www.53ff.com劫持IE，广告网页图标常驻桌面，删了又来

最新推荐文章于 2021-06-10 16:45:26 发布

紫郢剑侠

最新推荐文章于 2021-06-10 16:45:26 发布

阅读量1.6w

点赞数

分类专栏：系统维护文章标签： ie 2010 imagelist internet exe delphi

本文链接：https://blog.csdn.net/Purpleendurer/article/details/5303609

版权

系统维护专栏收录该内容

495 篇文章 1 订阅

订阅专栏

　　一、网友求助

　　一位网友本来是想下载一个软件，谁知道下载回来的竟然是流氓软件。

　　这个流氓软件不仅替换了图面上的IE浏览器图标，将首页篡改为hxxp://www．53ff．com/?hho，在Internet选项中将主页设置为空白页也不行，还在桌面上创建广告网页的快捷方式文件，这些文件删除后重启电脑又会出现。

　　用360卫士、windows优化大师、超级兔子、Windows清理助手来修复，都不能解决问题，于是请偶帮忙检修。

　　二、分析

　　通过QQ远程协助，在网友的电脑桌面上看到如下广告的图标：

　　1、非常好玩小游戏

　　指向： "%ProgramFiles%/Internet Explorer/iexplore．exe"hxxp://www．45575．com/?desk

　　2、极品美媚图
　　指向："%ProgramFiles%/Internet Explorer/iexplore．exe" hxxp://www．93rt．com/?desk

　　3、免费电影
　　指向："%ProgramFiles%/Internet Explorer/iexplore．exe"hxxp://www．kuku46．com/?we2

　　4、淘宝网今日打折特价区
　　指向："%ProgramFiles%/Internet Explorer/iexplore．exe"hxxp://www．223224．com/taobao/?desk

　　在回传这些广告网址时，QQ提示：

　　警告：对方本次发送的消息中包含的网址被大量用户举报或存在较高安全风险，已经被QQ安全中心过滤。查看风险详情

只好将网址中的半角“.”换成全角的“．”才能发回来。

　　发现桌面上的IE图标是假的。指向：hxxp://www．53ff．com/?hho

　　右击出现的快捷方式菜单也不同：

　　桌面上创建广告网页的快捷方式文件删除后重启电脑又会出现，说明流氓软件还在网友的电脑中，并且每次开机时都自动运行并创建。

　　所以先用360卫士检查开机启动项，没有发现可疑的。

　　再用pe_xscan 扫描log，发现如下可疑项：

/===
pe_xscan 09-06-21 by Purple Endurer
2010-2-9 18:49:49
Windows XP Service Pack 2(5．1．2600)
MSIE:8．0．6001．18702
管理员用户组
正常模式

F2 - REG: system．ini: UserInit = ＜C:/WINDOWS/system32/userinit.exe,C:/Program Files/systemfiles/sys32.exe＞

O4 - Startup: 腾讯QQ.lnk -> C:/Program Files/systemfiles/222.vbs

O30 - IeOpenHomePage = C:/Program Files/Internet Explorer/iexplore.exe hxxp://www．53ff．com/?hho
===/

　　O4项居然冒充或篡改了腾讯QQ在开始/程序/启动中的快捷方式文件腾讯QQ.lnk，但直接检查开始菜单的启动组是看不到这一项的。

　　到 http://purpleendurer.ys168.com 下载FileInfo这个程序提取文件信息：

文件说明符 : C:/Documents and Settings/Administrator/「开始」菜单/程序/启动/腾讯QQ.lnk
属性 : --H-
数字签名:否
PE文件:否
创建时间 : 2010-2-8 18:27:15
修改时间 : 2010-2-8 18:27:16
大小 : 1446 字节 1．422 KB
MD5 : 0e93a85d5122a5576b13abed1229fe0f
SHA1: 5B6537D85C942D54AC353B89F7CA84526FCFBDF2
CRC32: bcfb2e4d

