大陸百度搜尋網值入無法移除





reverso
2003-08-25, 12:29 AM
這是大陸的百度搜尋網值入的,ie被值入一個bdsrchhook class .dll的物件,在regedit只能搜尋到bdhelper,但無法刪除,請大家幫幫忙,謝謝.




baba_yu
2003-08-26, 11:30 AM
轉貼 百度.com的惡意ie是插件病毒??

若原來刪除又困難 請進入安全模式刪檔


一直不知道,直到今天看到這篇文章,然後查一下系統
和註冊表,果然是這樣子。我以前還一直納悶,為什麼防火牆
報告rundll32.exe這個系統工作老是試突連接網路。

baidu.com這個公司後台很硬,上次大陸中國政府把google.com
的dns換成baidu.com就是這個公司幕後指使的。
說不定你瀏覽
網站的時候,你的重要信息已經被baidu.com收集了。大家
一定要小心。
很多網友私下傳播反動信息,被國安局
帶走,估計就與這有關。

另外,就算你不瀏覽baidu.com也沒用。很多國局內網站給baidu.com
打廣告,會自動給你裝上這個惡意插件。防不勝防。唯一辦法
就是按這篇文章所說的方法做,徹底清除,一勞永逸。

「百度插件病毒」深度分析,一個比3721還噁心的東西。

來源:安全焦點
主旨:百度插件病毒」深度分析

最近發現在瀏覽一些網站時,會不知不覺的被安裝上一個來自百度公司名為「IE搜尋伴
侶」的IE插件。
這個插件極為怪異,有時的簽名是baidu.com,有時的簽名是Gaoling Interactive
Information Technology Corporation limited,不僅偷偷摸摸還極為霸道,3721一
類的IE插件還幾天彈一次,百度的這個插件卻每分每秒無時不刻的在瘋狂彈出,讓人防
不勝防。

百度插件開機自動執行「BIE」工作,拖慢上網速度,使系統執行極不穩定,在有的殺
毒軟體論壇裡用戶在聲討這個插件,很多網友發現百度插件安裝後不經用戶許可就刪除
用戶硬碟資料和註冊表項,致使一些軟體無法正常執行,更可怕的是百度這個叫
「BIE」的後台程序隱藏執行,在系統配置程序裡刪不掉,其對應的註冊表項刪除後又
自動恢復,與病毒的特徵完全一樣。在金山毒霸的論壇裡還有用戶反應百度插件與中國
遊戲中心在線客戶端、影音衛士等軟體衝突,關機時經常會致使IE出錯。

通過分析這個軟體的源碼可以看出,這是個一個寫得很粗糙的Windows應用程式
#include "windows.h"
#include "winbase.h"
void main()
{
char buf[MAX_PATH];
::ZeroMemory(buf, MAX_PATH);
::GetWindowsDirectory(buf, MAX_PATH);
char filename[MAX_PATH];
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, "\\Downloaded Program Files\\BDPlugin.dll");
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, "\\Downloaded Program Files\\BDHelper.dll");
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, "\\Downloaded Program Files\\BDSrHook.dll");
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, "\\Downloaded Program Files\\BDEx.dll");
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
}

