瑞星卡卡安全论坛

恶意篡改主页，还有就是进程项有好多svchost.exe这正常么？还有启动SRENG的时候出现了这些错误



  附日志，希望斑竹 高手们来仔细帮我看看
还有这怎么搞？

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

用SRENG删除
启动文件夹
[ad783]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\ad783.exe -->  [File is missing]><N>

[WindowsXP防火墙]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\WindowsXP防火墙.exe -->  [File is missing]><N>


其他没看出什么

修复IE没有用么？

回复了 不行呀

修复了 不行呀

好多清不掉的都是些什么？

我也遇到这样的问题了!

主页被篡改为什么？

使用XDelBox删除以下文件：(XDelBox，点击后进原创软件下载)
使用说明：删除时复制所有要删除文件的路径，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键---从剪贴板导入不检查路径，导入后在要删除文件上点击右键---立刻重启删除，电脑会重启进入DOS界面进行删除操作。
运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\documents and settings\administrator\「开始」菜单\程序\启动\windowsxp防火墙.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zhichiku\HtmlView.fne
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zhichiku\shell.fne
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zhichiku\eAPI.fne
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zhichiku\ERawSock.fne
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zhichiku\krnln.fnr

复制上面的文件列表
打开XDELBOX，勾上三个勾，在列表里点击右键---从剪贴板导入不检查路径，
导入后，在要文件列表处点击右键---立刻重启删除
2.删除重启后使用SREng修复下面各项：
注意，删除服务和驱动最后一个对话框选择“否”

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
[Windows Installer / MSIServer]    <C:\WINDOWS\system32\msiexec.exe /V>
    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[Rising  Rfwbase Driver / RfwBase][Running/Manual Start]  <2 - 系统找不到指定的文件。><N/A>


    系统修复－－　浏览器加载项之如下项删除：
[百度一下,你就知道]    <http://www.baidu.com/index.php?tn=mm667_pg>

ATF CLEANER清除所有临时文件http://www.onlinedown.net/soft/61644.htm

我刚试过他出现了错误

去掉备份文件的勾看看
不行下个旧点儿的，1.7等等

[quote] 原帖由 天云一剑 于 2008-12-10 17:22:00 发表
主页被篡改为什么？

使用XDelBox删除以下文件：(XDelBox，点击后进原创软件下载)
使用说明：删除时复制所有要删除文件的路径，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键---从剪贴板导入不检查路径，导入后在要删除文件上点击右键---立刻重启删除，电脑会重 [/quot我完全按照你说的步骤做了但还是不行，你说的找不到，还是跟我发的原帖问题一样，没得到解决又出现新问题：每次重启 系统自动打开（C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\window~1.exe）这个文件夹~~~~~~~~郁闷得很，我有扫描了一下

附件: SREngLOG.log

高手们 帮我解决下呗，谢谢啦:default6:

帖子快沉啦，没人知道么？

把这些：==================================
启动文件夹
[ad783]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\ad783.exe -->  [File is missing]><N>
[QQ游戏启动加速程序]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\QQ游戏启动加速程序.lnk --> C:\PROGRA~1\Tencent\QQGame\Accel.exe [深圳市腾讯计算机系统有限公司]><N> 删除掉
其余没什么了。
用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://bbs.ikaka.com/attachment.aspx?attachmentid=447126

SRENG-启动项目-启动文件夹，以下删除
[ad783]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\ad783.exe -->  [File is missing]><N>

======================================
系统修复－－　浏览器加载项之如下项删除：
[CAdLogic Object]    <C:\Program Files\Common Files\PushWare\cpush.dll>
[【百度一下,你就知道】]    <C:\WINDOWS\system32\baidu.htm>
[Pdg2 Control]    <C:\WINDOWS\system32\pdg2.dll>
======================================

删除c:\windows\system32\baidu.htm
=================================
开始，运行，打开注册表编辑器
搜索 windowsxp防火墙.exe  ，将找到的项目全部删除
搜索baidu.htm，也将找到的项目全部删除
=================================

[Rising  Rfwbase Driver / RfwBase][Running/Manual Start]  <2 - 系统找不到指定的文件。><N/A>这个已经没有了，不用管它


另外楼主你还是没有告诉我你的主页被改成什么了
如果处于局域网，请安装一款ARP防火墙

进程项有好多svchost.exe，这正常
启动SRENG的时候出现了这些被修改的值是杀毒软件修改的，不是默认值，也正常

主页被改成http://www.baidu.com/index.php?tn=mm667_pg，有时候他自己弹网页，弹得都不一样，另外 怎么搜索windowsxp防火墙.exe ，还有baidu.htm，麻烦详细说明 谢谢

主页被改成http://www.baidu.com/index.php?tn=mm667_pg，有时候他自己弹网页，弹得都不一样，另外 怎么搜索windowsxp防火墙.exe ，还有baidu.htm，麻烦详细说明 谢谢

启动项干掉这个
[ad783]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\ad783.exe -->  [File is missing]><N>

驱动项干掉这些
[d346bus / d346bus][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\d346bus.sys><>

[d346prt / d346prt][Running/Boot Start]
  <\SystemRoot\System32\Drivers\d346prt.sys><>

[TesSafe / TesSafe][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\TesSafe.sys><TENCENT>


这个下面除了瑞星其他都干掉
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs               

其他的太多了我看着眼花……

主页被修改的话，去注册表禁用homepage的权限，你可以在注册表搜索http://www.baidu.com/index.php?tn=mm667_pg，然后处理一下，修改权限为只读

注册表的那个，楼主需要先进入安全模式，然后在运行里输入regedit进入注册表编辑器，然后找到那个键值，先在C盘下搜索那个键值，然后把键值修改为 无 （就是删掉那个键值）。
关闭注册表编辑器，然后执行 文件终结者 删除工具，删除那个文件。即可！
注意要勾上 抑制再生