www.9991.com劫持解决测试方案

【案例】
本人曾经被www.9991.com劫持过
也进入了www.9991.com
发现并不是什.么恶意网站
初步分析与C:\WINNT\SYSTEM32\WBEM\IRJIT.DLL有关

【分析一】
IRJIT.DLL已经调用了RUNDLL32.EXE
举例如下：
[RUNDLL32.EXE]
CommandLine = C:\WINNT\SYSTEM32\RUNDLL32.EXE C:\WINNT\SYSTEM32\WBEM\IRJIT.DLL,Export 1087

【分析二】
IRJIT.DLL自动创建.了系统服务
但是系统服务的名称是变化的
举例如下：
O23 - Service: Microsoft Update Service (BKMARKS) - - C:\WINDOWS\system32\rundll32.exe c:\windows\system32\wbem\irjit.dll,export 1087
O23 - Service: Local Connection Manager (BNESS) - - C:\WINNT\system32\rundll32.exe c:\winnt\system32\wbem\irjit.dll,export 1087
（卡卡助手扫描到的相关服务）

[DNS Cache / lDOMANE]
<D:\WINDOWS\SYSTEM32\RUNDLL32.EXE D:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>
（System Repair Engineer扫描到的相关服务）

说明：
对于这个服务
用HIJACKTHIS有时会扫描不到
（我是用HIJACKTHIS来解决的，但本论坛大多数朋友的日志并没有扫描到该服务）

【解决测试.方案】
通过System Repair Engineer导出的日志查找IRJIT.DLL创建的系统服务

开始－－控制面板－－管理工具－－服务
禁用其服务

开始－－运行
输入regedit
确定　
进入注册表
搜索IRJIT.DLL
删除其所在的系.统服务文件夹

开机时按住F8<可以不停地按动F8>
选择"安全模式"或"SAFE　MODE"进入安全模式
然后删除c:\winnt\system32\wbem\irjit.dll

进入正常模式下
重置一下IE首页

＝＝＝＝＝＝＝＝＝＝＝＝
另外
在今天又在百度上搜索一下相关贴子
发现http://www.9991.com/劫持还与下面的相关文件夹有关连
C:\Program Files\Common Files\SAND\
C:\Program Files\Common Files\Update\
c:\windows\system32\update.exe
c:\windows\system32\res.exe
等等

＝＝＝＝＝＝＝＝＝＝＝＝

http://www.9991.com/提供了首页.解锁修复工具－－fix.exe
http://www.9991.com/fix.exe
下载之后直接双击就可以设置主页为空白页
然后再重置一下IE首页
提醒：流氓网站的修复工具不知是否可靠？