瑞星卡卡安全论坛

最近我新下了个游戏
游戏安装完后
经常受到QQ5篡改主页的侵扰
最后实在没办法我就删除了该游戏
然后用瑞星和360杀毒
安全模式下也个杀了一次

后来我为了以防万一，怕瑞星也不篡改而杀不出病毒 就将瑞星也重新修复，升级
再杀了一次
安全模式也再杀了一次
可是现在
仍然还是受到QQ5.COM主页篡改的侵扰
虽然现在一直有防火墙顶
没被篡改过
但是
总是这样提示真的很烦人
而且提示本身也说明了恶意行为还存在
木马还存在

现在恳求各位谁能帮帮忘我


以下是防篡改历史记录

操作                                                            时间                                                            进程名称                                                        数值名称                                                        旧值                                                            新值                                                           
修改                                                            2009-04-24 02:07:51                                            C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE                  HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\                                                                                                                               
修改                                                            2009-04-24 02:07:48                                            C:\WINDOWS\REGEDIT.EXE                                          HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\"C:\Program Files\Internet Explorer\iexplore.exe"              "C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.qq5.com/?s
修改                                                            2009-04-24 02:07:48                                            C:\WINDOWS\REGEDIT.EXE                                          HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\START PAGEhttp://www.hao123.com/                                          http://www.qq5.com/?s                                         
修改                                                            2009-04-24 02:07:27                                            C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE                  HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\                                                                                                                               
修改                                                            2009-04-23 22:05:40                                            C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE                  HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\                                                                                                                               
修改                                                            2009-04-23 22:05:38                                            C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE                  HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\                                                                                                                               
修改                                                            2009-04-23 22:05:38                                            C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE                  HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\                                                                                                                               
修改                                                            2009-04-23 22:05:37                                            F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ                          HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\"C:\Program Files\Internet Explorer\iexplore.exe"              "C:\Program Files\Internet Explorer\IEXPLORE.EXE"             
修改                                                            2009-04-23 21:50:37                                            C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE                  HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\                                                                                                                               
修改                                                            2009-04-23 21:50:36                                            F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ                          HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\"C:\Program Files\Internet Explorer\iexplore.exe"              "C:\Program Files\Internet Explorer\IEXPLORE.EXE"             
修改                                                            2009-04-23 01:59:14                                            C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE                  HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\                                                                                                                               
修改                                                            2009-04-23 01:59:13                                            F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ                          HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\"C:\Program Files\Internet Explorer\iexplore.exe"              "C:\Program Files\Internet Explorer\IEXPLORE.EXE"             
修改                                                            2009-04-23 01:22:55                                            C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE                  HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\                                                                                                                               
修改                                                            2009-04-23 01:22:47                                            F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ                          HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\"C:\Program Files\Internet Explorer\iexplore.exe"              "C:\Program Files\Internet Explorer\IEXPLORE.EXE"

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; .NET CLR 2.0.50727)

操作

时间

进程名称

数值名称

旧值

新值

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

C:\WINDOWS\REGEDIT.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.qq5.com/?s

修改

########

C:\WINDOWS\REGEDIT.EXE

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\START PAGE

http://www.hao123.com/

http://www.qq5.com/?s

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

C:\WINDOWS\REGEDIT.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.qq5.com/?s

修改

########

C:\WINDOWS\REGEDIT.EXE

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\START PAGE

http://www.hao123.com/

http://www.qq5.com/?s

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

C:\WINDOWS\REGEDIT.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.qq5.com/?s

修改

########

C:\WINDOWS\REGEDIT.EXE

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\START PAGE

http://www.hao123.com/

http://www.qq5.com/?s

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

清理临时文件：http://bbs.ikaka.com/attachment.aspx?attachmentid=447126

然后用附件搜索，内附说明（1.png）

附件: Registry Crawler.zip

是不是安装了MAX PAYNE这个游戏后造成的？请提供游戏的下载地址。

如是，请提供F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ这个文件

就是安装了MAX PAYNE
这个游戏
后来我看出问题了就把游戏卸载了
还有就是2楼的方法已经试过了
可是没效果

还有就是如果我没记错的话
应该是在这个网站下载的
http://www.wanyx.com/game/209.html

虽然你卸载了，但这个文件夹还在，里面的程序照样在发挥作用啊，粉碎整个文件夹吧。

拜托，
我在卸载后连文件夹也删除掉了

而且我设置的显示所有系统和隐藏文件

根本就没看到这文件啊


难道就解决不了这个问题了么

不知道有没有用
我先把SREngLOG.log文件附注上吧

希望大哥们帮我解决问题哦

附件: SREngLOG.log

日志看不出可疑进程。

我从这个网站下载了一个麻将游戏试了一下hxxp://www.wanyx.com，在运行游戏时会修改主页的注册表键值，修改的程序分别是：在temp目录下的setacl.exe，还有一个是游戏安装目录下的：scldrv.int，使用ie的设置为空白页后，再次打开就正常了。但请lz注意这个游戏会创建一个假的ie快捷方式在快速启动栏，只要点击快速启动栏里的ie快捷方式打开ie就会显示为hxxp://www.qq5.com/?wan这个网站。建议删除系统桌面、快速启动栏、开始程序菜单里的ie快捷方式，重新创建ie快捷方式，将启动程序指向：C:\Program Files\Internet Explorer\IEXPLORE.EXE。另请查看注册表键值：[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@="\"C: \\Program Files \\Internet Explorer \\iexplore.exe\"
每次运行游戏时都会更改ie首页。

