PDA

我windows 7的桌面被綁



贊助商連結

newayne
2009-10-25, 02:15 AM
不知PO在防毒版,是否正當?
因為我windows 7的桌面被綁!
上次到大陸網站,不知道按甚麼
後來便安裝了一個簡體軟體(程式集上顯示亂碼)
桌面上多了三個廣告網站的連結!
我便趕快將軟體移除!
廣告連結刪除(圖一是我移除後,清空的桌面)
可是重新開機三個廣告網站的連結不是怎麼生出?令人頭痛(圖二)‧
誰幫幫我能移除他們!

謝謝!:|||:

贊助商連結

FYI
2009-10-25, 01:42 PM
www.77zt.com

<html><body><script>function decoder(){var aobb=new Array(198,106,148,49,231,162,171,164,91,236,151,8,217,174,30,233,165,66,131,16,106,204,168,103,6,137,189,226);var xgib=23;do{if(xgib<4)break;aobb[xgib]=(aobb[xgib]-aobb[xgib-1])&0xff;xgib--;}while(true);var xgib=2;while(true){if(xgib>25)break;aobb[xgib]=((((aobb[xgib]+aobb[xgib+1])&0xff)<<1)&0xff)|(((aobb[xgib]+aobb[xgib+1])&0xff)>>7);xgib++;}var xgib=2;while(true){if(xgib>26)break;aobb[xgib]=(aobb[xgib]+16)&0xff;aobb[xgib]=(~aobb[xgib])&0xff;xgib++;}return String.fromCharCode(aobb[1],aobb[2],aobb[5],aobb[9],aobb[11],aobb[13],aobb[14],aobb[16],aobb[17],aobb[20],aobb[21],aobb[23],aobb[25],aobb[26]);}</script><br><br><br><center><a href="javascript:window.location='/?'+decoder()">點擊進入主站</a><center></body></html>
請問該網站首頁弄得如此複雜, 有何目的? 而且就小弟觀察, 首頁代碼 (new Array) 還會不斷變換, 不知有何好處? 不歡迎網路蜘蛛嗎?

其次, 看起來必須啟用Javascript 才能進入主頁, 然而該語法似乎可以躲過Firefox 2.0.0.20 & NoScript 1.9.9.11, 在禁止Javascript 之下, 只有第一次開啟首頁才會出現以上代碼, 重新整理就會直接進入主站
newayne
2009-10-25, 04:16 PM
www.77zt.com

<html><body><script>function decoder(){var aobb=new Array(198,106,148,49,231,162,171,164,91,236,151,8,217,174,30,233,165,66,131,16,106,204,168,103,6,137,189,226);var xgib=23;do{if(xgib<4)break;aobb[xgib]=(aobb[xgib]-aobb[xgib-1])&0xff;xgib--;}while(true);var xgib=2;while(true){if(xgib>25)break;aobb[xgib]=((((aobb[xgib]+aobb[xgib+1])&0xff)<<1)&0xff)|(((aobb[xgib]+aobb[xgib+1])&0xff)>>7);xgib++;}var xgib=2;while(true){if(xgib>26)break;aobb[xgib]=(aobb[xgib]+16)&0xff;aobb[xgib]=(~aobb[xgib])&0xff;xgib++;}return String.fromCharCode(aobb[1],aobb[2],aobb[5],aobb[9],aobb[11],aobb[13],aobb[14],aobb[16],aobb[17],aobb[20],aobb[21],aobb[23],aobb[25],aobb[26]);}</script><br><br><br><center><a href="javascript:window.location='/?'+decoder()">點擊進入主站</a><center></body></html>
請問該網站首頁弄得如此複雜, 有何目的? 而且就小弟觀察, 首頁代碼 (new Array) 還會不斷變換, 不知有何好處? 不歡迎網路蜘蛛嗎?

其次, 看起來必須啟用Javascript 才能進入主頁, 然而該語法似乎可以躲過Firefox 2.0.0.20 & NoScript 1.9.9.11, 在禁止Javascript 之下, 只有第一次開啟首頁才會出現以上代碼, 重新整理就會直接進入主站

剛剛我才發現,他共產生四個連結檔,其中IE的圖示也連結到 http://www.727dh.cn/?cnc
其他連結到
http://www.223224.com/taobao/?desk
http://www.45575.com/?desk
http://www.77zb.com/?desk
我上次看過都是連到一些商業網站
我用AVAST掃過沒發現甚麼
只是沒辦法刪除它,
每次刪完後重新開機後,又會長出來
很煩人
FYI
2009-10-25, 10:06 PM
也許是分流到鏡像網站

樓主試試先以Sysinternals Procexp 刪除可疑的程序, 再以Autoruns 從註冊表移除可疑鍵值
newayne
2009-10-26, 01:10 AM
也許是分流到鏡像網站

樓主試試先以Sysinternals Procexp 刪除可疑的程序, 再以Autoruns 從註冊表移除可疑鍵值

我用PROCEXP實在無法看出何者程序有問題,
後在Autoruns裡發現一簡體.lnk
便把它刪掉
我有把未刪圖像捉下來
可惜太急著按重新開機
圖畫沒SAVE
這次四個網站連結沒出現!:p
我會再多試試!
謝謝
FYI:heart:
FYI
2009-10-26, 02:39 PM
不用再試了, 知道別再安裝沒把握的軟體即可, 看來這個軟體並非十惡不赦, 否則豈是如此輕易所能夠解決? 小弟還得感謝你, 因為原本以為有了FF + NoScript 便百毒不侵, 往往看到網友說哪兒有虎山, 便大著膽子向虎山行, 現在小弟可再也不敢隨便冒險了