但這個百度IE插件用正常的卸載方法根本不能完全卸載,下面給大家介紹完全卸載這個
插件的詳細方法。
由於這個百度IE插件是使用Rundll32.exe使用連接庫的,系統無法終止Rundll32.exe進
程,所以我們必須先重新啟動電腦,按 F8 進入安全模式(F8 只能按一次)之後,
按下 開始 -> 執行 regedit開啟註冊表,進入:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除鍵:BIE 其鍵值為:Rundll32 C:\WINNT\DOWNLO~1\BDPlugin.dll,Rundll32(如果
是win98,這裡的 C:\WINNT\DOWNLO~1\ 為 C:\WINDOWS\DOWNLO~1\)
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\AdvancedOptions\ACCESSIBILITY
刪除鍵:BDSEARCH,此鍵在 Internet 選項 -> 進階 中加入了百度IE搜尋伴侶的選
項。
HKEY_CLASSES_ROOT
刪除鍵:BDHlprObj.BDHlprObj
刪除鍵:BDHlprObj.BDHlprObj.1
刪除鍵:BDHook.BDSrchHook
刪除鍵:BDHook.BDSrchHook.1
刪除鍵:BDHook.URLBDHook
刪除鍵:BDHook.URLBDHook.1
刪除鍵:BDPlugins.Interceptor
刪除鍵:BDPlugins.Interceptor.1
HKEY_CLASSES_ROOT\CLSID
刪除鍵:{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
刪除鍵:{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
HKEY_CLASSES_ROOT\TypeLib
刪除鍵:{CE7C3CE2-4B15-11D1-ABED-709549C10000}
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID
刪除鍵:{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
刪除鍵:{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib
刪除鍵:{CE7C3CE2-4B15-11D1-ABED-709549C10000}
HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units
刪除鍵:{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
刪除鍵:{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
刪除完註冊表中的項之後,還需要刪除存儲在硬碟中IE搜尋伴侶的文件。
刪除如下文件:C:\WINNT\DOWNLO~1 目錄下(98下為 C:\WINDOWS\DOWNLO~1\ 下同)
BDEX.DLL 24576 12-25-02 11:43
BDPLUGIN.DLL 49152 12-25-02 11:44
BDSRHOOK.DLL 32768 12-25-02 11:45
BDHELPER.DLL 36864 12-25-02 11:52
BDSEARCH.INF 1507 12-28-02 9:48
以上文件全部刪除,這樣百度IE插件就基本上從你的電腦中全部清除了。最後,重新
啟動電腦,進入正常模式就不再有百度插件的侵害了。

下面是完全禁止百度插件的方法:
完全刪除百度插件之後,用Windows自帶的記事本開啟hosts文件(hosts文件是Windows
裡面自帶的將主機名稱映射到 IP 位址的一個文本格式的文件,hosts表位置,Win9x系
列在C:\Windows,NT、win2000平台在\winnt\system32\drivers\etc,Winxp平台在
\windows\system32\drivers\etc,如果找不到就搜尋一下hosts)

加入以下字串(IP和域名之間用一個空格間隔開):

127.0.0.1 bar.baidu.com
127.0.0.1 www.baidu.com
127.0.0.1 baidu.com

儲存的檔案名為hosts(注意不要加任何副檔名),怎麼樣?再也看不到百度插件的對話
框了吧?
同理,用Hosts文件還可以對付網頁中的廣告。現在很多大型網站,都有專門存放廣告
的主機,檢視網頁的來源碼,就可以知道廣告文件存放在哪台主機上,然後用Hosts文
件解析這台主機的IP,就可以把這些廣告拒之門外了。 這個方法不足的地方就是無法
訪問百度網站,不過我們都使用Google(www.google.com),百度網站也沒有訪問的價
值。

另外如果有用NetCaptor、MYIE、QQ瀏覽器等多頁面瀏覽器的網友也可以把:
www.baidu.com 202.108.250.228
bar.baidu.com 202.108.250.204
這些增加到黑名單,
把C段封殺
202.108.250.*
---------------------------
附件附上Hosts:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
127.0.0.1 bar.baidu.com #百度IE插件
127.0.0.1 www.baidu.com #百度IE插件
127.0.0.1 baidu.com #百度IE插件

stupid1211
2003-08-26, 08:50 PM
哇......好像有點複雜呢...^^"
還在消化中....^^"

reverso
2003-08-27, 01:10 PM
謝謝你的回覆,但已經用ghost處理掉,所以無法以你的方法試,但之前我也曾經以安全模式進入登錄檔刪除,但無法刪除某些相關登錄資料.登錄檔有些無法刪除更改,一直困擾我很久,之前也曾因按裝某硬體driver,於移除後登錄檔還是有殘餘造成衝突,也是無法刪除登錄資料,我一直覺得很奇怪,為什麼他人可以在非Administrator權限下去跟改你的登錄資料,而為什麼反而我在Administrator權限下卻無法修改呢?這微軟在搞甚麼飛機?順便想請問登錄檔放哪裡呢?謝謝.

baba_yu
2003-08-27, 03:41 PM
微軟對登錄檔某些有做管制 在正常下權限有些無法改 要改或刪 在登錄檔中 右鍵進入"使用權限"後設定後可改

琥珀
2003-08-27, 05:49 PM
2000 的話可以用 regedt32.exe 試試。

reverso
2003-08-27, 08:09 PM
謝謝baba_yu,琥珀,我來找別台試試.