難纏的lop.com

| | Comments (0) | TrackBacks (0)

接手先前同事使用過的筆記型電腦,每當啟用瀏覽器IE網頁上方出現搜尋工具列,於是我下載她們提供的移除工具,反而出現如下圖中一大塊的工具列以及廣告視窗:

lop.PNG

拔掉網路線,則出現下方的情形:

dnserror1.PNG

dnserror2.PNG

嘗試使用各家反制廣告軟體Lavasoft Ad-aware、SpyBot、MS AntiSpyware、SpywareBlaster、Webroot Spy Sweeper、SpyFerret等,都沒有解決問題(SpyFerret的網頁上提到lop.com會自動更新,躲避這類反制廣告軟體的追殺。),後來使用魔法兔子的IE修復,狀況好一點的是跳出的廣告視窗變成空白了,雖然朋友說重灌吧,但是我很想知道解決方式,於是寫信給魔法兔子的技術人員。

她們回覆;

這個惡意網站移除的方法:它會改成你上網的dns,首先拔掉網路,後再運行下面兩個軟件清除。 首頁移除:http://lop.com/new_uninstall.exe
工具列移除:http://lop.com/toolbar_uninstall.exe
同時去網站上下載一個軟體“CoolWebSearch Shredder”,進行清理工作。 如要手工清除的話,可以清除以下文件“
blztstull[letter ‘a’, ‘c’, ‘j’, ‘p’, ‘s’, ‘t’ or ‘y’].dll
blztstull[’pr’, ‘tr’ or ‘oo’].dll
chksbdrlya.dll
dmvcrthl.exe
eaeeishllblc.dll
eelykofrllfrpr.dll
eelykofrllfrj.dll
ealymfrprwch.dll
epllkeeoopr.dll
freabrlaouw.dll
gldqumssfrie.dll
hglllyxrxw.dll
icdrhwno.dll
heeachmstll.dll
meepajlr.dll
ousszidrta.dll
plg_ie[any digit].dll
prxzoustustgr.dll
prnouestssstx.dll
quizbt[any digit].dll
quglwachfs.dll
sstroallhqch.dll
tblchepruprgr.dll
trdzhtxf.exe
trstshcrscksr.dll
ukfroigl.dll
upckeetoutw.dll
veaeyglckr.dll
woafrquzn.dll
yeecrsoustoull.dll
ziebaeeoaeepr.dll
asshuktr.exe
bilyooas.exe
byb_save.exe
crgbeaoa.exe
eaymulyl.exe
eeublidc.exe
glxshmcr.exe
ijlysseb.exe
jqumysto.exe
kfriegbs.exe
llfggrdr.exe
lltckiey.exe
lopsearc.exe
meemnckyqbr.exe
meepajlr.exe
mprcouie.exe
oofrkxpe.exe
peebqusz.exe
quveioot.exe
shoucrck.exe
ssmeeibl.exe
tchpeatr.exe
tglblrll.exe
trstdris.exe
ulyuiexeechp.exe
vestufck.exe
vfthrcbr.exe
xogyfhp.exe
ykphmbre.exe
ylynfste.exe
desktop.htm
dnserror.htm
jexpoofro.htm
i_dnserr.gif
s_dnserr.gif
r_dnserr.gif
b_dnserr.gif
tiejexpoo.gif
xiejexpoo.gif
oiejexpoo.gif
uiejexpoo.gif”

如有文件正在運行,無法刪除,可以進入安全模式下清除,或者是借助軟體“copylock”,在文件\添加要刪除的文件,應用就可以了。這些文件要通過搜索的方法定位它們的位置後再進行刪除,最後是進入安全模式下,拔掉網絡的方法再進行刪除。

同時它還會改寫你的DNS爲他們服務器的DNS,去下載惡意壓縮包文件到你的機子上安裝,所以清理注冊表的相關鍵值:(設成空就好,如上網有問題,請重新到TCP、IP設置你的DNS)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Telephony\DomainName
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP\Domain
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Domain
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{...check all interfaces...}\Domain

很不幸地,以上方式失敗。最後只好移除不常用的程式,讓狀況單純點,另外在登錄檔位置:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

逐一查看及比對google網頁上的資料,發現有沒有可疑的程式。發現到C:\Documents and Settings\All Users\Application Data\amok program gram media\ 幾個鬼玩意,備份登錄檔後,再把它刪掉,重開機之後,就沒有出現那怪東西。

* SpywareInfo > Lop.com
* Slashdot: Which Adware and Spyware are the Most Insidious?
* 共筆: 網頁/瀏覽器被綁架

0 TrackBacks

Listed below are links to blogs that reference this entry: 難纏的lop.com.

TrackBack URL for this entry: http://planetoid.info/cgi-bin/mt/mt-tb.cgi/505

Leave a comment

選擇語言translate to...

Links

廣告




Recent Comments