我现在不是要说如何将被篡改的主页改回来
　　而是
　　如何查杀篡改程序的运行，
　　我在上面说了 现在有防火墙顶着 所以每次篡改的时候我都点了阻止，才没被篡改
　　但是怎么杀也杀不出木马来，360等那些顽固木马查杀我已经试过了，
　　特此补充

近段时间出来个垃圾网站 www.qq5.com 《没中标的不要因为好奇上这个网址 搞不好点了你自己也中了= =！》

试过了很多有名的工具,像360安全修复.卡卡等,没有一个管用的,我把IE首页早改成空白页了但只要运行桌面的原始图标就打开这该死的网站,而快速起动中的图标则正常. 我中标的原因大概是因为下载的游戏里可能被加了，《使命召唤5 红色警戒3 极品飞车8 9 还有GTR》我不清楚是不是因为这几个游戏的事 总之我是中标了。而且这个垃圾网站相当麻烦 网上的许多方法不管用 现在说下怎么从注册表上搞定它。。。

最有效的：改注册表HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command就可以了，可以看到数据值"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.qq5.com 

把这个恶意网址删除,注意 可不要把整个字符串给删除掉了0.0

另外你在注册表中查找这个网址你可能什么也找不到,就算找到了也只是运行记录,删除掉也没用,所以请手工依次展开到这个位置就可以了,是有点麻烦,

IE首页的注册表文件是放在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page下的，而这个子键的键值就是IE首页的网址。它是可以修改的，用户可以改为自己常用的网址，或是改为“about:blank”，即空白页。这样，你重启IE就可以看到效果了。

如果这种方法也不能奏效，那就是因为一些病毒或是流氓软件在你的电脑里面安装了一个自运行程序，就算你通过修改注册表恢复了IE首页，但是你一重新启动电脑，这个程序就会自动运行再次篡改。

这时候，我们需要对注册表文件进行更多的修改，运行“regedit”，然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\Program Files\registry.exe，最后从IE选项中重新设置起始页就好了。

除了上面的情况外，有些IE被改了起始页后，即使设置了“使用默认页”仍然无效，这是因为IE起始页的默认页也被篡改啦。对于这种情况，我们同样可以通过修改注册表来解决，运行“regedit”展开HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL子键，然后将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了，或者设置为IE的默认值。


我把这几项注册表项全部都修改了 现在机器算是好了    如果你按照以上方法全部试过还不管用，那只要建议你用其他浏览器 如 360 火狐 等    然后屏蔽这个网站 禁止打开。。。或者用必杀技----重装= =！

祝你搞定它！！！



如转载请注明：转载自『网络生活网』 http://www.wlshw.com/

我在天涯论坛上发了篇求救帖
然后有一个人给我的回复如下

============================================
3wareSrv服务是个病毒 干掉它 应该属于你系统安装盘理集成的木马
　　DELL CERC SATA 1.5/6ch RAID Miniport Driver不需要 应该是你系统安装盘里胡乱集成的RAID驱动 不需要
　　
　　你用hijackthis扫描个日志文件贴出来 我习惯看那个
　　
　　至于你的IE的问题 可以试试黄山IE修复软件
　　
　　


作者：paikemm　回复日期：2009-04-28　22:45:40　 
　　[rr172x / rr172x][Stopped/Boot Start]
　　 <\SystemRoot\system32\DRIVERS\rr172x.sys><HighPoint Technologies, Inc.>
　　[rr174x / rr174x][Stopped/Boot Start]
　　 <\SystemRoot\system32\DRIVERS\rr174x.sys><HighPoint Technologies, Inc.>
　　[rr2340 / rr2340][Stopped/Boot Start]
　　 <\SystemRoot\system32\DRIVERS\rr2340.sys><HighPoint Technologies, Inc.>
　　[rsfwdrv / rsfwdrv][Running/System Start]
　　
　　这三个驱动都是病毒 瑞星视而不见
　　
　　楼主的个案再次证明我的观点：
　　
　　国内杀毒软件市场占用率第一的是瑞星
　　世界中毒机器排第一的是中国


作者：paikemm　回复日期：2009-04-28　22:47:21　 
　　hptmv6.sys 这项也是病毒

==========================================
请问他说的是正确的么？

要是对的话具体操作应该怎么做

改注册表HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command就可以了，可以看到数据值"C:\Program Files\Internet Explorer\IEXPLORE.EXE"

着是正常的


运行“regedit”，然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\Program Files\registry.exe，
没有这个东西


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
这个也是正常的

难道没人能帮我么？

超级兔子修复IE完了看情况