看到论坛一求助,现象:开机自动打开三九医疗网(www.yl39.com……),并在桌面上生成两个IE图标:“让性爱更美好了”、“成人网站”,IE主页也被劫持,打开IE也是该网站,使用360查杀未果。
清除方案如下:
1.删除以下文件:
C:\Documents and Settings\Administrator\Local Settings\Temp\nsz94.tmp\kylin68.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\cc71562.exe
(建议全面清理临时文件与IE浏览器缓存文件)
c:\documents and settings\all users\application data\storm\update\%sessionname%\texdd.cc3
c:\program files\common files\microsoft shared\msinfo\iejore.exe
c:\program files\common files\microsoft shared\msinfo\iejore.exe
c:\windows\mssql.exe
c:\windows\system32\tccj.dll
c:\windows\system32\1037\mfc71.dll
c:\windows\system32\jsseting.data
c:\windows\explorer.exe
(用c:\windows\temp\explorer.exe或另外下载、复制同名正常的explorer.exe替换该文件,替换前须先结束其进程,或直接用工具SmtRpl,或使用启动盘启动后再替换)
2.使用SREng修复下面各项:
启动项目 -- 注册表之如下项删除:
[kylin68] < C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsz94.tmp\kylin68.exe>
注意该项[shell]修改:把<Explorer.exe C:\Program Files\Common Files\Microsoft Shared\MSINFO\iejore.exe>修改为<Explorer.exe>即清除Explorer.exe后面的内容
启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[TCCJ / LYTC] <C:\windows\System32\svchost.exe -k krnlsrvc-->%SystemRoot%\system32\tccj.dll>
[Windows CreaterIE / IE_WinServerName] <C:\windows\mssql.exe>
[Microsoft Foundation Classes / MFC] <C:\windows\System32\svchost.exe -k netsvcs-->%SystemRoot%\system32\1037\mfc71.dll>
[Messenger / Messenger] <C:\windows\system32\svchost.exe -k netsvcs-->C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\texdd.cc3>
最后使用有关修复工具再次修复系统与IE。如以上修复完成重启后仍发现个别正常网站不能打开,建议:
1、用正常文件替换c:\windows\sysytm32\shdoclc.dll与C:\WINDOWS\system32\dllcache\shdoclc.dll
2、检查组策略中是否有阻止的策略,并用SREng的系统修复-高级-高强度修复
3、清空IE缓存与临时文件,并检查IE的受限站点设置中有没有加入有关正常网站的网址
4、重置WINSOCK(或称为修复LSP)
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/843.html
