工具/原料
-
xuetr0.37,金山系统急救箱或者金山卫士
步骤/方法
-
1首先查了下注册表,不见www.0749.com
然后检测mbr,未见异常,排除鬼影变种可能
在接下来查看快捷方式属性和插件,均未见异常。
额,让我想想。传了个xuetr过去,看看加载的模块,发现在iexplorer.exe进程下有一个3348201013.dat模块,看了下路径,在C盘Internet Explorer文件夹下。
之后检查注册表,删除http协议劫持,搞定~
所以解决方案如下
自动解决方案:下载使用金山系统急救箱或者金山卫士或者金山网盾来一键修复。
手动方案:关闭浏览器,然后删除c:\program files\Internet Explorer\3348201013.dat
(当然如果你的是新变种可能是其他的名字,一般都是数字.dat)
开始——运行,输入regedit打开注册表编辑器,找到这几个键值删除
[HKEY_CLASSES_ROOT\CLSID\{33482013-2010-1095-951B-9EA34E34E8CC}]
@="Windows HttpFilter"
"AppID"="{73A7FFA7-AA3A-49E5-A777-713B7DB78E9C}"
[HKEY_CLASSES_ROOT\CLSID\{33482013-2010-1095-951B-9EA34E34E8CC}\InprocServer32]
@="3348201013.dat"
HKEY_CLASSES_ROOT\PROTOCOLS\Name-Space Handler这个里面的http和about下让他都是空的就可以,把里面的都删掉就行,当然我这次遇到的如下,需要查找{33482013-2010-1095-951B-9EA34E34E8CC}然后把CLSID下的这个也删掉。查找这个可以通过搜索“3348201013.dat”定位。
[HKEY_CLASSES_ROOT\PROTOCOLS\Name-Space Handler\about\{33482013-2010-1095-951B-9EA34E34E8CC}]
"CLSID"="{33482013-2010-1095-951B-9EA34E34E8CC}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Name-Space Handler\http\{33482013-2010-1095-951B-9EA34E34E8CC}]
"CLSID"="{33482013-2010-1095-951B-9EA34E34E8CC}"
然后就喝杯咖啡歇着吧
END
注意事项
-
注意那个dat名字可能是变化的,还有那个注册表项也是不一定的,不过通过dat名字查找很方便,同时清空http和about即可了。
文章评论