主页被劫持 bbs.ikaka.com

zk1979 - 2009-3-27 16:21:00

主页被2800上网导航劫持，www.wawate.cn/经瑞星全盘查杀（包括内存）主页还是无法恢复，扫描日志：

附件: 您所在的用户组无法下载或查看附件

启动文件夹
[腾讯QQ]
<C:\Documents and Settings\DELL\「开始」菜单\程序\启动\腾讯QQ.exe --> [File is missing]><N>

浏览器加载项
[tencent]
{6096E38F-5AC1-4391-8EC4-75DFA92FB32F} http://www.net.cn.jiemei.bibipv. ... nkblankblank.htm>;
浏览器加载项已删除，2800上网导航消失，但主页空白，地址栏显示about:blank仍然无法修改，能正常上网，请各位大侠看看，帮忙解决。
另外如果不做任何处理，会不会有什么危害。
小弟电脑知识缺乏，请简单，易懂。拜托，谢谢！
附上可疑文件：

附件: 您所在的用户组无法下载或查看附件

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB5; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

天月来了 - 2009-3-27 16:37:00

在SRENG工具中，干掉下面的
==================================
启动文件夹
[腾讯QQ]
<C:\Documents and Settings\DELL\「开始」菜单\程序\启动\腾讯QQ.exe --> [File is missing]><N>

==================================
浏览器加载项
[tencent]
{6096E38F-5AC1-4391-8EC4-75DFA92FB32F} <http://www.net.cn.jiemei.bibipv.cn/blankblankblankblankblankblankblankblankblankblank.htm, N/A>

并搜索隐藏文件，看系统内是否有下面文件存在

ravtask.vbs
antsystem.bat

aaccbbdd - 2009-3-27 16:41:00

我倒
没看见日志

1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
使用说明：(先勾选抑制再生)删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，（在待删除文件列表里点击右键选择从剪贴板导入不检查路径，）选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\documents and settings\dell\「开始」菜单\程序\启动\腾讯qq.exe

2.删除重启后使用SREng修复下面各项：

启动项目－－　启动文件夹之如下项删除：
[腾讯QQ] <C:\Documents and Settings\DELL\「开始」菜单\程序\启动\腾讯QQ.exe>

系统修复－－　浏览器加载项之如下项删除：
[tencent] <http://www.net.cn.jiemei.bibipv.cn/blankblankblankblankblankblankblankblankblankblank.htm>

清理助手下载
安装后，升级清理助手，清理百度工具条

zk1979 - 2009-3-27 16:57:00

启动文件夹腾讯QQ这一项无法删除

aaccbbdd - 2009-3-27 16:59:00

看3楼
先处理文件
再处理启动项

zk1979 - 2009-3-27 17:55:00

失败！上网导航再次霸占主页www.wawate.cn/:default4:

aaccbbdd - 2009-3-27 17:57:00

试试大蜘蛛
建议Pe/安全模式里运行

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

记得
开始后要立即中止杀毒
这个程序，默认的是快速扫描

你选中止之后，选择全面扫描再扫描

zk1979 - 2009-3-27 18:00:00

引用:

原帖由 aaccbbdd 于 2009-3-27 16:59:00 发表
看3楼
先处理文件
再处理启动项

附上新的扫描日志：

附件: SREngLOG.log

aaccbbdd - 2009-3-27 18:11:00

XDELBOX选的是抑制再生么？

zk1979 - 2009-3-27 18:32:00

是

aaccbbdd - 2009-3-27 18:32:00

那试试大蜘蛛吧
安全模式里使用

zk1979 - 2009-3-27 20:34:00

大蜘蛛查出病毒30列，有18列隔离，我再用瑞星查杀这18列，得到的答案是没有病毒，我该怎么操作？

aaccbbdd - 2009-3-27 20:41:00

大蜘蛛查杀结果截图看看

zk1979 - 2009-3-27 23:03:00

放弃，明天重做系统！:default4: :default4: :default4:

marshu - 2009-3-28 20:58:00

起初发现的问题是主页更改以后自动又被病毒强制改为http://www.net.cn.jiemei.bibipv.cn/blankblankblankblankblankblankblankblankblankblank.htm

跳转www.wawate.cn/。在注册表内清除还是无法更改、

使用360、卡卡、Windows清理助手、360compkill、均无法清除

后来无意间在开始菜单的启动项中发现了一个启动文件QQ.EXE

我忽然记得貌似我没有让他启动、

于是手动删除后又一次发现该文件自动复制到启动中。

此病毒的注释为

Path=%windir%\\system32\\

SavePath

Setup=%windir%\\system32\\ravtask.vbs

Silent=1

Overwrite=1

于是拨云见日。发现问题在%windir%\\system32\\ravtask.vbs此文件中

打开ravtask.vbs：内容为：

Set a = Wscript.CreateObject("Wscript.Shell")

Do While True

a.run "antsystem.bat",0

WScript.Sleep 6000

Loop

进一步找到

antsystem.bat

这个文件就是他的最终文件。于是乎删掉antsystem.bat和ravtask.vbs。再次删除启动中的QQ.EXE

这次终于没有了。主页也恢复了正常。

目前我发现的就这么多。具体别处还有没有病毒没有发现。

http://user.qzone.qq.com/227503/blog/1238244560

瑞星卡卡安全论坛