endurer 原创
2006-11-07 第1版
有位网友的电脑中的浏览器被www.ting789.com劫持,并发来了HijackThis扫描的log。
在log中发现如下可疑项目:
/---------
F3 - REG:win.ini: load=C:/windows/mobsync.exe
O4 - 启动项HKLM//Run: [mobsync] C:/windows/mobsync.exe
O4 - Startup: 0A5021.exe
O4 - Global Startup: 0A5021.exe
O21 - SSODL: DLMon - {590498A3-4131-4D8F-BA4B-36791A0803B1} -
C:/windows/system32/DLMain.dll (file missing)
---------/
修复建议:
重新启动到安全模式
设置系统显示所有文件和文件夹,不隐藏已知文件类型的扩展名
寻找如下文件:
/---------
C:/windows/mobsync.exe
C:/windows/system32/DLMain.dll
0A5021.exe(用开始菜单中的搜索功能查找)
---------/
把找到的文件用压缩软件(如winrar, winzip)打包备份,待全部修复工作完成后作为email附件发到endurer@163.com。
请关闭所有浏览器窗口和文件夹窗口,重新使用HijackThis扫描,在上列可疑项目前打上勾,然后点[修复](Fix)(如果你清楚某项是安全的,可以不处理):
清空IE临时文件夹
这个网址以前也曾造成比较大的危害,可参考:
关于hxxp://www.ting789.com/index.htm的问题请在这里讨论(endurer修改)
http://forum.ikaka.com/topic.asp?board=67&artid=6552776