IE主页被www.6700.cn/?tn=102753强加，该如何解除？ bbs.ikaka.com

左眼球 - 2008-11-24 17:35:00

下载下列工具：
windows清理助手
超级巡警暴力文件删除器
———————————————————————————————————————
开始操作之前，先把网络断开；
———————————————————————————————————————
使用“超级巡警暴力文件删除器”删除以下文件：
———————————————————————————————————————
c:\windows\system32\5kuhkp.dll
c:\windows\system32\rsafun.dll
c:\windows\system32\npopenstore.dll
c:\windows\system32\drivers\arkdv.sys
system32\drivers\fqnah.sys
———————————————————————————————————————
打开SREng，选择【启动项目】-【服务】-【驱动程序】，将以下项删除：
[ArKdv / ArKdv] <\??\C:\Windows\system32\drivers\ArKdv.SYS>
[fqnah / fqnah] <\SystemRoot\system32\drivers\fqnah.sys>
———————————————————————————————————————
使用“Windows清理助手”清理一下；

zxdzhl - 2008-11-24 18:10:00

引用:

原帖由 左眼球 于 2008-11-24 17:35:00 发表
下载下列工具：
windows清理助手
[url=http://www.brsbox.com/filebox/down/fc/874c56baba52929659c73f91774f3482]超级巡警暴力文件删除

使用“超级巡警暴力文件删除器”无法删除以下文件：
c:\windows\system32\rsafun.dll
c:\windows\system32\npopenstore.dll
system32\drivers\fqnah.sys

以下文件无法添加至删除名单，提示“有程序应用，无法添加”。
c:\windows\system32\5kuhkp.dll

以下文件无法找到：
c:\windows\system32\drivers\arkdv.sys

打开SREng，选择【启动项目】-【服务】-【驱动程序】，只能将以下项删除：
[fqnah / fqnah] <\SystemRoot\system32\drivers\fqnah.sys>

以下这个却无法删除：
[ArKdv / ArKdv] <\??\C:\Windows\system32\drivers\ArKdv.SYS>

晕４ - 2008-11-24 19:00:00

楼主是Vista的
那么只能用360文件粉碎器删除了
360文件粉碎器：http://bbs.ikaka.com/attachment.aspx?attachmentid=437432

C:\Windows\system32\regcsp.exe此文件可疑

建议打包传去这里鉴定http://bbs.ikaka.com/showforum-20002.aspx

以下操作必须严格进行！
打开360文件粉碎器→导入文件列表→粘贴文件列表：
需要删除的文件如下

————————————————我是分割线————————————————————————
C:\Windows\system32\drivers\fqnah.sys
C:\Windows\system32\5KUhkp.dll

————————————————我是分割线————————————————————————
然后勾选【全选】和【阻止被删除文件再次生成】

接着按下【粉碎选中文件】

无论删除结果是否

都应该马上重启

启动项目－－服务－－驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）
[fqnah / fqnah]

进入注册表(开始→运行→regedit）
到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
删除以下键值：
<gemstrmw><C:\Windows\system32\gemstrmw.exe /r>  [Gemplus]
<RegNetPass><C:\Windows\system32\regcsp.exe>  []
<UnlockerAssistant><D:\应用\Unlocker\UnlockerAssistant.exe>  [File is missing]

以下的是可疑的计划任务
请楼主自己鉴定

引用:

