天天看点

IE被www.537.com,www.COXDX.INFO劫持,修复~

  一位同事的电脑中IE一直使用265网址导航作首页,这天忽然变成hxxp://www.COXDX.INFO/?z012了,修改不回来,请我帮忙检修。

  打开Internet选项,手动修改首页为http://www.265.com/,但总不能生效。将该电脑中的360杀毒软件的实时监控禁用,下载安装金山卫士检修,没有检查出问题。

  使用pe_xscan扫描日志并分析,发现如下可疑项:

pe_xscan 11-03-17 by Purple Endurer

2011-6-30 11:35:23

Windows XP Service Pack 3(5.1.2600)

MSIE:6.0.2900.5512

管理员用户组

正常模式

O2 - IeAddOn(PPLive Lite Class) - {EF0D1A14-1033-41A2-A589-240C01EDC078}

   = C:\Program Files\Internet Explorer\PPLite\plugin\pplugin2.dll | 2011-6-9 11:14:36 | pplugin Module | 1, 1, 0, 24 | pplugin Module | Copyright 2008 | 1, 1, 0, 24 |  |  | pplugin | pplugin.DLL

O4 - HKLM\..\run: [duoduobox] C:\Program Files\duoduobox\duoduotray.exe

O9 - IE工具栏扩展按钮HKLM: - {8EF13CF9-5B58-4125-BB67-F6C9C3DE1E72} - C:\Program Files\Baidu\banlv\inside.dll

O9 - IE工具菜单扩展项HKLM:百度浏览伴侣设置 - {8EF13CF9-5B58-4125-BB67-F6C9C3DE1E72} - C:\Program Files\Baidu\banlv\inside.dll

O29 - HKCU-Start Page = hxxp://www.COXDX.INFO/?z012

O29 - HKLM-Start Page = http://www.265.com/

O29 - HKUS-Start Page = hxxp://www.537.com

C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch

     Intornot   Exploror .lnk -> C:\Program Files\jishu_145412\jishu_145412.exe

打开注册表编辑器,将HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main中的 Start Page 值改为 http://www.265.com/。