瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 主页被改成www.kuku530.com,用尽网上各种方法,无效!急
braunli - 2009-4-4 14:06:00
然后系统中不停的出现木马,以fly*.dll形式的木马最多,而且设备管理器也坏了,里面一片空白,由于不是自己的电脑,没有办法重装系统,特来求助!

网上搜索到的办法,我全部试过,都没有办法解决,怎么办啊?

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)
piao2008 - 2009-4-4 14:10:00
扫SRENG日志发这论坛来

下载最新版本的SRENG工具:http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼:http://bbs.ikaka.com/showtopic-8442813.aspx
天月来了 - 2009-4-4 14:13:00
用SRENG工具扫描系统日志发这论坛来

点击下载:SRENG工具  (内附说明)(右键选择“目标另存为”下载)

建议日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。
braunli - 2009-4-4 14:30:00


引用:
原帖由 天月来了 于 2009-4-4 14:13:00 发表
用SRENG工具扫描系统日志发这论坛来

点击下载:SRENG工具  (内附说明)(右键选择“目标另存为”下载)

建议日志文件以附件形式发来
点击





版主,我把扫描结果发上来了啊!还有就是经常蓝屏死机(不知道是不是瑞星个人防火墙的问题,卸载了反而不死机了),目前木马总杀不完,设备管理器下一片空白。

附件: SREngLOG.log
braunli - 2009-4-4 14:49:00
版主记得帮忙啊
天月来了 - 2009-4-4 14:50:00
眼看花了,就这两个文件,你复制备份后,再删除它们吧
C:\WINNT\system32\fly3637.dll
C:\WINNT\system32\pdf995mon.dll
braunli - 2009-4-4 14:59:00
怎么没有找到fly3637.dll呢,原来还有,这会不见了,难道变种了?
天月来了 - 2009-4-4 15:03:00
用解压工具WinRAR依路径打开文件夹找文件:
braunli - 2009-4-4 15:30:00


引用:
原帖由 天月来了 于 2009-4-4 15:03:00 发表
用解压工具WinRAR依路径打开文件夹找文件:
 





老大,我都试了,主页还是那个倒霉的KUKU530网站,我重新扫描了一下,麻烦您再看看?谢谢!

附件: SREngLOG.log
braunli - 2009-4-4 15:31:00
回复:IE首页被篡改成http://www.kuku530.com/?010112/,版主进!
2、打开注册表看下面路径下情况怎样:
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
@="C:\Program Files\Internet Explorer\iexplore.exe" www.baidu.com



这个我也试了!
天月来了 - 2009-4-4 15:46:00
直接打开IE主程序,不从桌面打开,也那样??

注册表内搜索kuku530

搜索到的都删除
braunli - 2009-4-4 17:32:00


引用:
原帖由 天月来了 于 2009-4-4 15:46:00 发表
直接打开IE主程序,不从桌面打开,也那样??

注册表内搜索kuku530

搜索到的都删除





回版主老大,我都试了,注册表里我删了无数编,那个编“锁定主页.reg”也试了,还是一样啊,我都快灰心了。
aaccbbdd - 2009-4-4 17:59:00
建议清理助手+超级兔子
看看情况
还不行的话

sreng-系统修复-高级修复-自动修复(高强修复级别)
看情况
天云一剑 - 2009-4-4 21:46:00
1
下载解压附件D1到桌面,运行,开始处理,重启删除完成
附件ATF-Cleaner-cn.rar  全选删除所有临时文件

开始运行REGEDIT回车,检查
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
\shell\OpenHomePage\Command右边的项目,如果不正常,修改为你的首页或about:blank

删除桌面的IE快捷方式,再自己放一个快捷方式出来


2(可选,防修改)
开始—运行 gpedit.msc
依次打开,用户配置》管理模版》Windows Components》Internet Explore ,右侧启用“禁止更改主页设置”,将它,主页里填写:about:blank或者你使用的主页,
确定

附件: D1.rar

附件: ATF-Cleaner-cn.rar
byxxdrls - 2009-4-4 22:15:00
建议多用几种工具,比如狙剑、autoruns等工具扫描日志
braunli - 2009-4-4 23:02:00
呵呵,还是无效啊,我只有放弃了吗?
braunli - 2009-4-5 13:36:00
不知道什么时候可以解决啊,这个KUKU530太TMD的可恶了!
acherny - 2009-4-18 21:21:00
http://hi.baidu.com/zaxila/blog/item/428f6f2a298c66305243c1dd.html
这里是我的删除经验,希望对你有帮助
天月来了 - 2009-4-19 8:12:00
按照你的描述来看

那可能是因为那驱动恶意让自己模仿了微软签名

所以SRENG工具扫描不出什么了

看来以后需要建议求助的使用QQ医生扫描系统日志了
hpgtzy - 2009-4-19 19:27:00
www.kuku530.com:是那个鸟人设计的,我CTM的,我也中了。操他18代祖宗。
_william_ - 2009-4-20 9:33:00
我也中了,求助中,TMD
oooper - 2009-4-20 10:13:00
我先在路由上封了www.kuku530.com再说:default3:
天月来了 - 2009-4-20 10:28:00
没人愿意理我:default3:

我不是后来说了嘛

扫描QQ医生的诊断日志来呀

zg1_2004 - 2009-4-20 10:39:00
该用户帖子内容已被屏蔽
天月来了 - 2009-4-20 10:45:00
看金山那边的解释,好象是驱动级的恶搞

靠安全软件没法得到正确的提示的
过客2007 - 2009-4-21 17:32:00
我刚刚弄了一个主题:KUKU530主页被修改的解决办法[/url]:http://bbs.ikaka.com//showtopic-8617785.aspx

有空验证一下吧
1
查看完整版本: 主页被改成www.kuku530.com,用尽网上各种方法,无效!急
© 2000 - 2025 Rising Corp. Ltd.