一位同事的电脑中IE一直使用265网址导航作首页,这天忽然变成hxxp://www.COXDX.INFO/?z012了,修改不回来,请我帮忙检修。
打开Internet选项,手动修改首页为
http://www.265.com/
,但总不能生效。将该电脑中的360杀毒软件的实时监控禁用,下载安装金山卫士检修,没有检查出问题。
使用pe_xscan扫描日志并分析,发现如下可疑项:
pe_xscan 11-03-17 by Purple Endurer
2011-6-30 11:35:23
Windows XP Service Pack 3(5.1.2600)
MSIE:6.0.2900.5512
管理员用户组
正常模式
O2
–
IeAddOn(PPLive Lite Class)
–
{EF0D1A14-1033-41A2-A589-240C01EDC078}
=
C:\Program Files\Internet Explorer\PPLite\plugin\pplugin2.dll
|
2011-6-9 11:14:36
|
pplugin Module
|
1, 1, 0, 24
|
pplugin Module
|
Copyright 2008
|
1, 1, 0, 24
|
|
|
pplugin
|
pplugin.DLL
O4
–
HKLM\..\run: [duoduobox]
C:\Program Files\duoduobox\duoduotray.exe
O9
–
IE工具栏扩展按钮HKLM:
–
{8EF13CF9-5B58-4125-BB67-F6C9C3DE1E72} –
C:\Program Files\Baidu\banlv\inside.dll
O9
–
IE工具菜单扩展项HKLM:百度浏览伴侣设置
–
{8EF13CF9-5B58-4125-BB67-F6C9C3DE1E72}
–
C:\Program Files\Baidu\banlv\inside.dll
O29
–
HKCU-Start Page
=
hxxp://www.COXDX.INFO/?z012
O29
–
HKLM-Start Page
=
http://www.265.com/
O29
–
HKUS-Start Page
=
hxxp://www.537.com
C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch
Intornot Exploror .lnk
->
C:\Program Files\jishu_145412\jishu_145412.exe
打开注册表编辑器,将HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main中的 Start Page 值改为
http://www.265.com/
。
金山卫士随即提示IE首页被修改,要求确认是否允许。当然允许了。并用金山卫士将首页锁定为
http://www.265.com/
。
关于duoduotray.exe,可参考:
http://xml.ssdsandbox.net/view/f843b8dbb804349a40a7721482a574da