被www.9991.com劫持
翔龙
本人曾经被www.9991.com劫持过
也进入了www.9991.com
发现并不是什么恶意网站
初步分析与C:\WINNT\SYSTEM32\WBEM\IRJIT.DLL有关
【分析一】
IRJIT.DLL已经调用了RUNDLL32.EXE
举例如下:
[RUNDLL32.EXE]
CommandLine = C:\WINNT\SYSTEM32\RUNDLL32.EXE
C:\WINNT\SYSTEM32\WBEM\IRJIT.DLL,Export 1087
【分析二】
IRJIT.DLL自动创建了系统服务
但是系统服务的名称是变化的
举例如下:
O23 - Service: Microsoft Update Service (BKMARKS) - -
C:\WINDOWS\system32\rundll32.exe
c:\windows\system32\wbem\irjit.dll,export 1087
O23 - Service: Local Connection Manager (BNESS) - -
C:\WINNT\system32\rundll32.exe c:\winnt\system32\wbem\irjit.dll,export
1087
(卡卡助手扫描到的相关服务)
[DNS Cache / lDOMANE]
<D:\WINDOWS\SYSTEM32\RUNDLL32.EXE
D:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>
(System Repair Engineer扫描到的相关服务)
说明:
对于这个服务
用HIJACKTHIS有时会扫描不到
(我是用HIJACKTHIS来解决的,但本论坛大多数朋友的日志并没有扫描到该服务)
【解决测试方案】
通过System Repair
Engineer导出的日志查找IRJIT.DLL创建的系统服务
开始--控制面板--管理工具--服务
禁用其服务
开始--运行
输入regedit
确定
进入注册表
搜索IRJIT.DLL
删除其所在的系统服务文件夹
开机时按住F8<可以不停地按动F8>
选择"安全模式"或"SAFE MODE"进入安全模式
然后删除c:\winnt\system32\wbem\irjit.dll
进入正常模式下
重置一下IE首页
============
另外
在今天又在百度上搜索一下相关贴子
发现http://www.9991.com/劫持还与下面的相关文件夹有关连
C:\Program Files\Common Files\SAND\
C:\Program Files\Common Files\Update\
c:\windows\system32\update.exe
c:\windows\system32\res.exe
等等
============
http://www.9991.com/提供了首页解锁修复工具--fix.exe
http://www.9991.com/fix.exe
下载之后直接双击就可以设置主页为空白页
然后再重置一下IE首页
提醒:流氓网站的修复工具不知是否可靠?
翔龙
1.重新启动计算机,按F8,进入安全模式,查找并删除文件"spted.dll
"、"IRJIT.dll "
2.点击"开始",选择"运行",键入"regedit"命令,点击"确认"。
在"注册表编辑器"里,利用"编辑"菜单栏下的"查找"(按F3),分别查找参数"c:\windows\system32\spted.dll
"和"c:\windows\system32\wbem\IRJIT.dll
",将这些参数删除。重新启动,即可。