IE给恶意更改为http://www.7241.cn/?s1就是删不了 bbs.ikaka.com

总是中毒123321 - 2009-6-25 9:42:00

IE给恶意更改为http://www.7241.cn/?s1就是删不了.注册表全搜过.改过来又自动变成他的网址,用了好几个杀毒的,杀流氓的.什么东东全用了就是发现没有恶意插件.所有网络的方法基本全用完,

大家在这里有什么好的办法.IE重新装了还是没有用.

卡卡修复没鸟用.其他修复也没什么用.

:kaka6: :kaka6: 大家有好的方法,提一个.

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; QQDownload 551; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

networkedition - 2009-6-25 9:44:00

使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序

天月来了 - 2009-6-25 9:53:00

你是个人宽带？？？还是在局域网内:kaka2:

yjdszlh - 2009-6-29 13:01:00

我的也是，依旧改不去，怎么办？

立刻回答 - 2009-6-29 13:29:00

先删除桌面上的Internet Explorer，转到C:\Program Files\Internet Explorer ，然后右击iexplore.exe ，将它发送到桌面，然后把桌面上的Internet Exp1orer右击一下，单击属性，将目标改为"C:\Program Files\Internet Explorer\iexplore.exe"（双引号要加上）即可！
注：完成后请将iexplore.exe重命名为Internet Explorer

立刻回答 - 2009-6-29 13:33:00

我以前也有经历，被程序改成http://www.7v7v.com/?desk，使用上面的方法改的！！！

zg1_2004 - 2009-6-29 14:02:00

该用户帖子内容已被屏蔽

zg1_2004 - 2009-6-29 14:12:00

该用户帖子内容已被屏蔽

338899aaa - 2009-7-8 10:38:00

log好了

附件: SREngLOG.log

天月来了 - 2009-7-8 10:41:00

尽量进安全模式下
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，或将启动类型改为“Disabled”
==================================
驱动程序
[knyyza / knyyza][Running/Boot Start]
<\SystemRoot\system32\drivers\hzwmn.sys><N/A>

SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx

天月来了 - 2009-7-8 10:48:00

或者
尽量进安全模式下
下载Wsyscheck工具

附件: wsyscheck0223中文版.rar

解压出来，并运行Wsyscheck工具，在Wsyscheck工具的左上角“软件设置”菜单内做完下面设置：

勾选这四项“模块、服务简洁显示”、“禁止进程和文件创建”、“删除文件前备份”、“删除文件后锁定。

然后就可以继续下面操作了

点击“服务管理”项里，依据路径显示的文件信息，看准了，选择下面项，选择右键菜单的“删除选中的服务和文件”
[knyyza / knyyza][Running/Boot Start]
<\SystemRoot\system32\drivers\hzwmn.sys><N/A>

然后重启电脑看情况如何

祭司炎汐 - 2009-7-8 11:27:00

1.运行注册表编辑器regedit.exe，然后依次展开
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\Program Files\registry.exe，最后从IE选项中重新设置起始页就好了。
2.篡改IE的默认页
有些IE被改了起始页后，即使设置了“使用默认页”仍然无效，这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改：
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL“Default_Page_URL”这个子键的键值即起始页的默认页。
解决办法：
运行注册表编辑器，然后展开上述子键，将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了，或者设置为IE的默认值。
3、修改IE浏览器缺省主页，并且锁定设置项，禁止用户更改回来。
主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选)：
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Pan
el]"Settings"=dword:1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Control Panel]"Links"=dword:1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Control Panel]"SecAddSites"=dword:1
有三种形式的被修改，看看是哪种，试试能不能该回来哦~

天月来了 - 2009-7-8 14:15:00

驱动级恶搞的东西，你整这些干虾米哟:kaka6:

干掉那驱动基本上就可以了

338899aaa - 2009-7-8 19:30:00

非常感谢，好了
都快2个月了
:kaka1: :kaka1: :kaka1:

338899aaa - 2009-7-8 19:56:00

RE
我是9楼的
我把hzwmn.sys粉碎了，重启后确实好了，。
不知道它是怎么把shadow defender穿了（那是明明C盘进入影子模式的）
这个网址是 QQ空间小秘书弄上的

瑞星卡卡安全论坛