原来腾讯QQ.lnk这个文件具有隐藏（H）隐性。不过360卫士检测不出来就讲不过去了罢？

　　用WinRAR浏览C:/Documents and Settings/Administrator/「开始」菜单/程序/启动，可以看到腾讯QQ.lnk这个文件。

　　腾讯QQ.lnk指向的文件222.vbs与F2项中的可疑文件sys32.exe都位于C:/Program Files/systemfiles中。

　　F2项这种恶意程序加载方式已经出现N年了，360卫士不仅防不住，还检测不出来。

　　用WinRAR浏览C:/Program Files/systemfiles，里面的东东还不少：

　　1、

　　
文件说明符 : C:/Program Files/systemfiles/222.vbs
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2010-2-8 18:27:10
修改时间 : 2010-2-6 22:27:30
大小 : 9181 字节 8．989 KB
MD5 : 2d5689603ecd6136b4e97151d86a87ef
SHA1: E1B795DB6912D9F43D36E8B9DE4FB209A0D10DCA
CRC32: ff6e48bc

文件 222.vbs 接收于 2010.02.09 12:58:03 (UTC)

反病毒引擎	版本	最后更新	扫描结果
a-squared	4.5.0.50	2010.02.09	Trojan.VBS.StartPage!IK
AhnLab-V3	5.0.0.2	2010.02.09	-
AntiVir	7.9.1.160	2010.02.09	-
Antiy-AVL	2.0.3.7	2010.02.09	-
Authentium	5.2.0.5	2010.02.09	-
Avast	4.8.1351.0	2010.02.09	-
AVG	9.0.0.730	2010.02.09	-
BitDefender	7.2	2010.02.09	-
CAT-QuickHeal	10.00	2010.02.09	-
ClamAV	0.96.0.0-git	2010.02.09	-
Comodo	3874	2010.02.09	-
DrWeb	5.0.1.12222	2010.02.09	-
eSafe	7.0.17.0	2010.02.07	-
eTrust-Vet	35.2.7292	2010.02.09	-
F-Prot	4.5.1.85	2010.02.08	-
F-Secure	9.0.15370.0	2010.02.09	-
Fortinet	4.0.14.0	2010.02.09	-
GData	19	2010.02.09	-
Ikarus	T3.1.1.80.0	2010.02.09	Trojan.VBS.StartPage
Jiangmin	13.0.900	2010.02.08	-
K7AntiVirus	7.10.969	2010.02.08	-
Kaspersky	7.0.0.125	2010.02.09	-
McAfee	5886	2010.02.08	-
McAfee+Artemis	5886	2010.02.08	-
McAfee-GW-Edition	6.8.5	2010.02.09	-
Microsoft	1.5406	2010.02.09	Trojan:VBS/Startpage.H
NOD32	4850	2010.02.09	-
Norman	6.04.03	2010.02.09	-
nProtect	2009.1.8.0	2010.02.09	-
Panda	10.0.2.2	2010.02.07	-
PCTools	7.0.3.5	2010.02.09	Trojan.Adclicker
Prevx	3.0	2010.02.09	-
Rising	22.34.01.01	2010.02.09	AdWare.Script.VBS.AdLinks.f
Sophos	4.50.0	2010.02.09	-
Sunbelt	3.2.1858.2	2010.02.09	-
Symantec	20091.2.0.41	2010.02.09	Trojan.Adclicker
TheHacker	6.5.1.1.185	2010.02.09	-
TrendMicro	9.120.0.1004	2010.02.09	-
VBA32	3.12.12.1	2010.02.08	-
ViRobot	2010.2.9.2178	2010.02.09	-
VirusBuster	5.0.21.0	2010.02.09	-

功能为：
（1）获取特殊文件夹“桌面”、“收藏夹”的说明符。
（2）运行3．bat
（3）修改注册表HKCR/CLSID/{86AEFBE8-763F-0647-899C-A93278894D8E}，在桌面上创建一个无法删除的IE图标，在运行时自动打开hxxp://www．53ff．com/?hho，它的右键快捷菜单与正常的IE图标不同：

