消除惡意網站木馬攻擊--功敗垂成,重灌windows xp ----記錄3
1. 依網路上的教學文章,手動更改 registry file 中之 key value, 無效 !!
****重新開機,只開 adsl modem ,就 會被強制開啟MS IE 6.0,
連到許多沒去過的惡意網站.
數量太多,PC 速度大減.
2.網路上掃毒
kapersky 及 ca 連不上, trend micro 只能找到木馬程式,卻無法清除!!
3. Ad-Aware SE (安裝在 自己PC中,個人使用免費)能找到許多木馬程式並加以隔離!!
其中許多惡意程式及木馬,我們不是專家,根本不知道,找不到!!
4. Ad-Aware SE清除後,RUNDLL 模組缺少惡意程式及木馬,失去功能,
連不上惡意網站.情況大幅改善!!
5.****重新開機,只開 adsl modem ,仍 會被傳入許多惡意程式到 C:\WINDOWS目錄,
一再刪除,徒勞無功!
****重新開機,只開 adsl modem ,仍 會被傳入許多惡意程式到 C:\WINDOWS目錄!!
6.研判可能已被鎖定為攻擊目標,要求電信公司更改我的 IP 位址 (數字)後,
A: 只開 adsl modem ,不 會被傳入許多惡意程式到 C:\WINDOWS目錄,
B: 開啟MS IE 6.0後,仍會想更改首頁,但
C: GOOGLE 會提出 安全瀏覽警告,可惜太慢出現,
<< Warning - 造訪此網站可能會損害您的電腦! - 您要造訪的網頁可能是偽造網頁!
若要瞭解更多關於惡意軟體和如何保護自己的資訊,請參閱 StopBadware.org 。 這個網頁的目的很有可能是誘騙使用者透露其個人或財務資訊。 在這個網頁上輸入任何個人資訊可能會導致身分被盜用或遭受其他詐騙。
您可以在這裡參閱更多關於詐騙的資訊:antiphishing.org。
或者您可以繼續前往 http://digitaltreath.info/cgi-bin/mail.cgi?p=ruser,但風險需自行承擔。>>
D: 一再 出現 DriveDefenser 警告 窗 ,疑似假好心的網頁,
Locussoftcorp 的東西
http://sec.storageguardsoft.com/drivedefender.com/DriveDefender/installer_en.cab ,
我不安裝!!
懷疑中,GOOGLE 安全瀏覽警告又出現,
E : DriveDefenser 警告 窗一直關不掉,
只能從底部工作列按 [關閉群組],無效!!
又出現檔案下載窗!!
真有這麼擇善固執的好人? 懷疑!!
按 control+alt+del ,從 windows 工作管理員 窗中去選項,按 [工作結束] !!
好不容易脫離糾纏,一不小心按錯就慘了.
7. delete C:\Documents and Settings\username\Cookies 目錄中的一大堆 files 如
username@drivedefender[1].txt .
暫時脫離糾纏,
開啟MS IE 6.0後,仍會被傳入許多 cookies !!
8 上午 01:56 2008/3/14
開啟MS IE 6.0後,仍會被傳入許多 cookies
到 C:\Documents and Settings\username\Cookies 目錄中!!
username@140[2].txt
username@adnetserver[1].txt
username@bestsellerantivirus[2].txt
username@gomyron[1].txt
username@sales.bestsellerantivirus[1].txt
用 netstat -n 查看
C:\Documents and Settings\username>netstat -n
Active Connections
Proto Local Address Foreign Address State
TCP 10.246.xxx.xx :4018 202.102.201.82:80 TIME_WAIT
TCP 10.246.xxx.xx :4019 202.102.201.112:80 TIME_WAIT
TCP 10.246.xxx.xx :4022 202.102.201.82:80 TIME_WAIT
TCP 10.246.xxx.xx :4026 59.60.30.210:80 TIME_WAIT
TCP 10.246.xxx.xx :4027 59.60.30.210:80 TIME_WAIT
TCP 10.246.xxx.xx:4031 59.60.30.210:80 TIME_WAIT
TCP 10.246.xxx.xx:4050 222.189.237.140:1800 SYN_SENT
TCP 10.246.xxx.xx:4052 59.60.30.210:80 TIME_WAIT
TCP 127.0.0.1:2720 127.0.0.1:2722 ESTABLISHED
TCP 127.0.0.1:2722 127.0.0.1:2720 ESTABLISHED
TCP 127.0.0.1:2723 127.0.0.1:2725 ESTABLISHED
TCP 127.0.0.1:2725 127.0.0.1:2723 ESTABLISHED
3-----------
下載 kavo-killer 殺掉 usb 病毒,卻殺不掉木馬,
開機後日期就被改成 2000 年 1 月 1 日,
強迫連到惡意網頁,連續開 50 多個 ie 網頁還不停止.
