[求助]：原IE空白主页被51115.com网站恶意占领，居然无法修改。

gfhyl

在网上搜了一下,被"www.51115.com“网页篡改了首页,不是太好去掉的,我很奇怪怎么没有O4 - HKLM\..\Run: [taskmgr] C:\WINDOWS\system\taskmgr.exe,WINDOWS\system文件夹下是否有图标为rm文件的应用程序?变种了?

jszjyjjx

最初由 xionghr 发布
[B]晕，楼主胆大，出问题可别怪我哦！
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Global Startup: ntuser.dat
O4 - Global Startup: ntuser.dat.LOG这些东西好象是和... [/B]

呵呵.....怎么会怪呢？！感谢还来不及呢！
我这就重启看看，大不了就重装哦.......
不过又要俺麻烦了！

再回gfhyl：
俺的C:\WINDOWS\system下没有你说的“为rm文件的应用程序?”


已经重新启动了......呵呵.......还没有看出问题哦.....

winabcd

你可以在注册表中查找所有与51115有关的子键，删除他。

xionghr

最初由 winabcd 发布
[B]你可以在注册表中查找所有与51115有关的子键，删除他。 [/B]

编病毒的人也很聪明，他之所以要把更改主页的功能放在程序中，最主要的原因就是为了不让你在注册表中找到它的影子。

另，刚看到楼主的悄悄话，在这儿一并解答：

[B]顺便请教一下，Hijackthis工具扫描之后，怎么就可以判断哪个是病毒、哪个是恶意的呢？当然可能一下子我不太可能搞清。但还是问下是否有简单的判断方法呢？[/B]

我觉得使用HijackThis最主要的一点不是要一眼就能看出哪一项就是病毒，互联网上病毒太多，再厉害的人也没这个本事。
最主要的，你要知道你自己的系统正常时的扫描该有哪些项目，排除正常的项目，其余的大胆删除好了。系统正常时扫描一次，保存为.log文件，不正常时拿来对比一下，这样使用起来就可以保证不犯错误了。

jszjyjjx

最初由 xionghr 发布
[B]
最主要的，你要知道你自己的系统正常时的扫描该有哪些项目，排除正常的项目，其余的大胆删除好了。系统正常时扫描一次，保存为.log文件，不正常时拿来对比一下，这样使用起来就可以保证不犯错误了。[/B]

知道了！
已经做好了，今后会经常看看的.......
再次谢了！！

xy_x1977

用微软的AntiSpyware试试，它边3721都能删除，应该能够删除恶意程序的