（4）在桌面创建广告网页的快捷方式文件：淘宝网今日打折特价区.lnk、非常好玩小游戏.lnk、免费电影.lnk、极品美媚图.lnk
（5）往收藏夹添加：千千体育直播．lnk、九品高清网络电视.lnk
（6）运行3．vbs
（7）修改注册表
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons/NewStartPanel/{871C5380-42A0-1069-A2EA-08002B30309D}
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons/ClassicStartMenu/{871C5380-42A0-1069-A2EA-08002B30309D}
并发送F5键刷新
（8）在快速启动栏创建广告网页的快捷方式文件：
超级好玩小游戏.lnk
淘宝网今日打折特价区.lnk
免费电影.lnk
（9）往收藏夹添加：
淘宝网 - 淘！我喜欢.url
45575在线小游戏，最好玩最快的小游戏.url
当当网 – 全球最大的中文网上书店&购物中心.url
卓越亚马逊网上购物图书，手机，数码，家电，化妆品，钟表，首饰等在线销售.url
看电视剧，最新最好的绿色免费电视剧网站.url
最新绿色免费电影！高速高清！天天更新！！！．url
极品美媚清纯写真！！美图大集合！.url
最新免费在线小说阅读！！速度快内容丰富！！！.url
（10）修改注册表，创建F2项。

　　2、
文件说明符 : C:/Program Files/systemfiles/3．bat
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2010-2-8 18:27:10
修改时间 : 2010-2-5 21:19:4
大小 : 3612 字节 3．540 KB
MD5 : ab7717fd438d173f5dc2b0c9aa6d035a
SHA1: 44FF3FB753D4F61890EC51742CCF62D672DE7180
CRC32: c364ef90

文件 3.bat 接收于 2010.02.09 13:10:47 (UTC)

反病毒引擎	版本	最后更新	扫描结果
a-squared	4.5.0.50	2010.02.09	-
AhnLab-V3	5.0.0.2	2010.02.09	-
AntiVir	7.9.1.160	2010.02.09	-
Antiy-AVL	2.0.3.7	2010.02.09	-
Authentium	5.2.0.5	2010.02.09	-
Avast	4.8.1351.0	2010.02.09	-
AVG	9.0.0.730	2010.02.09	-
BitDefender	7.2	2010.02.09	-
CAT-QuickHeal	10.00	2010.02.09	-
ClamAV	0.96.0.0-git	2010.02.09	-
Comodo	3874	2010.02.09	-
DrWeb	5.0.1.12222	2010.02.09	-
eSafe	7.0.17.0	2010.02.07	-
eTrust-Vet	35.2.7292	2010.02.09	-
F-Prot	4.5.1.85	2010.02.08	-
F-Secure	9.0.15370.0	2010.02.09	-
Fortinet	4.0.14.0	2010.02.09	-
GData	19	2010.02.09	-
Ikarus	T3.1.1.80.0	2010.02.09	-
Jiangmin	13.0.900	2010.02.08	-
K7AntiVirus	7.10.969	2010.02.08	-
Kaspersky	7.0.0.125	2010.02.09	-
McAfee	5886	2010.02.08	-
McAfee+Artemis	5886	2010.02.08	-
McAfee-GW-Edition	6.8.5	2010.02.09	-
Microsoft	1.5406	2010.02.09	Trojan:BAT/Startpage.B
NOD32	4850	2010.02.09	-
Norman	6.04.03	2010.02.09	-
nProtect	2009.1.8.0	2010.02.09	-
Panda	10.0.2.2	2010.02.07	-
PCTools	7.0.3.5	2010.02.09	-
Prevx	3.0	2010.02.09	-
Rising	22.34.01.01	2010.02.09	-
Sophos	4.50.0	2010.02.09	-
Sunbelt	3.2.1858.2	2010.02.09	-
Symantec	20091.2.0.41	2010.02.09	-
TheHacker	6.5.1.1.185	2010.02.09	-
TrendMicro	9.120.0.1004	2010.02.09	-
VBA32	3.12.12.1	2010.02.08	-
ViRobot	2010.2.9.2178	2010.02.09	-
VirusBuster	5.0.21.0	2010.02.09	-

功能为：
（1）强制删除桌面上的：
Internet Explorer.lnk
IEXPLORE.lnk
IEXPLOREr.lnk
Internet Exp*．lnk
Internet*．lnk
Internet *．url

（2）强制删除开始菜单程序组中的：
Internet*．lnk
*Internet*．lnk
Internet Explorer．url
Internet Explorer．lnk

