：IE主页自动设置成了这个http://www.9348.cn/?205466，无法更改，用瑞星扫描也找不到任何病毒木马。

　　论坛求助弹出QQ错误报告，IE主页被改成http://www.7241.cn/?s1，还有iexplore.exe应用程序错误。在SREng扫描的日志中发现三个可疑对象，须首先全部删除……

症状：大量exe程序被感染，注册表中发现dnsq.dll，应该是磁碟机，因为该病毒感染了exe文件，因此除以下清除项目外，还是需要杀毒软件修复被感染的文件。因此不论是否重装系统，在杀毒前不要运行中毒电脑上任何exe文件，以防重新感染，而是在清除下列文件后与项目后，下载磁碟机专杀或绿色扫描版的杀毒软件，如DR.WEB进行修复，至少也要把原来电脑上安装的杀毒软件拯救回来，然后再用它升级杀毒。

症状：电脑发出慕名的声音，未打开QQ也会发出QQ的咳嗽声，从任务管理器中发现后台打开很多奇怪的网页，如小屁孩日记、嘻喔喔、WOYO、激情聊天室……等等，即使当时结束它们，还会自动打开。

症状：电脑自动弹网页，如51173.com等，经检查，发现如下可疑文件：wuauctl.exe、smartbaidu.dll、smartclick.dll、smartpopup.dll、smartsearch。注意，第一个wuauctl.exe，这可不是windows自动更新程序，系统那个自动更新的文件名则是wuauclt.exe。

　　IE主页被www.9348.cn/?205459劫持，注册表中没有找到该网址的痕迹，IE快捷方式也正常，因此可以肯定本地电脑上有病毒或木马在保护被劫持IE主页、不允许用户进行修复。

　　本例也是IE主页被iexx.com篡改，但与以前收录的iexx.com篡改主页相同的地方都是由于下载某软件后中的招，但生成的文件不同，因此清除方法也不同：使用SREng禁用驱动[39148292009722191455]和[39152092009722191455]

　　不同于上次发现的365j.com篡改主页的情况，本次篡改IE主页的是由一个叫“苹果工具条”的软件引起的，这是一个结合网站导航的工具条，安装后会修改IE快捷方式的属性及修改注册表，导致劫持IE访问365j导航网站，而且在每次用户修复IE快捷方式的属性或直接删除被篡改的快捷方式后，还会再次篡改或重新生成带365j网址的快捷方式，颇具流氓气质。