誤刪幾個疑似木馬檔案後,開機進不了 windows xp 畫面,
還不斷重複關機又開機,依 microsoft 的說明去修復主控台,
卻無法解決問題,只好重新安裝 xp .
2008年3月13日 星期四
2008年3月11日 星期二
重新設定首頁
重新設定首頁
# 被 http://888y.com/ 網站綁架
◆ 首先先重新設定你的首頁!
1. 按"開始" → "執行" → 然後在"開啟"的空格內輸入"regedit" 接著
會跑出"登錄編輯器".
2. 進入 HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main 和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
然後右邊會有一個數值為" Start Page " → 這是在修改你的"首頁" 也
就是每次開啟IE瀏覽器所出現的第一個網頁 → 你只要在這個"Start
Page"的數值上按滑鼠左鍵兩下然後輸入你想要的網站!
例如: 網路遮罩的網址為: http://br.geocities.com/itapema_br/
3. 另外再進入 HKEY_CURRENT_USER\Software\Policies\Microsoft 如
果有 " Internet Explorer " 的資料夾,那就刪除 " Internet Explorer "整個
資料夾即可!
◆ 接著再用這個網址 → " http://888y.com " 在登錄編輯器上搜尋,找到
的通通砍除!
◆ 然後是清除開機會再執行IE的問題!
1. 按"開始" → "執行" → 然後在"開啟"的空格內輸入"regedit" 接著
會跑出"登錄編輯器".
2. 進入
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi
on\Run 和
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersio
n\Run 如果有看到數值為 iexplore,資料為 http://888y.com 的登錄檔把
它刪除吧! 或是有看到數值為 internat.exe,資料為 http://888y.com 的
登錄檔也把它刪除吧!
◆ 最後就是重點了! 也就是清除開機會在登錄的問題!
1. 按"開始" → "執行" → 然後在"開啟"的空格內輸入"regedit" 接著
會跑出"登錄編輯器".
2. 進入
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi
on\Run 和
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersio
n\Run 然後右邊會有個數值為" zxdows " , 資料為 " regedit -s c:
\windows\system\zxdows.dll "
數值為" " , 資料為 " regedit-sc:\windows\system\u18.dll "
數值為" 88u88 " , 資料為 " regedit-sc:\windows\system\88u88.dll "
數值為" u18 " , 資料為 " regedit-sc:\windows\system\u18.dll "
麻煩你把它刪除吧! 只要有看到數值是跟上方一樣,或是資料跟上
方一樣! 都把它通通砍掉!
3. 進入
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi
on 和
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersio
n 看看是不是有個資料夾為 " Run- " ,是 " Run- " 不是 " Run " 喔!有
的話,麻煩你把它整個資料夾刪除吧!
4. 按"開始" → "搜尋" → 然後在 c:\windows\system 去搜尋 zxdows.dll
和 u18.dll 和 88u88.dll 找到後直接刪除!
或是直接到c:\windows\system找到這些檔案 ,來直接刪除他! (但,必
須關閉"工具" → "資料夾選項" → "檢視"中的隱藏系統檔..才可以看
的到 那些檔案)
PS:此檔案一定要刪除!
◆ 大致上這樣已經OK了! 移除完後,重開機即可成功解除了!
不過還要在麻煩你看看你的新增移除程式有沒有被安裝了網路實名!
(我的電腦 → 控制台 → 新增移除程式) 有的話,直接點選移除!
==================
上午 04:01 2008/3/12
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\
有一個機值,名稱為" Start Page " , 其 "資料"(數值)為
http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid=
{SUB_CLSID}&pver={SUB_PVER}&ar=home
改為http://www.microsoft.com/
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
有一個機值,名稱為" Start Page " , 其 "資料"(數值)為
http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid=
{SUB_CLSID}&pver={SUB_PVER}&ar=home
改為http://www.microsoft.com/
# 被 http://888y.com/ 網站綁架
◆ 首先先重新設定你的首頁!
1. 按"開始" → "執行" → 然後在"開啟"的空格內輸入"regedit" 接著
會跑出"登錄編輯器".
2. 進入 HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main 和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
然後右邊會有一個數值為" Start Page " → 這是在修改你的"首頁" 也
就是每次開啟IE瀏覽器所出現的第一個網頁 → 你只要在這個"Start
Page"的數值上按滑鼠左鍵兩下然後輸入你想要的網站!