计划任务
[已启用] \\ASUS Live Update
      C:\Program Files\ASUS\ASUS Live Update\ALU.exe
[已启用] \\RunAsStdUser Task16502
      D:\安全防护\Rising\Rfw\RFWSRV.EXE
[已启用] \\{B506BC84-152B-4E56-BF30-CA0A933D8234}
      C:\Windows\system32\pcalua.exe -a C:\Users\曾小东\Desktop\极点五笔6.4.exe -d C:\Users\曾小东\Desktop
[已启用] \\{D0B74598-D236-4774-9276-09693391DCA4}
      C:\Windows\system32\pcalua.exe -a C:\Users\曾小东\Desktop\20070817_dsss.exe -d C:\Users\曾小东\Desktop
[已启用] \\{D5F4EA6A-6B39-4E1A-ACC5-EDF20D0467AA}
      C:\Windows\system32\pcalua.exe -a "C:\Program Files\ShiQiang\Uninst.exe"
[已启用] \\{F50E095D-4932-480F-AF4F-F57473E70102}
      C:\Windows\system32\pcalua.exe -a C:\Users\曾小东\Desktop\SkypeClient.exe -d C:\Users\曾小东\Desktop
[已禁用] \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Automated)
      N/A
[已启用] \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Manual)
      N/A
[已启用] \Microsoft\Windows\Bluetooth\UninstallDeviceTask
      BthUdTask.exe $(Arg0)
[已启用] \Microsoft\Windows\CertificateServicesClient\SystemTask
      N/A
[已启用] \Microsoft\Windows\CertificateServicesClient\UserTask
      N/A
[已启用] \Microsoft\Windows\CertificateServicesClient\UserTask-Roam
      N/A
[已启用] \Microsoft\Windows\Customer Experience Improvement Program\Consolidator
      %SystemRoot%\System32\wsqmcons.exe
[已启用] \Microsoft\Windows\Customer Experience Improvement Program\OptinNotification
      %SystemRoot%\System32\wsqmcons.exe -n 0x1C577FA2B69CAD0
[已启用] \Microsoft\Windows\Defrag\ScheduledDefrag
      %windir%\system32\defrag.exe -c -i
[已启用] \Microsoft\Windows\MobilePC\HotStart
      N/A
[已启用] \Microsoft\Windows\MobilePC\TMM
      N/A
[已启用] \Microsoft\Windows\MUI\LPRemove
      %windir%\system32\lpremove.exe
[已启用] \Microsoft\Windows\Multimedia\SystemSoundsService
      N/A
[已启用] \Microsoft\Windows\NetworkAccessProtection\NAPStatus UI
      N/A
[已启用] \Microsoft\Windows\Shell\CrawlStartPages
      N/A
[已启用] \Microsoft\Windows\SystemRestore\SR
      %windir%\system32\rundll32.exe /d srrstr.dll,ExecuteScheduledSPPCreation
[已启用] \Microsoft\Windows\Tcpip\IpAddressConflict1
      rundll32 ndfapi.dll,NdfRunDllDuplicateIPOffendingSystem
[已启用] \Microsoft\Windows\Tcpip\IpAddressConflict2
      rundll32 ndfapi.dll,NdfRunDllDuplicateIPDefendingSystem
[已启用] \Microsoft\Windows\UPnP\UPnPHostConfig
      sc.exe config upnphost start= auto
[已启用] \Microsoft\Windows\Windows Error Reporting\QueueReporting
      %windir%\system32\wermgr.exe -queuereporting
[已启用] \Microsoft\Windows\Wired\GatherWiredInfo
      %windir%\system32\gatherWiredInfo.vbs
[已启用] \Microsoft\Windows\Wireless\GatherWirelessInfo
      %windir%\system32\gatherWirelessInfo.vbs

zxdzhl - 2008-11-24 20:34:00

引用:

原帖由晕４于 2008-11-24 19:00:00 发表
楼主是Vista的
那么只能用360文件粉碎器删除了
360文件粉碎器：[url=http://bbs.ikaka.com/attachment.aspx?attachm

是的，我用的是VISTA系统
1、用360文件粉碎器时，按下【粉碎选中文件】后，即时自动进入蓝屏DOS状态重新启动，之后发现该两个文件仍然没有删除
2、C:\Windows\system32\regcsp.exe此文件可疑，但打包上传[/url]的操作我不懂呀。
3、启动项目－－服务－－驱动程序，没有发现〖fqnah / fqnah〗。
4、进入注册表(开始→运行→regedit）
到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion，只找到以下键值删除：
<RegNetPass><C:\Windows\system32\regcsp.exe> []
<UnlockerAssistant><D:\应用\Unlocker\UnlockerAssistant.exe> [File is missing

以下键值发现没有：
<gemstrmw><C:\Windows\system32\gemstrmw.exe /r> [Gemplus

晕４ - 2008-11-24 21:18:00

晕
360文件粉碎器都是不行么？
V系统都蓝屏了么..
下载金山清理专家文件粉碎器http://bbs.ikaka.com/attachment.aspx?attachmentid=446805
再试试删除
C:\Windows\system32\drivers\fqnah.sys
C:\Windows\system32\5KUhkp.dll

