首頁被改www.9348.cn/?205446, 求救! bbs.ikaka.com

天月来了 - 2009-6-2 14:16:00

尽量去安全模式下：

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<SYS32DLL><SYS32DLL> [N/A]
—————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
服务
[websrvx / websrvx][Running/Auto Start]
<C:\Program Files\websrvx\websrvx.exe><N/A>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
驱动程序
[sinckne / sinckne][Running/Boot Start]
<\SystemRoot\system32\drivers\axzsv.sys><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[Microsoft ProgressBar Control, version 5.0 (SP2)]
{0713E8D2-850A-101B-AFC0-4210102A8DA7} <C:\WINDOWS\run\COMCTL32.OCX, N/A>
———————————————————————
这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804
删除：
C:\WINDOWS\system32\JcJj.dll
C:\WINDOWS\system32\SYS32DLL.exe
C:\Program Files\websrvx\websrvx.exe
C:\WINDOWS\system32\drivers\axzsv.sys

不论删除结果如何立即重启电脑，看情况如何。

天月来了 - 2009-6-2 14:17:00

不过

这俩家伙到底是什么呢？

C:\WINDOWS\system32\SYS32DLL.exe
C:\Program Files\websrvx\websrvx.exe

happysunday2003 - 2009-6-2 14:23:00

c:\windows\system32\drivers\axzsv.sys

C:\Program Files\websrvx\websrvx.exe

H:\INSTALL\GMSIPCI.SYS

C:\WINDOWS\system32\JcJj.dll

C:\WINDOWS\system32\SYS32DLL.exe

检查这些文件

weirdest - 2009-6-2 14:41:00

我也對這兩個傢伙有懷疑, 但試過刪除後不能上網, 所以就留着..

C:\WINDOWS\system32\SYS32DLL.exe
C:\Program Files\websrvx\websrvx.exe

我再試一下, 然後和你們說吧..

天月来了 - 2009-6-2 14:45:00

C:\WINDOWS\system32\JcJj.dll
C:\WINDOWS\system32\drivers\axzsv.sys

那你就干掉这两个即可

已经可以确定就是它俩导致网页异常的了

風流書生 - 2009-6-2 14:52:00

:default2: :default2: 用卡卡就不能修复吗？

天月来了 - 2009-6-2 14:54:00

卡卡在系统中获得的权限可能远远不够去解决那个恶意驱动

weirdest - 2009-6-2 15:17:00

已成功刪除 C:\WINDOWS\system32\drivers\axzsv.sys

但C:\WINDOWS\system32\JcJj.dll 還在, 不知道怎樣才能刪除, 已用費爾做刪除, 重啟, 但依然還在. :(

附件: SREngLOG.log

weirdest - 2009-6-2 15:48:00

兩個檔案都成功刪除, 但首頁還是www.9348.cn/?205446

附件: SREngLOG.log

aaccbbdd - 2009-6-2 15:53:00

安全模式里删除文件

天月来了 - 2009-6-2 16:01:00

新日志显示，这驱动还在，你去安全模式下，
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
驱动程序
[axzs / sinckne][Running/Boot Start]
<\SystemRoot\system32\drivers\axzsv.syss><N/A>

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

并用我置顶超级巡警删除工具去删除这驱动文件去，提示删除成功的时候，立即断电关机

别用系统的正常关机了，那玩意会回写文件。只有断电阻止了

然后看情况如何

weirdest - 2009-6-2 19:26:00

引用:

原帖由 天月来了 于 2009-6-2 16:01:00 发表
新日志显示，这驱动还在，你去安全模式下，
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
驱动程序
[axzs / sinckne][Running/Boot Start]
<

我也想刪除那個文件, 但是不知道systemroot的詳細地址是什麼... 能提供一下嗎? 我在c:\windows\system32 或 c:\windows 裡面都找不到. :(

夲號ヱ被ジ盜 - 2009-6-2 19:31:00

systemroot就是系统根目录
root英文树根、根
一般在C:\windows

天月来了 - 2009-6-3 7:20:00

c:\windows\system32\drivers\axzsv.syss

就是这路径下

这路径下的文件，尤其是病毒文件，不是你随意翻翻就不了了之的

病毒文件一般都是隐藏的、系统的属性

你的系统一般默认不显示隐藏文件、不显示系统文件

所以你是看不到的

这一般可以用解压工具WinRAR依路径打开相应文件夹，就可以看到文件了

而用超级巡警删除文件的时候，我那里附说明图，难道你没看？？？

只是随意的从超级巡警界面上的“添加”那里去简单添加，没找到文件就不了了之了，是吧？？？

所有求助的都这样的情况，没有人愿意细看我附的说明图:kaka6:

瑞星卡卡安全论坛