hxxp://www.hao923.com.cn/劫持浏览器-CFANZ编程社区

　　一位网友在国庆那天，为了在网上看阅兵式，从网上下载安装了一个软件，不料IE主页被劫持为hxxp://www.hao923.com.cn/，用超级巡警无法修复，请偶帮忙检修。

　　右击网友电脑桌面上的IE图标，发现弹出的是网址快捷方式的快捷菜单，看来那个软件把桌面原有的IE图标换成了指向的hxxp://www.hao923.com.cn/的快捷方式，开始菜单中的Internet Explorer菜单项也被换了，全部删除。

　　快速启动项中的IE快捷方式也被篡改为：

"C:/Program Files/Internet Explorer/iexplore.exe" hxxp://www.hao923.com.cn/

　　改回为：

"C:/Program Files/Internet Explorer/iexplore.exe"

　　用电脑中的HijackThis扫描log，发现如下可疑项：

O4 - HKLM/../Run: [0CE164] C:/WINDOWS/system32/827828/0CE164.EXE
O4 - Startup: 0CE164.lnk = C:/WINDOWS/system32/827828/0CE164.EXE

　　用FileInfo提取C:/WINDOWS/system32/827828/0CE164.EXE文件信息，用bat_do打包备份后删除。

　　在HijackThis把这两个O4项钩上，修复。

　　打开注册表编辑器，定位到

[HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command

右边的默认值被篡改为

"C:/Program Files/Internet Explorer/iexplore.exe" hxxp://www.hao923.com.cn/

了，双击之，改为：

"C:/Program Files/Internet Explorer/iexplore.exe"

附：

文件说明符 : C:/WINDOWS/system32/827828/0CE164.EXE
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-2-26 17:14:50
修改时间 : 2009-2-26 17:14:52
大小 : 114688 字节 112.0 KB
MD5 : cd1e6a2e9ca60ddd73c38433bb76b5b8
SHA1: C441992B69671D5E845FB9BF0090F7B6B1B65542
CRC32: 25010717

文件 0CE164.EXE 接收于 2009.10.03 05:30:34 (UTC)

反病毒引擎	版本	最后更新	扫描结果
a-squared	4.5.0.24	2009.10.03	Trojan.Dloader!IK
AhnLab-V3	5.0.0.2	2009.10.02	-
AntiVir	7.9.1.27	2009.10.02	-
Antiy-AVL	2.0.3.7	2009.10.02	-
Authentium	5.1.2.4	2009.10.02	W32/Agent.CM.gen!Eldorado
Avast	4.8.1351.0	2009.10.02	-
AVG	8.5.0.420	2009.10.02	Agent.4.I
BitDefender	7.2	2009.10.03	-
CAT-QuickHeal	10.00	2009.10.03	(Suspicious) - DNAScan
ClamAV	0.94.1	2009.10.03	-
Comodo	2498	2009.10.03	-
DrWeb	5.0.0.12182	2009.10.03	Trojan.Siggen.3067
eSafe	7.0.17.0	2009.10.01	-
eTrust-Vet	31.6.6774	2009.10.02	-
F-Prot	4.5.1.85	2009.10.02	W32/Agent.CM.gen!Eldorado
F-Secure	8.0.14470.0	2009.10.02	Worm.Win32.FlyStudio.cd
Fortinet	3.120.0.0	2009.10.03	-
GData	19	2009.10.03	-
Ikarus	T3.1.1.72.0	2009.10.03	Trojan.Dloader
Jiangmin	11.0.800	2009.09.27	-
K7AntiVirus	7.10.858	2009.10.01	-
Kaspersky	7.0.0.125	2009.10.03	Worm.Win32.FlyStudio.cd
McAfee	5759	2009.10.02	Generic Downloader!hv.u
McAfee+Artemis	5759	2009.10.02	Generic Downloader!hv.u
McAfee-GW-Edition	6.8.5	2009.10.02	Heuristic.LooksLike.Win32.Suspicious.H
Microsoft	1.5101	2009.10.02	TrojanDropper:Win32/Silly_P2P.B
NOD32	4477	2009.10.02	-
Norman	6.01.09	2009.10.02	-
nProtect	2009.1.8.0	2009.10.03	-
Panda	10.0.2.2	2009.10.02	Suspicious file
PCTools	4.4.2.0	2009.10.02	-
Prevx	3.0	2009.10.03	-
Rising	21.49.22.00	2009.09.30	Worm.Win32.Autorun.fje
Sophos	4.45.0	2009.10.03	Mal/Autorun-I
Sunbelt	3.2.1858.2	2009.10.02	-
Symantec	1.4.4.12	2009.10.03	Backdoor.Trojan
TheHacker	6.5.0.2.027	2009.10.02	-
TrendMicro	8.950.0.1094	2009.10.02	PAK_Generic.001
VBA32	3.12.10.11	2009.10.03	Backdoor.Win32.FlyAgent.kn
ViRobot	2009.10.2.1968	2009.10.02	-
VirusBuster	4.6.5.0	2009.10.02	-

附加信息
File size: 114688 bytes
MD5...: cd1e6a2e9ca60ddd73c38433bb76b5b8
SHA1..: c441992b69671d5e845fb9bf0090f7b6b1b65542
SHA256: ff6d00599cb586bce0c010c5364b3f5ff1cc6e68d8d64c769dec8ae6a6b6d105
ssdeep: 3072:qFijZxiWGPey3dFEtEut3V0PxrxEyUppOl1uYxtbBwJd6sI4M6AM0fUHSmp<BR>sFijd:qwjPtYqt/5HyFijgPTBQCxggo<BR>
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set<BR>-
pdfid.: -
trid..: Win32 Executable Generic (38.5%)<BR>Win32 Dynamic Link Library (generic) (34.2%)<BR>Clipper DOS Executable (9.1%)<BR>Generic Win/DOS Executable (9.0%)<BR>DOS Executable Generic (9.0%)
sigcheck:<BR>publisher....: n/a<BR>copyright....: n/a<BR>product......: n/a<BR>description..: n/a<BR>original name: n/a<BR>internal name: n/a<BR>file version.: n/a<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>
packers (Kaspersky): PE-Crypt.CF, PE-Crypt.CF
packers (F-Prot): PE-Crypt.CF

这种劫持浏览器的方法，以前也遇到过，如：