求助！求助！电脑中毒，主页显示http://about-bank.cn/

ibq3100

昨天安装了一个比特精灵，今天就发现IE的主页成了http://about-bank.cn/，求助google,找不到要删除的EXE.
请各位帮忙看看，不然要重装系统了。

hemjidn

ghost 3分钟搞定。

duck8880

试过360安全卫士了吗？

ibq3100

ghost 不知道怎么用，能详细说一说？

我开着360安全卫士的，扫描木马时360自动退出

ntkz

找找看有没有专杀工具

流氓软件之 about-bank
上一篇 / 下一篇  2007-10-08 21:27:15 / 个人分类：杂记

查看( 445 ) / 评论( 6 ) / 评分( 5 / 0 )
玩了10来年的电脑，今天居然中了一个新的流氓软件，唉，流氓软件真是无处不在啊！

平时基本不用IE的，晚上做好事情后，打算用IE上一下ITeeR.net，居然发现原先的主页about:blank 变成http://about-bank.cn/，还好没有老眼昏花，立马把homepage reset成blank后，超级巡警说又被改过去了，我晕。肯定中了流氓软件了。马上查看是否安装了什么莫明其妙的软件，看看Add/Remove Program里面好像也没有什么奇怪的东东啊。看看进程里面怎么好像有个ApSvr.exe，好像是见过，但我应该没有安装过吧，估计可能是什么骗人的东东，因为经常有些不负责任的程序员（真是IT业界的败类啊，强烈BS他们）搞了一些类似系统进程的名称的软件出来，当然还得算上什么3721、中文上网、Yahoo助手等垃圾东西。Google“http://about-bank.cn”一看，(敏感词0373)，果然就是这个东东，马上从注册表和系统进程里面都清除出去，再仔细一看，原来是安装比特精灵引起的，早知道就换一个BT工具了，看来免费的午餐也不好随便吃啊！

抗议一下比特精灵附带的这个流氓软件，希望大家不要中招！

附上说明和卸载方法：

流氓表现：这个网站会修改IE的主页，变成http://about-bank.cn/，而且怎么也改不回来，我个人对此类软件非常不满！

卸载方法：进程里面下把Apsvr.exe杀掉，然后删除2个隐藏文件：c:\windows\apsvr.exe 和c:\windows\app.exe，最后把注册表里所有关于apsvr.exe的服务项都删除掉！

下面是360safe.com上说的清除方法，感觉比较麻烦，路径好像也不对，上面的办法有用的话，建议不要看后面的内容了（刚刚搞定，还没重启过，理论上应该可行的）

1.进入安全模式
2.停止 apsvr服务并将其设置为手动， 重新启动计算机，进入安全模式
3.删除隐藏文件c:\apsvr.exe 和c:\app.exe
4.删除与c:\apsvr.exe有关的注册表项

ibq3100

病毒名称
Trojan.Win32.Agent.hus

病毒症状
　　该病毒是一个使用VC6.0编写的木马程序，长度为90,112字节，图标为Windows默认可执行文件图标，病毒扩展名为exe，传播途径主要网页挂马、文件捆绑。
病毒分析
　　该木马程序激活后，在%systemroot%下生成app.exe和apsvr.exe两个文件；修改注册表将apsvr.exe注册成名为avsvr的系统服务；启动avsvr服务运行apsvr.exe程序；apsvr.exe运行后运行app.exe文件；遍历系统进程，强行结束360TRY.EXE、360SAFE.EXE、KPFW32.EXE等进程；修改IE主页，修改hosts文件；从网络下载另一文件并命名为inst.exe，下载之后开启一个进程运行inst.exe。
病毒注册表启动项：
项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值：scApp
指向文件：C:\WINDOWS\system32\scApp.exe
文件下载地址：（网址已作屏蔽）
hxxp://live.*****.com/install.exe
感染对象
Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003
传播途径
网页挂马、文件捆绑