瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » IE被篡改了,各位高手快进。。
路上行人 - 2009-6-26 19:01:00
IE被篡改,但Internet选项中,主页显示还是为空白页,可是一打开IE浏览器,就进入一个www.131.cc 网站,通过修改注册表也没用。。。怎么办啊:kaka4: :kaka4: :kaka4: :kaka4:

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )
夲號ヱ被ジ盜 - 2009-6-26 19:03:00
你QQ
速度了哦
我要出去打球
现在消化消化
路上行人 - 2009-6-26 19:04:00
370447728
路上行人 - 2009-6-26 19:25:00
桌面上的IE  右击只有3个选项了,“打开  Properties  创建快捷方式”  其他什么都没,连属性都没。。。。怎么办啊:kaka4: :kaka4: :kaka4:
路上行人 - 2009-6-26 19:30:00
高手呢,快来救命啊:kaka4: :kaka4: :kaka4:
夲號ヱ被ジ盜 - 2009-6-26 19:32:00
我的IE6
IEXPLORE.EXE备份

附件: iexplore.rar
路上行人 - 2009-6-26 19:38:00
C:\Program Files\Internet Explorer  这里的IE恢复正常,但是桌面上有2个IE  其中一个能删掉,另外一个删除不掉,删除不掉的那个IE点击右键只有3个选项,“打开  Properties  创建快捷方式”用快捷键也删不掉。而且桌面上这个IE一打开还是那个网站导航,只要一打开这个IE,打开后桌面上又多了个IE,打开是另一个网站导航。。。快疯掉了。。。
aaccbbdd - 2009-6-26 19:46:00
Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS:如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
(点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。)
路上行人 - 2009-6-26 19:55:00


引用:
原帖由 aaccbbdd 于 2009-6-26 19:46:00 发表
Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS:如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
(点击我这贴右下角的


附件: SREngLOG.log
夲號ヱ被ジ盜 - 2009-6-26 20:26:00
你的是笔记本电脑
以下我不认得
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<pop><C:\WINDOWS\help\runauto.vbs>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{C3D16072-2E1B-450B-B843-50EADDC8EB63}><C:\WINDOWS\system32\bnmhggo0.dll>  [File is missing]
    <{189F087F-4378-405F-85FA-37D955AD7A8C}><C:\WINDOWS\system32\mtewdh.dll>  [File is missing]
    <{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}><C:\WINDOWS\system32\wklsdd.dll>  [File is missing]
    <{6C648541-1025-9650-9057-6541258720C6}><>  [N/A]
    <{DC3D30AE-0380-4151-8934-EE98A34B0370}><>  [N/A]
    <{50940F85-F015-14F1-A05F-F69858AC6D05}><>  [N/A]
    <{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><>  [N/A]
    <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><>  [N/A]
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><>  [N/A]
    <{35671234-7890-ABCD-CDEF-567801237653}><>  [N/A]
    <{528DF602-9541-A985-210A-984A698C6F25}><>  [N/A]
    <{80AF1289-F140-A140-D012-C1458759FC08}><>  [N/A]
    <{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}><C:\WINDOWS\system32\jggtsr.dll>  [File is missing]
    <{C490415F-65F8-B5C5-D8BA-9405FB12054C}><>  [N/A]
    <{B490415F-65F8-B5C5-D8BA-9405FB12054B}><>  [N/A]
    <{81AF1CF6-D1C9-4C6A-AC01-EDE54E71945B}><C:\WINDOWS\system32\jfdses.dll>  [File is missing]
    <{5A069845-2036-6084-9054-6087502480A5}><>  [N/A]
    <{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}><C:\WINDOWS\system32\tdggrz.dll>  [File is missing]
    <{25FD6584-698F-BCD2-602C-698745210352}><>  [N/A]
    <{5D098345-6785-1098-5413-678067AE03D5}><>  [N/A]
    <{32596546-2036-9451-6058-658402589723}><>  [N/A]
    <{52023698-6984-8541-9654-698745012525}><>  [N/A]
    <{38093456-9012-4568-9076-908765467183}><>  [N/A]
    <{87FD640A-158F-48AC-FD14-1597F14A9778}><>  [N/A]
    <{470165F1-9F65-569F-F895-F14F58F41074}><>  [N/A]
    <{B29583D8-033A-4B9F-8553-7C5458F3FB8E}><C:\WINDOWS\system32\jdsaex.dll>  [File is missing]
    <{30618412-C528-C784-C056-C164D1F7C503}><C:\WINDOWS\system32\detxciua.dll>  [File is missing]
    <{2A698452-C5D8-C584-C256-C264C987C5A2}><>  [N/A]
计划任务
[已启用] 4e5sc.job
        rundll32
[已启用] 4e5dc.job
        rundll32
[已启用] 4e5b.job
        rundll32
[已启用] 4e5ac.job
        rundll32
==================================
隐藏进程
    [480] C:\WINDOWS\mtyvkdgw.exe
[Invoke Class]
  {7ECF71AD-0663-4c49-BBDA-FAE8EF65E67D} <C:\WINDOWS\system32\1rge.dll, N/A>
[BHO Class]
  {1307E689-5CA1-4A15-9583-F2350790290D} <C:\WINDOWS\system32\geu.dll, N/A>
C:\WINDOWS\system32\ESPI11.dll
d:\文档\暑假实习实践报告4297228.dll
d:\驱动\thunder5.7.11.486\thunder5.7.11.4864297228.dll
aaccbbdd - 2009-6-26 20:36:00
1.建议使用XDelBox(Xdelbox解压后运行)删除以下文件:(XDelBox1.8下载)
使用说明:(先勾选抑制再生)删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,(在待删除文件列表里点击右键选择从剪贴板导入不检查路径,)选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

