<![CDATA[解析几何]]>

<![CDATA[解析几何]]> http://www.elivers.com/index.php zh-cn http://www.elivers.com/read.php/160.htm <![CDATA[清除regex.fne木马（E_4木马）]]> 林殇 <> Fri, 21 Sep 2007 12:49:01 +0000 http://www.elivers.com/read.php/160.htm 【中招经过】
-----寻找资源的时候下载了一个名为pl.exe的文件，看名字就感觉它有问题，运行后机器没有任何反应，只是在重新开机后噩梦就来临了。

==========================超级鄙视病毒制造者==============================

【中毒状态】
-----开机后，系统弹出网页——控制鼠标指针自动点击所弹出窗口的某些链接——这些链接带到google搜索结果。关闭后半分钟左右重复。
-----弹出窗口中鼠标点击的链接是GOOGLE广告，病毒通过弹出网页同时控制用户鼠标进行广告点击，我猜测此病毒是为制造者谋取google adsense收益。也有报告说是盗取用户各个帐号……
-----我使用的安全工具是卡巴斯基和安全360卫士。运行p1.exe后这两个工具都没有报警，分别使用他们在安全模式和正常模式下全盘扫描，未能扫描到非正常程序。
------使用windows清理助手进行扫描，查找到木马，木马路径为
C:\DOCUMENTS AND SETTINGS\林殇\LOCAL SETTINGS\TEMP\E_4\TEGEX.FNE
清除后下此开机此木马会自动修复。多次重复杀毒过程未果。

============发誓要干掉这个家伙，在倒腾了N多后整个世界终于清净了============

【解决方案】
1.开机后不运行其他程序，在任务管理器里面结束gajkonline.exe进程（若没有此项，结束所有可疑进程）

2.使用windows清理助手查杀病毒或者手动删除以下文件

%Temp%\E_4\eAPI.fne
%Temp%\E_4\HtmlView.fne
%Temp%\E_4\internet.fne
%Temp%\E_4\krnln.fnr
%Temp%\E_4\RegEx.fne
%Temp%\E_4\shell.fne
%Program Files%\Common Files\gajkonline.exe
%Program Files%\Common Files\onlinegame\gajkonline.exe

（此病毒有很多版本，请在删除E_4文件夹后，在%Program Files%\Common Files\下删除所有可疑.exe文件，我推测这里的文件是木马的安装文件，仅仅删除木马所在的E_4目录后，木马会在下次开机后使用安装文件进行自我修复）

3.清除木马的自启动
打开注册表（WIN+R打开运行，输入regedit即可），定位到
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
删除右面视图中的run项

4.给你一个清净的世界。

==========================超级鄙视病毒制造者==============================

【杀毒后记】
1.下载东西还是要到大型的可信赖的网站。
2.一般的程序等文件命名都是有一定意义的，类似pl.exe的命名除非程序声明大都是危险程序，执行前务必小心。
3.卡巴斯基不是万能的。
4.深刻鄙视这个网址http://www.52xunlei.net/pl.exe

Tags - 病毒 , 木马 , e 4 , regex.fne ]]> http://www.elivers.com/read.php/160.htm#blogcomment59040 <![CDATA[[评论] 清除regex.fne木马（E_4木马）]]> 鬼火 <user@domain.com> Fri, 21 Sep 2007 14:22:59 +0000 http://www.elivers.com/read.php/160.htm#blogcomment59040 http://www.elivers.com/read.php/160.htm#blogcomment59041 <![CDATA[[评论] 清除regex.fne木马（E_4木马）]]> 卡喀 <user@domain.com> Fri, 21 Sep 2007 14:34:31 +0000 http://www.elivers.com/read.php/160.htm#blogcomment59041 www.52xunlei.net/pl.exe
这个是不是可执行文件啊！！
我是裸奔中哦什么也没有 ]]> http://www.elivers.com/read.php/160.htm#blogcomment59042 <![CDATA[[评论] 清除regex.fne木马（E_4木马）]]> 卡喀 <user@domain.com> Sat, 22 Sep 2007 14:13:28 +0000 http://www.elivers.com/read.php/160.htm#blogcomment59042 不过如果让我启动到冰封系统
呵呵测试一下这个病毒还是没问题的！！ ]]> http://www.elivers.com/read.php/160.htm#blogcomment59043 <![CDATA[[评论] 清除regex.fne木马（E_4木马）]]> maozi <user@domain.com> Mon, 24 Sep 2007 05:02:54 +0000 http://www.elivers.com/read.php/160.htm#blogcomment59043 http://www.elivers.com/read.php/160.htm#blogcomment59044 <![CDATA[[评论] 清除regex.fne木马（E_4木马）]]> lee <user@domain.com> Tue, 25 Sep 2007 00:34:30 +0000 http://www.elivers.com/read.php/160.htm#blogcomment59044 http://www.elivers.com/read.php/160.htm#blogcomment59046 <![CDATA[[评论] 清除regex.fne木马（E_4木马）]]> maozi <user@domain.com> Wed, 26 Sep 2007 09:39:03 +0000 http://www.elivers.com/read.php/160.htm#blogcomment59046 -----你的嫉妒心理又在作祟了……

切，笑话，难道我嫉妒你中毒吗？ ]]> http://www.elivers.com/read.php/160.htm#blogcomment59169 <![CDATA[[评论] 清除regex.fne木马（E_4木马）]]> ss <user@domain.com> Wed, 21 Nov 2007 01:29:32 +0000 http://www.elivers.com/read.php/160.htm#blogcomment59169 http://www.elivers.com/read.php/160.htm#blogcomment59183 <![CDATA[[评论] 清除regex.fne木马（E_4木马）]]> qq <user@domain.com> Fri, 23 Nov 2007 01:30:18 +0000 http://www.elivers.com/read.php/160.htm#blogcomment59183