例如: 網路遮罩的網址為: http://br.geocities.com/itapema_br/
3. 另外再進入 HKEY_CURRENT_USER\Software\Policies\Microsoft 如
果有 " Internet Explorer " 的資料夾,那就刪除 " Internet Explorer "整個
資料夾即可!
◆ 接著再用這個網址 → " http://888y.com " 在登錄編輯器上搜尋,找到
的通通砍除!
◆ 然後是清除開機會再執行IE的問題!
1. 按"開始" → "執行" → 然後在"開啟"的空格內輸入"regedit" 接著
會跑出"登錄編輯器".
2. 進入
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi
on\Run 和
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersio
n\Run 如果有看到數值為 iexplore,資料為 http://888y.com 的登錄檔把
它刪除吧! 或是有看到數值為 internat.exe,資料為 http://888y.com 的
登錄檔也把它刪除吧!
◆ 最後就是重點了! 也就是清除開機會在登錄的問題!
1. 按"開始" → "執行" → 然後在"開啟"的空格內輸入"regedit" 接著
會跑出"登錄編輯器".
2. 進入
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi
on\Run 和
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersio
n\Run 然後右邊會有個數值為" zxdows " , 資料為 " regedit -s c:
\windows\system\zxdows.dll "
數值為" " , 資料為 " regedit-sc:\windows\system\u18.dll "
數值為" 88u88 " , 資料為 " regedit-sc:\windows\system\88u88.dll "
數值為" u18 " , 資料為 " regedit-sc:\windows\system\u18.dll "
麻煩你把它刪除吧! 只要有看到數值是跟上方一樣,或是資料跟上
方一樣! 都把它通通砍掉!
3. 進入
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi
on 和
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersio
n 看看是不是有個資料夾為 " Run- " ,是 " Run- " 不是 " Run " 喔!有
的話,麻煩你把它整個資料夾刪除吧!
4. 按"開始" → "搜尋" → 然後在 c:\windows\system 去搜尋 zxdows.dll
和 u18.dll 和 88u88.dll 找到後直接刪除!
或是直接到c:\windows\system找到這些檔案 ,來直接刪除他! (但,必
須關閉"工具" → "資料夾選項" → "檢視"中的隱藏系統檔..才可以看
的到 那些檔案)
PS:此檔案一定要刪除!
◆ 大致上這樣已經OK了! 移除完後,重開機即可成功解除了!
不過還要在麻煩你看看你的新增移除程式有沒有被安裝了網路實名!
(我的電腦 → 控制台 → 新增移除程式) 有的話,直接點選移除!
==================
上午 04:01 2008/3/12
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\
有一個機值,名稱為" Start Page " , 其 "資料"(數值)為
http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid=
{SUB_CLSID}&pver={SUB_PVER}&ar=home
改為http://www.microsoft.com/
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
有一個機值,名稱為" Start Page " , 其 "資料"(數值)為
http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid=
{SUB_CLSID}&pver={SUB_PVER}&ar=home
改為http://www.microsoft.com/
IE 首頁被綁架的移除法-及-家庭用電腦如何做安全防護
IE 首頁被綁架的移除法-及-家庭用電腦如何做安全防護
昨天下載 excel VBA 電子書 ,被 惡意網站 [網址大全] 植入木馬, 又綁架 microsoft internet explorer ,努力清除中....
好在還有 FIREFOX 可用.
IE 首頁被綁架的移除法---下址有教學,
http://forum.shareget.com/t22741/
[分享]我的家庭用電腦如何做安全防護
http://blog.xuite.net/taiwango/vegetarian/284104
昨天下載 excel VBA 電子書 ,被 惡意網站 [網址大全] 植入木馬, 又綁架 microsoft internet explorer ,努力清除中....
好在還有 FIREFOX 可用.
IE 首頁被綁架的移除法---下址有教學,
http://forum.shareget.com/t22741/
[分享]我的家庭用電腦如何做安全防護
http://blog.xuite.net/taiwango/vegetarian/284104
2008年3月6日 星期四
30 多年胃痛胃酸逆流,3次治好--王小姐的故事
30 多年胃痛胃酸逆流,3次治好--王小姐的故事
等待王小姐回應,以親身經歷做見證
等待王小姐回應,以親身經歷做見證
- 留言者: Bauty
- Email: shen1199@gmail.com
- 網址:
- 日期: 2008-03-20 23:10:19
訂閱:
文章 (Atom)