然后再扫一份日志上来

zxdzhl - 2008-11-24 21:38:00

引用:

原帖由晕４于 2008-11-24 21:18:00 发表
晕
360文件粉碎器都是不行么？
V系统都蓝屏了么..
下载金山清理专家文件粉碎器http://bbs.ikaka.com/attachment.aspx?attachmentid=446805
再试试删除
C:\Windows\system32\drivers\fqnah.sys
C:\Windows\system32\5KUhkp.dll

然后再扫一份

你给的【金山清理专家文件粉碎器】提示：不支持vista。

古梦潭 - 2008-11-25 7:23:00

1.展开注册表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，在右半部分窗口中找到串值“Start Page”双击，将Start Page的键值改为“about:blank”
2.展开注册表到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
在右半部分窗口中找到串值“Start Page” 直接删除掉这个就可以了

古梦潭 - 2008-11-25 7:30:00

直接手动删除该病毒的方法步骤(经过实际测试绝对有效)：
第一步：寻找判断定位病毒释放出来的DLL和SYS的文件名称(DLL和SYS加一起一共两个文件)。
第二步：关闭掉System进程打开的DLL和SYS文件的句柄。
第三步：删除掉SYS驱动文件。
第四步：重新启动计算机，然后删除掉DLL组件文件。
第五步：删除掉驱动的服务启动和其它注册表残留。
第六步：打开“IE设置选项”，设置您想要设置的默认IE浏览器主页。
第七步：使用杀毒软件进行全盘查杀病毒(该病毒为木马下载器下载到您计算机中的病毒，那个木马下载器还下载了N多其它病毒也同时安装到了您的计算机系统中)。
第八步：该病毒清理完毕。
利用PE盘手动删除该病毒的方法步骤(经过实际测试绝对有效)：
第一步：寻找判断定位病毒释放出来的DLL和SYS的文件名称(DLL和SYS加一起一共两个文件)。
第二步：使用PE盘启动计算机，删除掉病毒释放出来的DLL和SYS文件(DLL和SYS加一起一共两个文件，删除前请事先备份)。
第三步：重新启动计算机进入正常系统，删除掉驱动的服务启动和其它注册表残留。
第四步：打开“IE设置选项”，设置您想要设置的默认IE浏览器主页。
第五步：使用杀毒软件进行全盘查杀病毒(该病毒为木马下载器下载到您计算机中的病毒，那个木马下载器还下载了N多其它病毒也同时安装到了您的计算机系统中)。
第六步：该病毒清理完毕。

zxdzhl - 2008-11-25 13:40:00

引用:

原帖由 古梦潭 于 2008-11-25 7:23:00 发表
1.展开注册表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，在右半部分窗口中找到串值“Start Page”双击，将Start Page的键值改为“about:blank”
2.展开注册表到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Ma

已试过，但在重启系统后,又恢复原来的问题了，无法根除。

zxdzhl - 2008-11-25 13:45:00

引用:

原帖由 古梦潭 于 2008-11-25 7:30:00 发表
直接手动删除该病毒的方法步骤(经过实际测试绝对有效)：
第一步：寻找判断定位病毒释放出来的DLL和SYS的文件名称(DLL和SYS加一起一共两个文件)。
第二步：关闭掉System进程打开的DLL和SYS文件的句柄。
第三步：删除掉SYS驱动文件。
第四步：重新启动计算机，然后删除掉DLL组件文件。
第五步：删除掉驱动的服务启动和其它注册表残留。
第六步：打开“IE设置选项”，设置您想

第一步：具体如何操作？（也就是如何寻找判断定位病毒释放出来的DLL和SYS的文件名称？）
第二步：具体如何操作？（也就是如何关闭掉System进程打开的DLL和SYS文件的句柄？）
第五步：具体如何操作？（也就是如何删除掉驱动的服务启动和其它注册表残留？）

天月来了 - 2008-11-25 14:19:00

v系统里删除文件时很烦的一件事

目前大多数工具都不容易运行的稳定和正常

你试试我置顶工具贴里的wsyscheck中文版下载，在wsyscheck的“文件管理”项里找那文件选择“直接删除”试试

尽量进安全模式下操作删除。

undergraduated - 2008-11-25 16:07:00

请问一下，为什么要删除这个
<gemstrmw><C:\Windows\system32\gemstrmw.exe /r> [Gemplus]的键值呢？
在网上查了一下，说这个gemstrmw.exe是金普斯(Gemplus)智能卡相关程序。

天月来了 - 2008-11-25 16:21:00

我自己一贯不建议求助的进行那个删除操作的

但是一般那东西如果系统里确实不用，可以考虑删除的。

晕４ - 2008-11-25 16:50:00

:default3:
那你还是标明那些软件支持Vista的吧
.....