（3）强制删除快速启动栏上的：
Internet Explorer．url
Internet Explorer．lnk

（4）在桌面上创建指向 hxxp://www．53ff．com/?hho 的 Internet Exp1orer．url

（5）在快速启动栏上创建指向 hxxp://www．53ff．com/?hho 的 Internet Exp1orer．url

（6）在开始菜单程序组中创建指向 hxxp://www．53ff．com/?hho 的 Internet Exp1orer．url
（7）修改注册表：
将HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command的值改为："%ProgramFiles%/Internet Explorer/iexplore．exe hxxp://www．53ff．com/?hho

（8）强制删除快速启动栏上的：启动 Internet Explorer 浏览器．lnk
（9）强制删除桌面上的：*Internet*．lnk
（10）在开始菜单中创建指向 hxxp://www．53ff．com/?hho 的 Internet Exp1orer．url

　　3、

　　
文件说明符 : C:/Program Files/systemfiles/3．vbs
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2010-2-8 18:27:10
修改时间 : 2010-2-5 20:43:20
大小 : 2812 字节 2．764 KB
MD5 : 86aeb8066ce39296ade59254f7212571
SHA1: A0B86FB5F679C9A74A03ED3C43063ECAEA3F018F
CRC32: c6af776f

文件 3.vbs 接收于 2010.02.09 13:05:41 (UTC)

反病毒引擎	版本	最后更新	扫描结果
a-squared	4.5.0.50	2010.02.09	Trojan.VBS.StartPage!IK
AhnLab-V3	5.0.0.2	2010.02.09	-
AntiVir	7.9.1.160	2010.02.09	-
Antiy-AVL	2.0.3.7	2010.02.09	-
Authentium	5.2.0.5	2010.02.09	-
Avast	4.8.1351.0	2010.02.09	-
AVG	9.0.0.730	2010.02.09	-
BitDefender	7.2	2010.02.09	-
CAT-QuickHeal	10.00	2010.02.09	-
ClamAV	0.96.0.0-git	2010.02.09	-
Comodo	3874	2010.02.09	-
DrWeb	5.0.1.12222	2010.02.09	-
eSafe	7.0.17.0	2010.02.07	-
eTrust-Vet	35.2.7292	2010.02.09	-
F-Prot	4.5.1.85	2010.02.08	-
F-Secure	9.0.15370.0	2010.02.09	-
Fortinet	4.0.14.0	2010.02.09	-
GData	19	2010.02.09	-
Ikarus	T3.1.1.80.0	2010.02.09	Trojan.VBS.StartPage
Jiangmin	13.0.900	2010.02.08	-
K7AntiVirus	7.10.969	2010.02.08	-
Kaspersky	7.0.0.125	2010.02.09	-
McAfee	5886	2010.02.08	-
McAfee+Artemis	5886	2010.02.08	-
McAfee-GW-Edition	6.8.5	2010.02.09	-
Microsoft	1.5406	2010.02.09	Trojan:VBS/Startpage.G
NOD32	4850	2010.02.09	-
Norman	6.04.03	2010.02.09	-
nProtect	2009.1.8.0	2010.02.09	-
Panda	10.0.2.2	2010.02.07	-
PCTools	7.0.3.5	2010.02.09	Trojan.Adclicker
Prevx	3.0	2010.02.09	-
Rising	22.34.01.01	2010.02.09	-
Sophos	4.50.0	2010.02.09	Troj/VBSDl-B
Sunbelt	3.2.1858.2	2010.02.09	-
Symantec	20091.2.0.41	2010.02.09	Trojan.Adclicker
TheHacker	6.5.1.1.185	2010.02.09	-
TrendMicro	9.120.0.1004	2010.02.09	-
VBA32	3.12.12.1	2010.02.08	-
ViRobot	2010.2.9.2178	2010.02.09	-
VirusBuster	5.0.21.0	2010.02.09	-

