首页被v730.com篡改，求救（待解决） bbs.ikaka.com

1620648 - 2009-2-8 8:11:00

首页v730.com篡改，用大部分杀毒软件都找不出来，包括卡卡、windows清理助手。每次改正后开机又回来了。求救。。。。。。。。。。。。。。。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; 360SE)

天月来了 - 2009-2-8 8:20:00

用SRENG工具扫描系统日志发这论坛来

下载SRENG工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=462487
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
请不要开新贴发日志，就原贴接贴发日志即可。

aryda - 2009-2-8 8:22:00

你开机后在ie图标右键属性..看看是开机后改的还是运行ie后改的..如果是ie运行后改的试一下没有加载项启动..开机后改的就发个系统分析日志...

用SRENG工具扫描系统日志发这论坛来

下载SRENG工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=462487
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
请不要开新贴发日志，就原贴接贴发日志即可。

ps:倒..又慢了1步...:default8:

1620648 - 2009-2-8 8:32:00

引用:

原帖由 天月来了 于 2009-2-8 8:20:00 发表
用SRENG工具扫描系统日志发这论坛来

下载SRENG工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=462487
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

建议日志文件以附件形式发来
点击我这贴右下角的“引用”

附件: SREngLOG.log

天月来了 - 2009-2-8 8:49:00

下载文件提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266

提取：
C:\WINDOWS\system32\drivers\famsys.sys
C:\WINDOWS\SYSTEM32\xfsvc.ocx
c:\windows\system32\winspool.dll

压缩后发来

1620648 - 2009-2-8 8:58:00

引用:

原帖由 天月来了 于 2009-2-8 8:49:00 发表
下载文件提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266

提取：
C:\WINDOWS\system32\drivers\famsys......

提取有错误

附件: 111.rar

piao2008 - 2009-2-8 9:19:00

引用:

原帖由 1620648 于 2009-2-8 8:58:00 发表
[quote] 原帖由 天月来了 于 2009-2-8 8:49:00 发表
下载文件提取工具提取下面文件
[url=http://bbs.ikaka.com/attachment.aspx?attachmentid=486266]http://bbs.ikaka.com/attachment.aspx?attachmentid=4......

经测试，附件中没有病毒文件

天月来了 - 2009-2-8 9:25:00

去你的IE浏览器的原始目录，直接打开原始浏览器主程序，看情况如何

1620648 - 2009-2-8 9:26:00

还有其他办法吗？？我现在只能改用360的浏览器。。

1620648 - 2009-2-8 9:36:00

引用:

原帖由 天月来了 于 2009-2-8 9:25:00 发表
去你的IE浏览器的原始目录，直接打开原始浏览器主程序，看情况如何

具体位置在哪？要怎么做？

天月来了 - 2009-2-8 9:37:00

我现在要建议你这样做了

用解压工具WinRAR依路径打开文件夹找下面文件，将它们改名：

C:\WINDOWS\system32\drivers\famsys.sys
C:\WINDOWS\SYSTEM32\xfsvc.ocx
c:\windows\system32\winspool.dll

找不到的不管它，改完后就重启电脑，看情况怎样。

天月来了 - 2009-2-8 9:39:00

不会吧？？？

你开始菜单里的那蓝色的IE浏览器快捷方式的属性里没有浏览器主程序位置？？？？
C:\Program Files\Internet Explorer文件夹内:default2:

1620648 - 2009-2-8 9:39:00

已经被www.v73.com改成是皮皮网址了。

天月来了 - 2009-2-8 9:40:00

我说的，你可能什么都没能理解

对你来说，可能还是分不清楚，打开原始程序和打开快捷方式的区别

1620648 - 2009-2-8 9:45:00

引用:

原帖由 天月来了 于 2009-2-8 9:40:00 发表
我说的，你可能什么都没能理解

对你来说，可能还是分不清楚，打开原始程序和打开快捷方式的区别

原程序依然是被v730.com占着。打开就是皮皮网址。

1620648 - 2009-2-8 9:52:00

引用:

原帖由 天月来了 于 2009-2-8 9:37:00 发表
我现在要建议你这样做了

用解压工具WinRAR依路径打开文件夹找下面文件，将它们改名：

C:\WINDOWS\system32\drivers\famsys.sys
C:\WINDOWS\SYSTEM32\xfsvc.ocx
c:\windows\system32\winspool.dll

找不到的不管它，改完后就重启电脑，看情况怎样。

[img]http://bbs.

这3个文件改成什么名？是随意吗？
C:\WINDOWS\system32\drivers\famsys.sys
C:\WINDOWS\SYSTEM32\xfsvc.ocx
c:\windows\system32\winspool.dll
这3个都找到。

天月来了 - 2009-2-8 9:52:00

我知道

你打开一次原程序后，将其首页设置为空白，然后关闭再打开看怎样

如果还是那样，就按照我11楼说的做吧

就按照我

1620648 - 2009-2-8 10:01:00

修改成空白页，关闭后打开还是空白页，没被改。

文物2 - 2009-2-8 10:03:00

启动XDELBOX程序。［url=http://bbs.ikaka.com/attachment.aspx?

attachmentid=446806］＜＜＜＜＜XDELBOX点击下载[/url]复制粘贴下面文件操作删除,删

除时勾选抑制文件生成
c:\windows\system32\famsys.sys
—————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
==================================
驱动程序
[SysFam Dirver Manager / SysFam][Stopped/Boot Start]
<\SystemRoot\system32\drivers\famsys.sys><N/A>

在扫日志的SRENG工具》启动项目》注册表找下面项删除

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<run><> [N/A]

天月来了 - 2009-2-8 10:04:00

那就去看你桌面上的IE浏览器那东西的右键属性有什么异常

以及开始菜单里的那些IE浏览器的快捷方式情况如何

右键属性呀，看啥个样子

1620648 - 2009-2-8 10:22:00

引用:

原帖由 天月来了 于 2009-2-8 10:04:00 发表
那就去看你桌面上的IE浏览器那东西的右键属性有什么异常

以及开始菜单里的那些IE浏览器的快捷方式情况如何

右键属性呀，看啥个样子

正常。都是指向C:\Program Files\Internet Explorer里的exe。

1620648 - 2009-2-8 10:24:00

引用:

原帖由 文物2 于 2009-2-8 10:03:00 发表
启动XDELBOX程序。［url=http://bbs.ikaka.com/attachment.aspx?

attachmentid=446806］＜＜＜＜＜XDELBOX点击下载[/url]复制粘贴下面文件操作删除,删

除时勾选抑制文件生成
c:\windows\system32\famsys.sys
—————————————————————————
在扫日志的SRENG工

c:\windows\system32\famsys.sys 找不到该文件

天月来了 - 2009-2-8 10:30:00

我都说了，找不到不管它

将你能找到的浏览器的快捷方式，全部打包压缩，发我看

1620648 - 2009-2-8 10:33:00

引用:

原帖由 天月来了 于 2009-2-8 10:30:00 发表
我都说了，找不到不管它

将你能找到的浏览器的快捷方式，全部打包压缩，发我看

谢谢天月的热心帮忙。由于时间关系我要暂时离开，稍后再和你联系。:default7:

瑞星卡卡安全论坛