2548、4555网址导航的恶意插件清除方案.doc

浏览器首页被修改为/?in或怎么办？桌面上多了虚假的IE浏览器快捷方式、强制安装网易有道桌面词典、咪咕音乐、好压软件，该如何删除？安天病毒专家帮你分析解答。 ??????? 2010年6月9日，安天实验室接到用户上报一个篡改快速启动栏以及开始菜单内的IE浏览器主页并锁定IE首 页为或的顽固样本，当此样本运行后会弹出一个/?in的页面(如 图1)，在桌面上创建虚假的IE浏览器快捷方式、强制安装网易有道桌面词典、咪咕音乐、好压软件（如图2、 3、4.），具体分析如下： 图1. 图2. 图3. 图4. 样本描述： 该流氓软件样本文件为一个包裹，可用7z直接打开或解包（如图5.），此包裹文件内多为BAT批处理文件和 VBS脚本文件，此包裹文件运行后会批量运行包裹文件内部的批处理和VBS脚本文件,脚本行为如下： 将winare.vbs写入启动项（如图6.） 拷贝自身到C:\Program Files\WinWare目录下（如图7.） 写入多个计划任务（如图8.） 图5. 图6. 图7. 图8. ? ? 本地文件行为：（释放文件） c:\Documents and Settings\Administrator\Recent\winare.vbs.lnk c:\Documents and Settings\Administrator\Recent\启动.lnk c:\Documents and Settings\Administrator\桌面\Internet Exploror.lnk c:\Documents and Settings\All Users\「开始」菜单\程序\启动\winare.vbs c:\Documents and Settings\Administrator\Application Data\Microsoft\ Internet Explorer\Quick Launch\Internet Exploror.lnk c:\Program Files\Windows\360SE.vbs c:\Program Files\Windows\36OSE.vbs c:\Program Files\WinWare\360.cmd c:\Program Files\WinWare\360SE.vbs c:\Program Files\WinWare\361.cmd c:\Program Files\WinWare\36OSE.vbs c:\Program Files\WinWare\36O安全刘览器? 3.lnk c:\Program Files\WinWare\36O安全刘览器?3.lnk c:\Program Files\WinWare\Internet Exploror.lnk c:\Program Files\WinWare\tool.cmd c:\Program Files\WinWare\winare.vbs c:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX1\mi.exe c:\Documents and Settings\Administrator\Local Settings\Temp\0_37a.exe c:\Documents and Settings\Administrator\Local Settings\Temp\0_MiguMusic6.exe Settings\Temp\0_YoudaoDict_zhusha_quantui_004.exe c:\WINDOWS\Tasks\At10.job c:\WINDOWS\Tasks\At11.job c:\WINDOWS\Tasks\At12.job c:\WINDOWS\Tasks\At13.job c:\WINDOWS\Tasks\At14.job c:\WINDOWS\Tasks\At15.job c:\WINDOWS\Tasks\At16.job c:\WINDOWS\Tasks\At17.job c:\WINDOWS\Tasks\At18.job c:\WINDOWS\Tasks\At19.job c:\WINDOWS\Tasks\At2.job c:\WINDOWS\Tasks\At20.job c:\WINDOWS\Tasks\At21.job c:\WINDOWS\Tasks\At22.job c:\WINDOWS\Tasks\At23.job c:\WINDOWS\Tasks\At24.job c:\WINDOWS\Tasks\At25.job c:\WINDOWS\Tasks\At26.job c:\WINDOWS\Tasks\At2