功能为：
（1）获取特殊文件夹“桌面”、“收藏夹”的说明符。
（2）将桌面上所有扩展名为lnk的文件指向的目标修改为 hxxp://www．53ff．com/?hho
（3）将快速启动栏上所有扩展名为lnk的文件指向的目标修改为 hxxp://www．53ff．com/?hho
（4）将开始菜单上所有扩展名为lnk的文件指向的目标修改为 hxxp://www．53ff．com/?hho
（6）调用Doits22255()，对下面的浏览器进行处理：
TTraveler．exe
SogouExplorer．exe
TheWorld．exe
Maxthon．exe
360SE．exe

　　4、

文件说明符 : C:/Program Files/systemfiles/9ptvs1．exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-2-8 18:27:10
修改时间 : 2010-2-6 21:40:48
大小 : 3928071 字节 3．764 MB
MD5 : 8cd430104b07827d188f63510fa4d9f5
SHA1: 5900885143489970327A40ABAE6304DDF4B6B4A5
CRC32: 687f1d47

文件 9ptvs1.rar 接收于 2010.02.09 13:49:14 (UTC)

反病毒引擎	版本	最后更新	扫描结果
a-squared	4.5.0.50	2010.02.09	-
AhnLab-V3	5.0.0.2	2010.02.09	-
AntiVir	7.9.1.160	2010.02.09	TR/Drop.Agent.38394
Antiy-AVL	2.0.3.7	2010.02.09	-
Authentium	5.2.0.5	2010.02.09	-
Avast	4.8.1351.0	2010.02.09	-
AVG	9.0.0.730	2010.02.09	-
BitDefender	7.2	2010.02.09	-
CAT-QuickHeal	10.00	2010.02.09	-
ClamAV	0.96.0.0-git	2010.02.09	-
Comodo	3875	2010.02.09	-
DrWeb	5.0.1.12222	2010.02.09	-
eSafe	7.0.17.0	2010.02.07	-
eTrust-Vet	35.2.7292	2010.02.09	-
F-Prot	4.5.1.85	2010.02.09	-
F-Secure	9.0.15370.0	2010.02.09	-
Fortinet	4.0.14.0	2010.02.09	-
GData	19	2010.02.09	-
Ikarus	T3.1.1.80.0	2010.02.09	Virus.Win32.Delf
Jiangmin	13.0.900	2010.02.08	-
K7AntiVirus	7.10.969	2010.02.08	-
Kaspersky	7.0.0.125	2010.02.09	-
McAfee	5886	2010.02.08	-
McAfee+Artemis	5886	2010.02.08	Artemis!8CD430104B07
McAfee-GW-Edition	6.8.5	2010.02.09	Trojan.Drop.Agent.38394
Microsoft	1.5406	2010.02.09	-
NOD32	4850	2010.02.09	-
Norman	6.04.03	2010.02.09	-
nProtect	2009.1.8.0	2010.02.09	-
Panda	10.0.2.2	2010.02.07	-
PCTools	7.0.3.5	2010.02.09	-
Rising	22.34.01.01	2010.02.09	-
Sophos	4.50.0	2010.02.09	Mal/Generic-A
Sunbelt	3.2.1858.2	2010.02.09	-
Symantec	20091.2.0.41	2010.02.09	Suspicious.Insight
TheHacker	6.5.1.1.185	2010.02.09	-
TrendMicro	9.120.0.1004	2010.02.09	-
VBA32	3.12.12.1	2010.02.08	-
ViRobot	2010.2.9.2178	2010.02.09	-
VirusBuster	5.0.21.0	2010.02.09	-

附加信息
File size: 3885961 bytes
MD5...: cd9ed4fb5f0fe496746b5057ebd912a8
SHA1..: 4a439e1becd956174aeb155757c2e66d2dbe22ce
SHA256: 56867e36bcb33e0b371b3dad1f62eb5627ff04b796547d61f55d172a45805e7c
ssdeep: 98304:gam4q9SzscaOLLxjDI7VoeE0D/pcMUZFI7hCAddohwb5BhYV6dQV:3m4qV caWlDqVoeEmgKIA7AO54z
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set -
trid..: RAR Archive (83.3%) REALbasic Project (16.6%)
packers (Kaspersky): UPX, PE_Patch.UPX, UPX
pdfid.: -
sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned
packers (F-Prot): NSIS, UPX, UTF-8