天月来了 - 2008-11-25 16:55:00

几乎都能在v系统里运行

只是部分求助者使用v系统不到位，导致软件在v系统内不能运行

我找人帮我试试去

zxdzhl - 2008-11-25 17:19:00

引用:

原帖由 天月来了 于 2008-11-25 14:19:00 发表
v系统里删除文件时很烦的一件事

目前大多数工具都不容易运行的稳定和正常

你试试我置顶工具贴里的wsyscheck中文版下载，在wsyscheck的“文件管理”项里找那文件选择“直接删除”试试

尽量进安全模式下操作删除。

按此方法已成功删除【c:\windows\system32\5kuhkp.dll】这个病毒文件，但主页被强加的问题还没解决呀。

天月来了 - 2008-11-25 17:22:00

这东西只要确定删除成功

就可以尝试使用超级兔子修复主页了

呵呵！！！

这个情况，目前为止知道的就是一个不明驱动加载后恶搞

晕４ - 2008-11-25 17:25:00

:default3:
超级兔子支持Vista？

===============================
呵呵
原来超级兔子更新了

引用:

超级兔子系统检测可以诊断一台电脑系统的CPU、显卡、硬盘的速度，由此检测电脑的稳定性及速度，还有磁盘修复及键盘检测功能。超级兔子进程管理器具有网络、进程、窗口查看方式，同时超级兔子网站提供大多数进程的详细信息，是国内最大的进程库。超级兔子安全助手可能隐藏磁盘、加密文件，超级兔子系统备份是国内唯一能完整保存Windows XP/2003/Vista注册表的软件，彻底解决系统上的问题。

超级兔子下载
http://www.pctutu.com/download/

天月来了 - 2008-11-25 17:29:00

不知道

如果不行

就只有自己打开v系统的注册表，慢慢搜索删除所有的www.6700.cn了。

我没别的办法了。

如果删除注册表内残余的，重启还出现，就可能他另一贴里的那个驱动还存在，需要删除

我叫他不要开多贴求助，他偏不听

我哪有时间来回专为他一人回贴

晕４ - 2008-11-25 17:31:00

:default2:
病毒太多了
光是反病毒区的版主就有9个...
如果求助者能看置顶帖
大致明白了各类软件的操作
那么版主们也不用多花时间了.....

zxdzhl - 2008-11-25 20:29:00

引用:

原帖由 天月来了 于 2008-11-25 17:22:00 发表
这东西只要确定删除成功

就可以尝试使用超级兔子修复主页了

呵呵！！！

这个情况，目前为止知道的就是一个不明驱动加载后恶搞

使用兔子后，问题已解决了。

其实【主页被强加】的问题我是于“2008-11-23 13:44 ”左右发现并跟帖于〖http://bbs.ikaka.com/showtopic-8555413-2.aspx〗 11楼，后该帖被锁定。之后于“2008-11-23 18:11:00 ”开新帖『主页被强加帖』求助，再于“2008-11-23 16:38 ”左右发现【某病毒无法删除】，只好再发『病毒无法删除帖』求助，发现两个问题的时间差约为2小时（也就是发2帖的时间差），既然存在时差，也就无法在一帖里发两个问题求助。
后来〖主页被强加帖〗被合并进〖病毒无法删除帖〗，由于〈被合并帖〉没了求助标题（并且放在4楼）。担心网友无法理解〈被合并帖〉的求助意思，故于“2008-11-24 17:09 ”再发了『主页被强加帖2』求助。
由于是菜鸟，根本不知道这两个问题是互联互动的，如果知道的话当然不会发2个帖子了。

瑞星卡卡安全论坛