endurer原创 2005.10.27第一版
*endurer注:为了安全起见,下文中的“http://”均用“hxxp://”代替。
刚才一位同事的电脑中的浏览器被恶意网站劫持了,请我帮忙处理。
同事的电脑使用的是:Windows ME (Win9x 4.90.3000)+ IE 6.00 SP1 (6.00.2800.1106)。
症状:
1、开机后会自动打开一个网页,如下图:
虽然地址栏显示的是hxxp://www.54kk.com,但网页内容却是baidu的东东。而且输入关键字,会显示出baidu的搜索结果。2、IE首页被改为hxxp://www.54kk.com,并且无法修改.
3、IE标题栏被加上后缀www.54kk.com。
修复:
1、用HijackThis扫描(你可以到hxxp://endurer.ys168.com的\tools\系统分析和修复文件夹中下载HijackThis),发现并修复如下项目:
O4 - HKLM\..\Run: [cnyisou_com] hxxp://www.54kk.com
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
2、下载并使用瑞星注册表修复工具修复IE标题栏。
瑞星注册表修复工具 下载链接。当然,我们也可以到注册表里手动修复,但还是用工具修复来得快和安全罢?
3、为了保险起见,清空IE临时文件夹。具体操作可参考:【系统修复系列之】如何 清空IE临时文件夹
疑问:
baidu与www.54kk.com是什么关系呢?
先检查了www.54kk.com对应的IP地址为:202.108.250.218;
再查找IP地址202.108.250.218的用户,正是北京市 Baidu百度公司
这个结果实在令人........
现在的悬念是:baidu何时开始使用202.108.250.218这个IP地址的呢?