　　5、

文件说明符 : C:/Program Files/systemfiles/ffate．exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-2-8 18:27:10
修改时间 : 2010-2-5 20:54:24
大小 : 504832 字节 493．0 KB
MD5 : 944246b3426526bae101ae472cc9013e
SHA1: A31D5F047B559E82A7D3DFAE1B4AE6689E5D4100
CRC32: 2fa99a25

文件 ffate.exe 接收于 2010.02.09 13:39:57 (UTC)

反病毒引擎	版本	最后更新	扫描结果
a-squared	4.5.0.50	2010.02.09	-
AhnLab-V3	5.0.0.2	2010.02.09	-
AntiVir	7.9.1.160	2010.02.09	-
Antiy-AVL	2.0.3.7	2010.02.09	-
Authentium	5.2.0.5	2010.02.09	-
Avast	4.8.1351.0	2010.02.09	-
AVG	9.0.0.730	2010.02.09	-
BitDefender	7.2	2010.02.09	-
CAT-QuickHeal	10.00	2010.02.09	-
ClamAV	0.96.0.0-git	2010.02.09	-
Comodo	3875	2010.02.09	-
DrWeb	5.0.1.12222	2010.02.09	-
eSafe	7.0.17.0	2010.02.07	-
eTrust-Vet	35.2.7292	2010.02.09	-
F-Prot	4.5.1.85	2010.02.09	-
F-Secure	9.0.15370.0	2010.02.09	-
Fortinet	4.0.14.0	2010.02.09	-
GData	19	2010.02.09	-
Ikarus	T3.1.1.80.0	2010.02.09	-
Jiangmin	13.0.900	2010.02.08	-
K7AntiVirus	7.10.969	2010.02.08	-
Kaspersky	7.0.0.125	2010.02.09	-
McAfee	5886	2010.02.08	New Malware.gr
McAfee+Artemis	5886	2010.02.08	Artemis!944246B34265
McAfee-GW-Edition	6.8.5	2010.02.09	Heuristic.LooksLike.Win32.Backdoor.I
Microsoft	1.5406	2010.02.09	-
NOD32	4850	2010.02.09	-
Norman	6.04.03	2010.02.09	-
nProtect	2009.1.8.0	2010.02.09	-
Panda	10.0.2.2	2010.02.07	-
PCTools	7.0.3.5	2010.02.09	-
Prevx	3.0	2010.02.09	-
Rising	22.34.01.01	2010.02.09	-
Sophos	4.50.0	2010.02.09	-
Sunbelt	3.2.1858.2	2010.02.09	-
Symantec	20091.2.0.41	2010.02.09	Suspicious.Insight
TheHacker	6.5.1.1.185	2010.02.09	-
TrendMicro	9.120.0.1004	2010.02.09	-
VBA32	3.12.12.1	2010.02.08	Trojan-Downloader.Win32.Banload.aovl
ViRobot	2010.2.9.2178	2010.02.09	-
VirusBuster	5.0.21.0	2010.02.09	-

