瑞星卡卡安全论坛

瑞星主动防御每天都会提示C:\WINDOWS\EXPLORER.EXE想要修改IE主页为www.2345.com/?294

希望知道怎么弄的给我说一下，谢谢

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; QQDownload 551; .NET CLR 1.1.4322; InfoPath.2; 360SE)

压缩该文件后上传

或许是其他原因导致这情况

都改成什么呢？？

一直是什么固定的网页吗？

您要的附件

附件: explorer.rar (2009-6-26 11:01:04, 353.06 K)
该附件被下载次数 647

每次都被改成那个2345的网页，是固定的
烦死了。

1、不从桌面上打开IE浏览器，直接去浏览器主程序位置去打开浏览器主程序C:\Program Files\Internet Explorer\IEXPLORE.EXE看情况怎样。

2、打开注册表，搜索www.2345.将搜索到的全部改为你自己想要的网页地址，然后看情况如何

还不行就去用SRENG工具扫描系统日志发这论坛来

点击下载：SRENG工具  (内附说明）（右键选择“目标另存为”下载）

建议日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。

没有被修改，每次都被瑞星拦截了，还用扫描吗？
但是瑞星每天都会提示两次，说C:\WINDOWS\EXPLORER.EXE试图修改注册表IE首页项

随便你了

不扫就不扫吧

这不取决于我哟:kaka6:

唉~~
我已经做好最坏的打算了
天月姐姐别告诉我电脑要重装就好，要不我会直接崩溃的

附件: SREngLOG.log (2009-6-26 11:28:06, 87.20 K)
该附件被下载次数 343

C:\windows\system32\mshtmleh.dll

断网、关闭IE后，把上面这个文件剪切到桌面上，然后重启下看看。

如果症状消失，请把桌面上那个文件用WINRAR压缩，上传压缩包。

C:\WINDOWS\system32\ESPI11.dll

这个文件貌似什么阿飞升级组件，查了下，貌似篡改WINSOCK，不知道是否和这个DD有关……

那个修改主页好像发作时间不固定
您刚才说的方法没办法试啊
附件是瑞星的防御记录和您要的那个文件

附件: mshtmleh.rar (2009-6-26 11:56:47, 18.14 K)
该附件被下载次数 222

我很想知道DLL文件在做什么工作，有什么办法吗？？

没办法试是啥意思？无法剪切文件么？可以尝试用任务管理器结束桌面进程EXPLORER.EXE后，文件--新建任务（运行）--浏览--找到C:\windows\system32\mshtmleh.dll这个文件，然后给该文件添加.bak的扩展名，或者直接将文件剪切到桌面上，完成后，文件--新建任务（运行）--输入EXPLORER.EXE--回车，调出桌面进程，之后重启电脑看看。

不是，那个改主页五天只出现了三次，我现在把它剪切出来了，但是不知道还会不会发生修改主页的情况，估计要等两天以后了。。。。

简单来讲，DLL文件就是个函数库，一般不能直接运行，但可以插入进程后实现运行。

这种原理性的东西，请自行利用搜索引擎自学……

我个我也知道，我是想知道它所返回的函数，怎么确定它是个什么东西，有没有对我造成危害……
能说说看吗？？

目前类似的不固定时间的改主页，需要考虑是否是玩什么游戏导致

现在不少官方的游戏都带此恶意功能了

需要出现那情况时，自己注意观察了。

麻烦问一下，这个问题解决了吗，我也遇到这个问题了

这个问题没人管？瑞星真烂，也查不出这个恶意代码来

建议操作如下:
C:\WINDOWS\system32\ESPI11.dll需要用LSPFix和WinsockXPFix来修复(论坛置顶的常用工具里有)
先运行LSPFix ... 勾上 我确定要进行修复操作 ...
然后将ESPI11.dll 移到右边...点下完成...
----------------------------------------------------------------
如果在操作之后不能上网...请用WinsockXPFix 修复一下即可...

把C:\windows\system32\mshtmleh.dll
上传到http://www.virscan.org/测试一下

你这两个文件我怎么找不到，直接给下载链接好吗