迷宫。发散的脑细胞
-
2006-01-27
流氓软件族谱,百度 (02)
百度
名称: 北京百度网讯科技有限公司 地址: 北京海淀区北四环西路58号理想国际大厦12层 旗下流氓软件:
百度超级搜霸分析:
HijackThis_zww汉化版扫描日志
O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\BaiduBar.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\NetTransport 2\NTIEHelper.dll
O3 - IE工具栏增项: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\PROGRA~1\baidu\bar\BaiduBar.dllO4 - 启动项HKLM\\RunOnce: [BaiduInstall] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\baidu\bar\BDBAR_~1\BaiduBar.dll,Install
O8 - IE右键菜单中的新增项目: 百度-搜索MP3 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUMP3.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索图片 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUIMG.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索新闻 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUNEWS.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索歌词 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDULYRIC.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索网页 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUSEARCH.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索贴吧 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUPOST.HTM
O8 - IE右键菜单中的新增项目: 百度-词典搜索 - res://C:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDU_DIC.HTM进程分析:
IEXPLORE.EXE 2056 1 Internet Explorer Microsoft Corporation
进程: PID:2056
名称 描述 公司名 版本
BaiduBar.dll BaiduBar Module Baidu.com, Inc. 2.00.0002.0058
baidubar.dll BaiduBar Module Baidu.com, Inc. 2.00.0002.0061百度上网伴侣
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 17:32:59, 日期 2006-1-27
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)(已略去无关项目)
R3 - URLSearchHook: BdSearchHook Class - {02496EBD-8455-48db-B3C7-5DAC97D9F5A7} - C:\PROGRA~1\baidu\iexp\BDSrHook.dll
O2 - BHO: BdSearch - {02496EBD-8455-48db-B3C7-5DAC97D9F5A7} - C:\PROGRA~1\baidu\iexp\BDSrHook.dllO4 - 启动项HKLM\\Run: [BIE] RUNDLL32.EXE C:\PROGRA~1\baidu\iexp\BDSrHook.dll,Rundll32
O9 - 浏览器额外的按钮: 百度首页 - {02496EBD-8455-48db-B3C7-5DAC97D9F5A7} - http://www.baidu.com (file missing)
O11 - Options group: [!IESearch] 百度搜索伴侣
流氓行为:地址栏劫持,添加自启动项,线程插入(见图)。
直接在所有进程插入DLL!
卸载篇:
两个都有残留的核心dll 特别是下面一个。依然在浏览器中加载。
