一招搞定"nb46.com"对浏览器的劫持

编者按：本文作者最后采用最新的“360安全卫士”解决了问题。要图方便，直接使用该软件就行。不过作者在遇到问题时的思路还是值得学习，故放出供参考。后附手动清除方法。

正文

这一段，笔者有种“劫后余生”的感觉，起因就是一个流氓站点——nb46.com（牛×死了），中招之后，几乎用尽了所有办法，这流氓硬是“跟定我了”。

那天在单位查资料，搜出一大堆站点，为了节约时间，同时打开了多个搜索结果，其中就有这个nb46.com.一失足成千古恨。不过当时并没有发现异常，等重新启动，像往常一样打开IE，准备去新浪看看新闻时，发现首页被“劫持”了。噩梦也由此开始了……不仅首页被篡改，而且上别的网站时会弹出色情站点……要是被BOSS看到了，后果不堪设想。

首先当然是打开IE的设置选项，如预料的那样，更改首页的按钮是灰色的。“算你小子还有点‘技术含量’”，笔者一边暗想，一边轻车熟路的点击“开始→运行→Regedit”，想从注册表中干掉这个流氓。笔者一般不怎么使用那些IE修复工具，比较自信手动清除能力（好象大虾都这样？^_^）。

首先在注册表里搜索了一下“nb46”，结果一圈下来居然一无所获。运行“msconfig”打开启动项，查看了一下，也没发现什么蛛丝马迹。再查了一下系统盘目录，的确发现了一个nb46的目录，试图删除之，未果。重新启动到安全模式下再删除，依然未果。

看来要祭出笔者的“撒手锏”——纯DOS手动删除，以往再强的木马病毒，笔者都是这种方法搞定的。用DOS启动盘进入纯DOS，进入系统盘的system32目录，发现几个异常文件——smflash.ocx、sql32.dll、group.dll、tasklist.dll，好家伙，编写这个病毒的程序员果然不是吃素的，带了驱动啊，跟病毒没啥两样了。赶紧删掉这四个文件，再次进入Windows XP，顶你个肺啊——IE设置里依然灰色！

欲哭无泪啊！难道真的要用看家本领——重装大法？算了，还是试试IE修复工具吧。试试超级兔子？居然没查出来！看来“流氓”还是比“警察”动作快。后想起了专杀流氓的360安全卫士吗？据江湖传闻，此软件比较牛×，那就用它来对付一下“牛×死了”吧。

下载、安装、运行、升级、扫描。果然，360安全卫士扫描到了这个流氓。扫描结果中有详细的描述，一目了然。点击“立即清除”按钮，一切搞定。不过还是有点不放心，切换到“诊断及修复”，扫描进程、启动项、BHO等可疑位置，还好，没有发现什么残留；再切换到“插件管理”，让360安全卫士扫描看看吧，结果一切正常。

整个世界终于清净了！看来现在的流氓软件已经到了防不胜防的地步了。“亡羊补牢”虽不错，不过“未雨绸缪”才是王道。看了一下360安全卫士，里面有免疫功能。切换到“高级工具→弹出插件免疫”，好家伙，这里可以对100多款广告插件进行免疫。

　　为了防止万一，笔者还打开“系统设置”菜单，开启了Windows XP的系统还原，这样每次使用360安全卫士的时候，它都会备份一下系统，如果查杀之后有啥不对劲的地方，可以在“系统恢复”里面将系统还原到之前的状态。

图1 安全卫士360的插件免疫

附手动清除方法：

　　在对注册表进行操作之前，请先备份。

　　重启电脑，按[F8]，进入安全模式：

　　一、打开“我的电脑”，“工具”菜单=>“文件夹选项”=>“查看”=>把“显示所有文件和文件夹”前的圈点一下，使选中。再把“隐藏受保护的系统文件（推荐）的勾勾掉。

　　二、删除C:\WINDOWS\system32\下面的几个文件：sql32.dll，group.dll，smflash.ocx

　　三、在“开始”菜单的“运行”中输入“Regedit”，打开注册表：点击，选中注册表里的最上面的“我的电脑”。按[F3]打开注册表的“查找”在查找框中粘贴如下文字“{14A21378-5BB1-4BC4-95D5-5D3F51527F6F}”（不包括引号），将该键全部删除，继续按F3，直到把所有的都删除；

　　四、再次选中“我的电脑”，按[F3]，查找“smflash.ocx”（不包括引号），并将相应键值全部删除。