附加信息
File size: 504832 bytes
MD5...: 944246b3426526bae101ae472cc9013e
SHA1..: a31d5f047b559e82a7d3dfae1b4ae6689e5d4100
SHA256: d0f9e1b34d29f75e3d0169a6d5f68716036015991bae92e245596d49c4a5f658
ssdeep: 12288:Zunc4OJdx2Y8DdBXXEEY3TB4/aKb6aGn3zb:knO/xjGdBXn+2/Fb6T3z
PEiD..: -
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x67e48 timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992) machinetype.......: 0x14c (I386) ( 8 sections ) name viradd virsiz rawdsiz ntrpy md5 CODE 0x1000 0x66e98 0x67000 6.52 4b3aa3daea01fd630915a84dfc38a6f5 DATA 0x68000 0x1be4 0x1c00 4.52 47670943517ef07e0077c3d3c9d54113 BSS 0x6a000 0xf0d 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .idata 0x6b000 0x20e0 0x2200 4.94 2b6c1432a749304602fdd2b17bdafc26 .tls 0x6e000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rdata 0x6f000 0x18 0x200 0.20 2ba170fb60af8e1fcb9c603111e999ca .reloc 0x70000 0x819c 0x8200 6.65 6a611a930fb0bdb69c3d8af72547a3ea .rsrc 0x79000 0x7e00 0x7e00 4.46 57795beb285ed9808771ee84c4e65ec5 ( 14 imports ) > kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, ExitThread, CreateThread, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle > user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA > advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey > oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen > kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA > advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey > kernel32.dll: lstrcpyA, WriteFile, WaitForSingleObject, VirtualQuery, VirtualAlloc, Sleep, SizeofResource, SetThreadLocale, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, ResumeThread, ResetEvent, ReadFile, MulDiv, LockResource, LoadResource, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GlobalUnlock, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetVersionExA, GetVersion, GetTimeZoneInformation, GetTickCount, GetThreadLocale, GetTempPathA, GetSystemInfo, GetStringTypeExA, GetStdHandle, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileSize, GetExitCodeThread, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetCPInfo, GetACP, FreeResource, InterlockedIncrement, InterlockedExchange, InterlockedDecrement, FreeLibrary, FormatMessageA, FindResourceA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateThread, CreateFileA, CreateEventA, CompareStringA, CloseHandle > version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA > gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SaveDC, RestoreDC, RectVisible, RealizePalette, PatBlt, MoveToEx, MaskBlt, LineTo, IntersectClipRect, GetWindowOrgEx, GetTextMetricsA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectA, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, ExcludeClipRect, DeleteObject, DeleteDC, CreateSolidBrush, CreatePenIndirect, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, BitBlt > user32.dll: CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowsHookExA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClassLongA, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OffsetRect, OemToCharA, MsgWaitForMultipleObjects, MessageBoxA, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClientRect, GetClassNameA, GetClassInfoA, GetCapture, GetActiveWindow, FrameRect, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, ClientToScreen, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, CharNextA, CharLowerA, CharUpperBuffA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout > kernel32.dll: Sleep > oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit > comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Remove, ImageList_DrawEx, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create, InitCommonControls > shell32.dll: ShellExecuteA ( 0 exports )
RDS...: NSRL Reference Data Set -
pdfid.: -
sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned
trid..: Win32 Executable Borland Delphi 7 (66.2%) Win32 Executable Borland Delphi 6 (25.9%) Win32 EXE PECompact compressed (generic) (4.1%) Win32 Executable Delphi generic (1.4%) Win32 Executable Generic (0.8%)

　　6、

文件说明符 : C:/Program Files/systemfiles/sys32．exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-2-8 18:27:10
修改时间 : 2010-2-6 21:11:36
大小 : 193361 字节 188．849 KB
MD5 : ce43529db2daf47b586ff489bfa91177
SHA1: 58E7843A1F5768D2D5202723DC939B752034290B
CRC32: eed7e6ae

文件 sys32.exe 接收于 2010.02.09 13:14:49 (UTC)

反病毒引擎	版本	最后更新	扫描结果
a-squared	4.5.0.50	2010.02.09	-
AhnLab-V3	5.0.0.2	2010.02.09	-
AntiVir	7.9.1.160	2010.02.09	-
Antiy-AVL	2.0.3.7	2010.02.09	-
Authentium	5.2.0.5	2010.02.09	-
Avast	4.8.1351.0	2010.02.09	-
AVG	9.0.0.730	2010.02.09	-
BitDefender	7.2	2010.02.09	-
CAT-QuickHeal	10.00	2010.02.09	-
ClamAV	0.96.0.0-git	2010.02.09	-
Comodo	3874	2010.02.09	-
DrWeb	5.0.1.12222	2010.02.09	-
eSafe	7.0.17.0	2010.02.07	-
eTrust-Vet	35.2.7292	2010.02.09	-
F-Prot	4.5.1.85	2010.02.09	-
F-Secure	9.0.15370.0	2010.02.09	-
Fortinet	4.0.14.0	2010.02.09	-
GData	19	2010.02.09	-
Ikarus	T3.1.1.80.0	2010.02.09	-
Jiangmin	13.0.900	2010.02.08	-
K7AntiVirus	7.10.969	2010.02.08	-
Kaspersky	7.0.0.125	2010.02.09	-
McAfee	5886	2010.02.08	-
McAfee+Artemis	5886	2010.02.08	-
McAfee-GW-Edition	6.8.5	2010.02.09	-
Microsoft	1.5406	2010.02.09	-
NOD32	4850	2010.02.09	-
Norman	6.04.03	2010.02.09	-
nProtect	2009.1.8.0	2010.02.09	-
Panda	10.0.2.2	2010.02.07	-
PCTools	7.0.3.5	2010.02.09	-
Rising	22.34.01.01	2010.02.09	-
Sophos	4.50.0	2010.02.09	-
Sunbelt	3.2.1858.2	2010.02.09	-
Symantec	20091.2.0.41	2010.02.09	Suspicious.Insight
TheHacker	6.5.1.1.185	2010.02.09	-
TrendMicro	9.120.0.1004	2010.02.09	-
VBA32	3.12.12.1	2010.02.08	-
ViRobot	2010.2.9.2178	2010.02.09	-
VirusBuster	5.0.21.0	2010.02.09	-

