前天本人上网,不小心开打了一个国外的XXX网页,结果about:blank的内容被修改了,很是气愤。打开之后虽然地址栏里显示的地址仍是about:blank,但是内容却是一个搜索引擎的界面。为了还我操作系统的清白,于是我做了以下事情:
1、怀疑病毒捣鬼!尝试使用了某国产正版的杀毒软件杀毒——解决不了问题,升级为最新的病毒库后依然解决不了问题。一个病毒都没有找到,看来不是病毒作祟!
2、怀疑有开机运行的木马程序。打开msconfig,没有任何可疑的东东。
3、怀疑IE设置或注册表被该!尝试使用3721,baidu,和超级兔子提供的IE修复工具。3721和baidu的工具运行后看似什么都没做——确实如此。超级兔子修复过以后,哇!居然正常了!~~再次打开IE,又出了原来的问题。
4、直接修改注册表。查看那个被该的网页的源文件,发现有代码
<form id=formWeb action="http://oz.msie.tv/search.php" method=get target="_main">
于是进入regedit搜索"http://oz.msie.tv"——无结果任何。接着修改.../software/microsoft/internet explorer/main中的几个键值,效果跟超级兔子一样,该过后第一次打开IE正常,第二次打开又出了原来的问题。
5、上网救助,到baidu搜索:
"about:Blank 被修改",
"about:Blank 被改",
"空白页 被修改",
"空白页 被改"
哈!到是搜索到几十条相关信息,打开察看后发现,50%的信息是喊我去下载什么IE修复工具(前面已经试过了),40%的信息喊我修改注册表(也试过了,无济于事),剩下的就不说了,有的是和我一样遭殃了发出的求救信息,还有的是称赞这是一种比较厉害的黑客技术——我晕!
6、怀疑是开机加载了带有恶意代码的dll(作为程序员,不可能不想到这个问题)。拿来写东东用的ultraedit,搜索c:/下面的所有文件(要选中完全匹配和包括子目录哦),查找"http://oz.msie.tv"一个都没有找到。我是web程序员出身,对网页的源代码还是比较了解,我发现那个搜索界面的提交按钮是一个名为go.gif的文件,我查找了整个硬盘,和整个C:/上的dll文件,都没有发现go.gif的存在!这是怎么了?为什么凭空出来一个go.gif呢?我又回到源文件中,发现有这么一条:
<base href="res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%79%73%74%65%6d%33%32%5c%64%6e%6f%6e%2e%64%6c%6c/">
哈哈,终于被我找到!刚才真粗心,怎么就忽略了这样一条重要的信息?res是resource是意思,它后面跟的一串字符就是资源文件的位置!我尝试了在浏览器中输入
“res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%79%73%74%65%6d%33%32%5c%64%6e%6f%6e%2e%64%6c%6c/go.gif”,
果然成功打开了那个作为提交按钮的图片!下一步就是翻译
“%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%79%73%74%65%6d%33%32%5c%64%6e%6f%6e%2e%64%6c%6c”
的含义了,我没有什么好方法,用了一个很笨的法子!用Flashget,因为原来用flaseget从ftp下东西的时候也曾出现过类似的代码。将
“res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%79%73%74%65%6d%33%32%5c%64%6e%6f%6e%2e%64%6c%6c/go.gif”
作为下载url添加——报错!说是非法的URL!换套衣服再试,用
“http://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%79%73%74%65%6d%33%32%5c%64%6e%6f%6e%2e%64%6c%6c/go.gif”
做为url,这下没有报错!只是文件无法下载,原因是:
Fri Mar 05 21:01:43 2004 正在连接 C:/WINDOWS/System32/dnon.dll:80
Fri Mar 05 21:01:44 2004 无法解析域名
Fri Mar 05 21:01:44 2004 有错误发生!
哈哈,终于找到!罪魁祸首就是dnon.dll.赶紧删之!(我本估计它已经驻内存,需要用copylock才可删除,没想到轻易的一个shift+del就解决了,呵呵~~~)
然后,进入regedit,搜索dnon.dll,果然有好几条!全删了!
一切风平浪静!系统终于安宁如初!(可能还有残余的什么,不过我不知道了)。
========================================================================
本来已经收笔了,后来还是想起描述一下这个东东的症状,也方便需要之人搜索到。
1.about:blank空白页,被改,被修改。内容是一个搜索引擎页面。IE的搜索页也被修改。
2.在C:/Documents and Settings/..../Local Settings/Temp里生成一个叫做sp.htm的网页,删除后每次打开IE其会自动生成。
3.每次打开IE的时候会自动重置.../software/microsoft/internet explorer/main中的几个键值,使超级兔子等工具的修改被改回!
4.about:blank中搜索页面的提交地址为http://oz.msie.tv/search.php
可能这个东西还有几个版本,如果描述的症状和我所说的完全一样,可以按照我的方法做。如果不完全一样,可以参照我的方法,进行相应的处理。如果,完全不一样!那么!——这篇文章你白看了!
(完)