中了6700~~求助！！ bbs.ikaka.com

我恨你流氓6700 - 2008-10-16 2:10:00

上网突然发现主页变了:default1: ，本来还不是很在意:default19: ，因为偶平时很注意维护电脑的:default15: 也不乱上什么网页:default7:
结果出去玩了3天，回来的时候发现主页变了，就在IE的INTERNET选项里改了下主页，想着等会杀一下就OK了，也没放心上。。
去淘宝买东东发现连网银都登不上。。偶就知道问题严重咯~~:default26:
重启，进入安全模式打开瑞星，全盘扫描，没有任何反应。:default32:
再用360系列，它说偶系统维护的五星级的棒:default1: ，偶~！@#￥%……擦！
木马清道夫，查出两个，貌似杀了，然后就提示搞定了，但是一看主页怎么改都改不回，偶就知道。。不行~:default24:
最后想起来，偶还有卡卡。。祈祷一下，打开—运行，查出2个病毒，但是没有效果（病毒还在那趴着呢。。偶去C盘看的），所以当然，主页也改不回来。
以下省略。。。。。。总之：前前后后一共用了三天，装装卸卸了接近十款乱七八糟的杀毒/清理软件。
好吧，偶承认失败了。:default46: 那么，哪位大侠出来救救啊。。:default87: 希望有完整的操作过程。。
此次杀毒经历给偶留下最深刻的印象就是——不管什么杀毒软件，全盘杀毒都“慢”，不是一般的慢，是真TMD慢。。（不好意思，让偶发泄下吧）！
偶都想把电脑砸了算了~

注：改注册表也试过了，杀毒拔网线，进安全模式之类的常识偶当然也不会忘。都没有用- -！
附件因为偶老是在装了杀毒/清理软件之后查出毒，以为搞定了就没有注意留下什么证据，所以。。:default33:

测试完毕..
只是打开SREngLdr.EXE查看启动项目的时候
会提示kmon.dll被修改,默认值是空,请扫描计算机是否有病毒文件.(貌似是这么说的)
还会警告有3个入口点错误,然后好象就没有问题了.....
可疑程序删除后,更新扫描日志如下

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7; Embedded Web Browser from: http://bsalsa.com/)

附件: SREngLOG.log

海生 - 2008-10-16 9:44:00

那就扫描一个日志上来让别人帮你看一下啦

叶陵君 - 2008-10-16 12:13:00

为便于快速分析，麻烦楼主到这里http://bbs.ikaka.com/showtopic-8536393.aspx
下载SREng 工具，扫描并上传一份SRE日志

还有尝试下，删掉桌面上的IE快捷方式，
在到C:\Program Files\Internet Explorer 此目录，重新创建一个快捷方式。

我恨你流氓6700 - 2008-10-16 13:32:00

SRE日志已上传，快救救偶吧- -！
第四天了，崩溃中。。
现在电脑什么都不敢做，只敢拿来尝试杀毒软件~！@#￥%……

叶陵君 - 2008-10-16 13:50:00

可疑程序
C:\WINDOWS\HBWZ3SIT.SCR
c:\windows\system32\drivers\auzys.sys

建议用Xdelbox 删除以上

下载http://bbs.ikaka.com/showtopic-8536393.aspx

我恨你流氓6700 - 2008-10-16 14:22:00

谢谢LS！！！
测试ing~

我恨你流氓6700 - 2008-10-16 19:39:00

一切问题都搞定。。
谢谢。。！！！
万分感谢！！！

追击6700 - 2008-10-25 8:17:00

刚中了6700毒
瑞星无效
卡卡无效
真不明白
一个从今年7月就被举报(包括其使用的服务器),竟然至今仍在肆虐
而且各种商业杀毒软件也没有对策
请叶陵君兄烦劳看看小弟的SRE日志
我该咱怎么办呢?

附件: SREngLOG.log

天月来了 - 2008-10-25 8:51:00

用上面的方法删除下面的文件。

C:\WINDOWS\system32\vmdetdhc.exe
C:\WINDOWS\system32\drivers\ghonb.sys
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys
C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\AFQFsg1hIf.dll
C:\WINDOWS\Downloaded Program Files\nvwkanx1.dll

不论删除结果如何，继续下面操作：
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
<vmdetdhc.exe><C:\WINDOWS\system32\vmdetdhc.exe> []
<{71A78CD4-E470-4a18-8457-E0E0283DD507}><C:\WINDOWS\system32\prlmuagf.dll> [File is missing]
<{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}><C:\WINDOWS\system32\fbyvtwuh.dll> [File is missing]
<{D3112B69-A745-4805-874E-ABD480EA1299}><C:\WINDOWS\system32\wawsupkh.dll> [File is missing]
<prlmuagf.dll><C:\WINDOWS\system32\prlmuagf.dll> [File is missing]
<fbyvtwuh.dll><C:\WINDOWS\system32\fbyvtwuh.dll> [File is missing]
<wawsupkh.dll><C:\WINDOWS\system32\wawsupkh.dll> [File is missing]
<N/A><C:\WINDOWS\system32\regsvr32.exe /s C:\WINDOWS\system32\aetsprov.dll> [File is missing]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
驱动程序
[ghonb / ghonb][Running/Boot Start]
<\SystemRoot\system32\drivers\ghonb.sys><N/A>

[wmpobj / wmpobj][Stopped/Auto Start]
<\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[JavaBrowser Class]
{686488AF-13D5-9DDF-4FEF-9FB88698CFC1} <C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\AFQFsg1hIf.dll, N/A>

[ViewHtmlSource Class]
{FA75D00A-BF7A-49d3-8168-2EBADA70A686} <C:\WINDOWS\Downloaded Program Files\nvwkanx1.dll, N/A>

[JavaBrowser Class]
{686488AF-13D5-9DDF-4FEF-9FB88698CFC1} <C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\AFQFsg1hIf.dll, N/A>

[ViewHtmlSource Class]
{FA75D00A-BF7A-49D3-8168-2EBADA70A686} <C:\WINDOWS\Downloaded Program Files\nvwkanx1.dll, N/A>
—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=447126

用W i n d o w s 清理助手，清理你那系统。
W i n d o w s 清理助手下载：http://www.arswp.com/
————————————————————————————————————
再重启电脑，反复检查，操作的结果，

记得打打系统漏洞补丁

部分工具的操作看这贴：http://bbs.ikaka.com/showtopic-8442813.aspx

追击6700 - 2008-10-26 2:46:00

多谢版大
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys
C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\AFQFsg1hIf.dll
C:\WINDOWS\Downloaded Program Files\nvwkanx1.dll
以上三项被告知没有这个文件
其他均按要求逐一完成
删除/清理后IE神速
但6700劫持主页依旧
也按叶君吩咐删除桌面IE,并C盘重置了快捷方式
6700巍然不动啊
真的除了重装系统以外无法消灭这个垃圾吗?

追击6700 - 2008-10-26 8:59:00

报告老大
问题好像解决了
就是在坚决执行老大指示后
IE主页可以修改为空白页啦
谢谢版大！！！

jiejuewentila - 2008-12-8 17:26:00

你是怎么弄好的啊？我的也中了，我修改注册表根本没有用~~帮帮忙吧~~谢谢~~

瑞星卡卡安全论坛