瑞星卡卡安全论坛

如题！请高手帮帮忙！百度搜不到关于这个恶意网站的内容！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; CIBA)

下载过外挂吧
明显是:default3:
应用程序控制
不好说
上传SRENG

呵~~下了个星尘传说的外挂就中标了！号被盗了，游戏删了外挂也删除了！每次开机都能杀出木马和病毒来！刚用了瑞星全清理了！不过 IE还是被劫持了,就是恢复不了！用了你说的修改注册表也没改过来，重启后还是WWW.710WG.COM

http://download.kztechs.com/files/sreng2.zip

解压运行SRENG***.exe
智能扫描保存日志发上来（附件）
不想手动KO的话用我签名的第一个工具:default3:

请问下什么是SRENG ！怎么上传！需详细方法

扫描完了！麻烦你帮忙看看！

附件: 710wg.log

先睡了！麻烦高手帮忙看看！

在线等高手回复

打开注册表  定位到HKEY_CLASSES_ROOT,CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND  检查一下 默认字符串单值是否为"C:\Program Files\Internet Explorer\iexplore.exe" www.710wg.com  如果是的话  把后面单网址删除

不检查路径
用XDelBox
删除以下文件;
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\asd\loadqm.exe
D:\成人脑力训练\adashell.exe



浏览器加载项
[很快视频搜索]
  {998A88A0-A355-809B-831C-B83A80000991} <http://www.henkuai.com/?from=iebannel, N/A>
Winsock 提供者
重置
被修改过


360安全卫士和卡卡安全助手
卸载一个

先谢谢快乐黄口狮！不过没有改成C:\Program Files\Internet Explorer\iexplore.exe" www.710wg.com  我再试下本号被盗的办法吧！

C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\asd\loadqm.exe
D:\成人脑力训练\adashell.exe
3个文件都提示不存在！ 卸载了360 问题没解决

这是我用黄山后的查杀日志！请高手帮忙分析一下




黄山IE修复专家8.59  2009/05/06  12:32:46  查杀开始运行在：WinXP【支持网络的安全模式】
【共需完成19个步骤，如果所有步骤均被列出了，证明修复过程是成功的，否则请再次查杀修复】
001-----成功加载黄山IE修复专家模块
002-----正在装载杀毒引擎
003-----开始备份，创建快照镜像
004-----正在创建劫持日志
005-----正在扫描进程与模块
006-----开始扫描注册表
007-----正在枚举注册表项
008-----正在分析注册表项
009-----对照分析结果定位病毒文件
010-----清理病毒体残余的注册表项
011-----开始对search类劫持的彻杀
012-----正在对系统文件进行完整性对照
013-----开始对端口进行分析
014-----开始对行为进行分析
015-----正在分析服务
      【共扫描出5项可疑驱动与服务】
        1、服务名称：DumaNT
          显示名称：NVIDIA Stereo Helper Service
          文件位置：C:\WINDOWS\SYSTEM32\DRIVERS\DUMANT.SYS
          文件说明：（风险）

        2、服务名称：GMSIPCI
          显示名称：GMSIPCI
          文件位置：G:\INSTALL\GMSIPCI.SYS
          文件说明：（风险）

        3、服务名称：PLFlash DeviceIoControl Service
          显示名称：PLFlash DeviceIoControl Service
          文件位置：C:\WINDOWS\SYSTEM32\IOCTLSVC.EXE
          文件说明：Prolific Technology Inc.（风险）
          文件指纹：00c8dac549044f71df1b166dded507a9
          创建时间：2006年12月19日 10:30:26 AM

        4、服务名称：RfwTask
          显示名称：Rising RfwTask Manager
          文件位置：C:\PROGRAM FILES\RISING\RFW\RAVTASK.EXE RFWTASK
          文件说明：（风险）

        5、服务名称：sptd
          显示名称：
          文件位置：C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
          文件说明：（风险）
          （你可以将日志发到论坛让高手帮你分析，然后将文件路径名输入到病毒栏修复后即可清除----可疑服务最好要连续做两次，已确保彻底清除病毒；我们略去了大部分扫描项目的结果，因为那些已被我们立体清除）
016-----正在创建多线程进行全盘扫描
017-----正在遍历文件开始查杀

这个项目平时没见过
==================================
浏览器加载项
[BrowserHelper.CBrowserHelper]
  {DCF49866-8F81-4F5F-8193-7EC75A2AB321} <C:\WINDOWS\system32\lhp64.dll, Lenovo (Beijing) Limited>

你现在只有

1、不从桌面上打开IE浏览器，直接去浏览器主程序位置去打开浏览器主程序看情况怎样。

2、打开注册表，搜索www.710wg.com将搜索到的全部改为你自己想要的网页地址，然后看情况如何

3、还不行，就去用QQ医生扫描个系统日志来。

打开浏览器主程序没问题！打开注册表，搜索www.710wg.com将搜索到的全部改为你自己想要的网页地址，这个不行，改了还是登陆www.710wg.com！

附件: QQ医生.log

打开浏览器主程序没问题！??????

既然打开浏览器主程序没问题！

那么你就去删除桌面上你能看到的所有IE快捷方式

然后重新去主程序那创建新快捷方式到桌面

发送IE快捷方式到桌面了！没问题了，能打开我设定的主页了！我重启下试试！

问题解决了！谢谢各位大侠的指教！