五感減一工作坊的參加心得

難纏的lop.com

接手先前同事使用過的筆記型電腦,每當啟用瀏覽器IE網頁上方出現搜尋工具列,於是我下載她們提供的移除工具,反而出現如下圖中一大塊的工具列以及廣告視窗:

lop.PNG

拔掉網路線,則出現下方的情形:

dnserror1.PNG

dnserror2.PNG

嘗試使用各家反制廣告軟體Lavasoft Ad-aware、SpyBot、MS AntiSpyware、SpywareBlaster、Webroot Spy Sweeper、SpyFerret等,都沒有解決問題(SpyFerret的網頁上提到lop.com會自動更新,躲避這類反制廣告軟體的追殺。),後來使用魔法兔子的IE修復,狀況好一點的是跳出的廣告視窗變成空白了,雖然朋友說重灌吧,但是我很想知道解決方式,於是寫信給魔法兔子的技術人員。

她們回覆;
這個惡意網站移除的方法:它會改成你上網的dns,首先拔掉網路,後再運行下面兩個軟件清除。
首頁移除:http://lop.com/new_uninstall.exe

工具列移除:http://lop.com/toolbar_uninstall.exe

同時去網站上下載一個軟體“CoolWebSearch Shredder”,進行清理工作。
如要手工清除的話,可以清除以下文件“

blztstull[letter ‘a’, ‘c’, ‘j’, ‘p’, ‘s’, ‘t’ or ‘y’].dll

blztstull[’pr’, ‘tr’ or ‘oo’].dll

chksbdrlya.dll

dmvcrthl.exe

eaeeishllblc.dll

eelykofrllfrpr.dll

eelykofrllfrj.dll

ealymfrprwch.dll

epllkeeoopr.dll

freabrlaouw.dll

gldqumssfrie.dll

hglllyxrxw.dll

icdrhwno.dll

heeachmstll.dll

meepajlr.dll

ousszidrta.dll

plg_ie[any digit].dll

prxzoustustgr.dll

prnouestssstx.dll

quizbt[any digit].dll

quglwachfs.dll

sstroallhqch.dll

tblchepruprgr.dll

trdzhtxf.exe

trstshcrscksr.dll

ukfroigl.dll

upckeetoutw.dll

veaeyglckr.dll

woafrquzn.dll

yeecrsoustoull.dll

ziebaeeoaeepr.dll

asshuktr.exe

bilyooas.exe

byb_save.exe

crgbeaoa.exe

eaymulyl.exe

eeublidc.exe

glxshmcr.exe

ijlysseb.exe

jqumysto.exe

kfriegbs.exe

llfggrdr.exe

lltckiey.exe

lopsearc.exe

meemnckyqbr.exe

meepajlr.exe

mprcouie.exe

oofrkxpe.exe

peebqusz.exe

quveioot.exe

shoucrck.exe

ssmeeibl.exe

tchpeatr.exe

tglblrll.exe

trstdris.exe

ulyuiexeechp.exe

vestufck.exe

vfthrcbr.exe

xogyfhp.exe

ykphmbre.exe

ylynfste.exe

desktop.htm

dnserror.htm

jexpoofro.htm

i_dnserr.gif

s_dnserr.gif

r_dnserr.gif

b_dnserr.gif

tiejexpoo.gif

xiejexpoo.gif

oiejexpoo.gif

uiejexpoo.gif”

如有文件正在運行,無法刪除,可以進入安全模式下清除,或者是借助軟體“copylock”,在文件\添加要刪除的文件,應用就可以了。這些文件要通過搜索的方法定位它們的位置後再進行刪除,最後是進入安全模式下,拔掉網絡的方法再進行刪除。
同時它還會改寫你的DNS爲他們服務器的DNS,去下載惡意壓縮包文件到你的機子上安裝,所以清理注冊表的相關鍵值:(設成空就好,如上網有問題,請重新到TCP、IP設置你的DNS)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Telephony\DomainName
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP\Domain
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Domain
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{...check all interfaces...}\Domain

很不幸地,以上方式失敗。最後只好移除不常用的程式,讓狀況單純點,另外在登錄檔位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

逐一查看及比對google網頁上的資料,發現有沒有可疑的程式。發現到C:\Documents and Settings\All Users\Application Data\amok program gram media\ 幾個鬼玩意,備份登錄檔後,再把它刪掉,重開機之後,就沒有出現那怪東西。
* SpywareInfo > Lop.com
* Slashdot: Which Adware and Spyware are the Most Insidious?
* 共筆: 網頁/瀏覽器被綁架

留言