查看單個文章
舊 2006-09-15, 11:57 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 首頁被大陸網站侵佔?

BFU: Brute Force Uninstaller (BFU) is a scripting program that can execute a series of preset commands like a Windows batch file, aimed at uninstalled programs that are hard to remove, uninstall improperly or simply unwanted. Scripts are plaintext and can be written with Notepad, and the command syntax is very transparent.
BFU is very complete and powerful, has a small memory footprint and has no uninstaller.
Compatible with: All Windows versions
Currently at version: 1.00.9

http://www.merijn.org/files/bfu.zip

Q
我的 首頁被大陸網站侵佔?
求最簡單的解決方法(請詳述)但不要叫我洗機!thx.


A:

首頁被綁架一般是指首頁被設定成某一個特定的網址,而且使用者無法變更首頁的網址。在首頁被綁架的同時,使用者可能還會碰到「首頁被更改設定」、「瀏覽器名稱被修改」、「開機被鎖定」…等問題。(要解決此問題,使用者最好有一點登錄檔案的觀念)。

按「開始/執行」,然後在「開啟」的空格內輸入"regedit",按下「確定」鈕,啟動登錄編輯器。

1. 如果登錄編輯器(RegEdit)被停用(如果登錄編輯器可以用,可跳過此步驟),請執行『記事本』,輸入下面3行,將檔案儲存成副檔名為reg的檔案(例如Unlock.reg),然後雙按Unlock.reg即可。

REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistr yTools"=dword:0 0000000

2A. 解決「首頁被更改設定」、「瀏覽器名稱被修改」、「開機被鎖定」,方法如下:

2B、找到KEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main機碼,右邊會有一個稱為Start Page的數值,這也就是每次開啟IE瀏覽器所出現的第一個網頁,在Start Page上按滑鼠左鍵兩下,然後輸入你想要設定的網站,例如:http://www.icst.org. tw/。

2C、在KEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
右邊會有一個數值稱為Window Title,這是瀏覽器的名稱,例如”Microsoft Internet Explorer”。在Window Title上按滑鼠左鍵兩下,輸入你想要的名稱即可(如果您使用IE 5.0以後的版本,將此數值刪除就會使用原來的名子了)

2D、找到下面機碼:KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
右邊會有一個數值稱為NoRealMode,將此數值刪除就即可。

2E、找到下面機碼:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
右邊會有一個數值稱為internat.exe,請將此數值的資料刪

2F、找到下面機碼:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
右邊會有一個數值稱為 LegalNoticeCaption,它會在開機會要按"確定"的設定,請將此數值刪除。

2G、找到下面機碼:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon
右邊會有一個數值稱為 LegalNoticeText,它也會在開機會要按"確定"的設定,請將此數值刪除。
03.恭喜你!!! 你已經完全移除那卑鄙網站給你修改的地方!!! 接著只要"重新開機"即可!!!

3. 如果「首頁無法更改」,找到HKEY_CURRENT_USER\Software\Policies\Microsoft,將Internet Explorer的機碼刪除即可。

4. 如果「瀏覽器被自動開啟並到不知名的網站」,請選擇登錄編輯器的「編輯」下拉選單,選擇「尋找」,輸入該網站的網址去尋找,可以找到一個稱為internat.exe的機碼有有該網址,在機碼上按滑鼠右鍵選「編輯」,將網址刪除,然後重新開機即可。

5. 如果「按下滑鼠右鍵會有奇怪的選項」,請選擇登錄編輯器的「編輯」下拉選單,選擇「尋找」,輸入奇怪的選項的字串尋找,然後將奇選項的字串刪除,重新開機即可。
除左7939.com,7b.com.cn問題都開始見到
所以更新左個script

========
解決方法:
呢個script可以同時清除 7939.com 和 7b.com.cn的相關檔案

1. 按 [Copy to clipboard] 複製以下所有文字


CODE:[Copy to clipboard]# Script Name: 7939_7b_v1.BFU
# Last Update: 5/09/2006 11:59am
# Author: Krazaf/tkabc
#
# This script will remove the 7939.com related and 7b.com.cn files.