附加信息
File size: 193361 bytes
MD5 : ce43529db2daf47b586ff489bfa91177
SHA1 : 58e7843a1f5768d2d5202723dc939b752034290b
SHA256: 21d39cb838626d42b9f43b3996cec911cda0fb0dbf90b3d1a430a1cc486f0242
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x30CB timedatestamp.....: 0x4A2AE29C (Sat Jun 6 23:41:48 2009) machinetype.......: 0x14C (Intel I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x58D2 0x5A00 6.43 c69726ed422d3dcfdec9731986daa752 .rdata 0x7000 0x1190 0x1200 5.18 a2c7710fa66fcbb43c7ef0ab9eea5e9a .data 0x9000 0x1AF78 0x400 4.62 e59cdcb732e4bfbc84cc61dd68354f78 .ndata 0x24000 0x8000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x2C000 0x27D50 0x27E00 4.87 34e68d5c3a392f0c3f9d435e29038821 ( 8 imports ) > advapi32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA > comctl32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create > gdi32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject > kernel32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, GetWindowsDirectoryA, SetFileTime, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, CreateFileA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetTempPathA > ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance > shell32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation > user32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow > version.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA ( 0 exports )
TrID : File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%)
ssdeep: 3072:PLk395hYXJJW8lOes5wR1XNAb5TSymoKeVnQ08Wl6fHYdhZ72Plqi4D8hC0olUkf:PQq3Hiha46PYdhZKPn8llUk8Dv+jGEDP
PEiD : -
packers (F-Prot): NSIS
RDS : NSRL Reference Data Set -

　　O30这种劫持IE的方式也已经出现很久了。

　　三、修复

　　1、删除桌面上的广告网页的快捷方式文件
　　2、用Windows自带的“桌面清理”工具来删除桌面的两个IE浏览器的快捷方式。步骤如下：

　　在桌面空白处右键单击，然后依次选择“属性→桌面→自定义桌面→现在清理桌面”，在打开的“清理桌面向导”中点“下一步”，然后在“快捷方式”区域选中桌面上的假IE图标，然后下一步 → 完成。

　　3、到http://endurer.ys168.com下载HijackThis修复 F2 和 O24项。

　　4、运行注册表编辑器regedit，搜索：53ff.com，双击找到的项目，将值中的hxxp://www．53ff．com/?hho删除。
　　5、　用WinRAR删除启动文件夹中的快捷方式文件腾讯QQ.lnk
　　6、用WinRAR删除文件夹：C:/Program Files/systemfiles
　　7、检修桌面、开始菜单程序、快速启动项上的快捷方式

　　让网友重启电脑，这下电脑正常了。

紫郢剑侠

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
打赏
7
评论
www.53ff.com劫持IE，广告网页图标常驻桌面，删了又来

　　一、网友求助　　一位网友本来是想下载一个软件，谁知道下载回来的竟然是流氓软件。　　这个流氓软件不仅替换了图面上的IE浏览器图标，将首页篡改为hxxp://www．53ff．com/?hho，在Internet选项中将主页设置为空白页也不行，还在桌面上创建广告网页的快捷方式文件，这些文件删除后重启电脑又会出现。　　用360卫士、windows优化大师、超级兔子、Windo
复制链接

扫一扫