OptionStatusOn
OptionSetStatus Terminating processes...
ProcessKill \explorer.exe|1
ProcessKill \iexplore.exe|1
ProcessKill \Maxthon.exe|1
ProcessKill \realplayer.exe|1
ProcessKill \Messenger.exe|1

OptionSetStatus Deleting files...
OptionOnDeleteFailUseReboot
FileDelete %SYSDIR%\RavMon.dll
FileDelete %SYSDIR%\brlmon.dll
FileDelete %SYSDIR%\Rsvtub.dll
FileDelete %SYSDIR%\Maxthonz.dll
FileDelete %PROGRAMFILES%\Tencent\QQ\RTraveler.dll
FileDelete %PROGRAMFILES%\Tencent\QQ\Messenger.exe
FileDelete %SYSDIR%\realplayer.exe
FileDelete %WINDIR%\gnimatmd.bat
FileDelete %WINDIR%\ghkzooo.bat
FileDeleteIfContainsHex %WINDIR%\v*.rar|44,65,6C,70,68,69

OptionSetStatus Trying to find out suspect file(s)...(Heurisics)
FolderCreate %SYSTEMDRIVE%\Suspect file
FileMoveIfContainsHex %SYSDIR%\*.dll|%SYSTEMDRIVE%\Suspect file|4D,61,79,61,44,6C,6C,4D,61,69,6E,00,50,72,6F,74,65,63,74,69,6F,6E,45,78,65
FileMoveIfContainsHex %PROGRAMFILES%\Tencent\QQ\*.dll|%SYSTEMDRIVE%\Suspect file|4D,61,79,61,44,6C,6C,4D,61,69,6E,00,50,72,6F,74,65,63,74,69,6F,6E,45,78,65

OptionSetStatus Cleaning Registry...
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Realplayer.exe
RegDelValue HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Realplayer.exe
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Messenger.exe
RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Messager.exe
RegDelValue HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Messenger.exe
RegDelValue HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Messager.exe
RegDeleteKey HKLM\SOFTWARE\Microsoft NT
RegDeleteKey HKLM\SOFTWARE\Microsoft\RunDown
RegDeleteKey HKLM\SOFTWARE\Microsoft\Baidu
RegDeleteKey HKCR\PROTOCOLS\Filter\text/html
RegDeleteKey HKCR\CLSID\{0EB00690-8FA1-11D3-96C7-829E3EA50C29}

OptionSetStatus Setting IE Start Page to about:blank
RegSetStringValue HKCU\Software\Microsoft\Internet Explorer\Main|Start Page|about:blank

OptionSetStatus Emptying the Temp folder...
SystemEmptyTempFolder

SystemRun %WINDIR%\explorer.exe

SystemRestartIfNeeded Some files cannot be deleted now.Please reboot your computer!|1
a) 開始---->所有程式---->附屬應用程式---->記事本
b) 按 Ctrl + V/右click貼上剛才複製的內容,按 檔案 ----> 儲存
c) 改 檔案類型:所有檔案 ,檔案名稱為 delete.bfu ,儲存到桌面

2.
a)下載 Brute Force Uninstaller ,解壓到桌面,執行bfu.exe
b) 按一下 黃色資料夾,選取剛才的delete.bfu
c) 按 Execute 開始 , 執行完成後, 會提示你重新啟動電腦,按 Y / 是 重新啟動電腦
d) 重新啟動後,就應該ok了

如果無任何問題,刪除%SYSTEMDRIVE%\Suspect File呢個資料夾(%SYSTEMDRIVE%一般系C:\)
流氓軟件 IM Plus 的移除方法

我剛才檢查了 IM Plus 的安裝檔案,即是近日針對 MSN Messenger 的流氓軟件,並發現了 IM Plus 只會把檔案放於 %Program Files%\implus 之內,但沒有加插任何檔案於 Windows 的資料夾內,也(好像)沒有對 Windows Registry 進行修改.
2006-4-18: 看了安培晴明的 Script 後,我加插了對 Windows Registry 的修改.
由於 IM Plus 在 Windows Registry 被設定了隨機啟動,所以 IM Plus 在每一次開機的時侯被載入 Windows.
以下是本人用 Brute[/b] Force[/b] Uninstaller[/b] 刪除 IM Plus 的方法:
注意: 執行 Brute[/b] Force[/b] Uninstaller[/b] 時必須保持網路連線.
下載 Brute[/b] Force[/b] Uninstaller[/b]:
http://www.merijn.org/files/bfu.zip
Brute[/b] Force[/b] Uninstaller[/b] 使用方法:
1. 解壓 BFU.exe 到 C:\BFU.exe
http://xs75.xs.to/pics/06142/BFU_p2pNetwork.jpg

2. 下載 im_plus.bfu
http://www.verzend.be/v/1261985/im_plus.bfu.html
3. 執行 C:\BFU.exe
4. 按 Oepn script file
5. 選擇 im_plus.bfu,然後按開啟
6. 按 Execute. 程式完成指令後會有提示,之後按 確定.
7. 按 Exit 關閉程式.
8. 重新啓動電腦. 之後 IM Plus 就會被徹底移除.
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3188 次
向 psac 送花的會員:
yawgong (2007-01-03)
感謝您發表一篇好文章