C:\WINDOWS\help\runauto.vbs
c:\windows\system32\mtewdh.dll
c:\windows\system32\wklsdd.dll
c:\windows\system32\jggtsr.dll
c:\windows\system32\tdggrz.dll
c:\windows\system32\jfdses.dll
c:\windows\system32\detxciua.dll
c:\windows\system32\jdsaex.dll
c:\windows\system32\bnmhggo0.dll
c:\windows\security\servcap.exe
d:\驱动\thunder5.7.11.486\thunder5.7.11.4864297228.dll
d:\文档\暑假实习实践报告4297228.dll
d:\program files\alisoft\9573527p.dll
c:\windows\system32\drivers\uupcf1zz6c.sys
c:\windows\system32\drivers\presafe.sys
c:\windows\system32\1rge.dll
c:\windows\system32\geu.dll
C:\WINDOWS\mtyvkdgw.exe
C:\WINDOWS\tasks\4e5sc.job
C:\WINDOWS\tasks\4e5dc.job
C:\WINDOWS\tasks\4e5b.job
C:\WINDOWS\tasks\4e5ac.job



2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
  <pop><C:\WINDOWS\help\runauto.vbs>  []
[{2A698452-C5D8-C584-C256-C264C987C5A2}]    <>
[{2A698452-C5D8-C584-C256-C264C987C5A2}]    <>
[{470165F1-9F65-569F-F895-F14F58F41074}]    <>
[{87FD640A-158F-48AC-FD14-1597F14A9778}]    <>
[{38093456-9012-4568-9076-908765467183}]    <>
[{52023698-6984-8541-9654-698745012525}]    <>
[{32596546-2036-9451-6058-658402589723}]    <>
[{5D098345-6785-1098-5413-678067AE03D5}]    <>
[{25FD6584-698F-BCD2-602C-698745210352}]    <>
[{5A069845-2036-6084-9054-6087502480A5}]    <>
[{B490415F-65F8-B5C5-D8BA-9405FB12054B}]    <>
[{C490415F-65F8-B5C5-D8BA-9405FB12054C}]    <>
[{80AF1289-F140-A140-D012-C1458759FC08}]    <>
[{528DF602-9541-A985-210A-984A698C6F25}]    <>
[{35671234-7890-ABCD-CDEF-567801237653}]    <>
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}]    <>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}]    <>
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}]    <>
[{50940F85-F015-14F1-A05F-F69858AC6D05}]    <>
[{DC3D30AE-0380-4151-8934-EE98A34B0370}]    <>
[{6C648541-1025-9650-9057-6541258720C6}]    <>
[{189F087F-4378-405F-85FA-37D955AD7A8C}]    <C:\WINDOWS\system32\mtewdh.dll>
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}]    <C:\WINDOWS\system32\wklsdd.dll>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\webproxy.exe]]    <IFEO[webproxy.exe]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xcommsvr.exe]]    <IFEO[xcommsvr.exe]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xnlscn.exe]]    <IFEO[xnlscn.exe]>
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\修复工具.exe>貉w€齾]]    <IFEO[修复工具.exe>貉w€齾]>
[{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}]    <C:\WINDOWS\system32\jggtsr.dll>
[{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}]    <C:\WINDOWS\system32\tdggrz.dll>
[{81AF1CF6-D1C9-4C6A-AC01-EDE54E71945B}]    <C:\WINDOWS\system32\jfdses.dll>
[{30618412-C528-C784-C056-C164D1F7C503}]    <C:\WINDOWS\system32\detxciua.dll>
[{B29583D8-033A-4B9F-8553-7C5458F3FB8E}]    <C:\WINDOWS\system32\jdsaex.dll>
[{C3D16072-2E1B-450B-B843-50EADDC8EB63}]    <C:\WINDOWS\system32\bnmhggo0.dll>

    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[ServCap / ServCap]    <C:\WINDOWS\security\ServCap.exe>
[FSGtJwLyN / ObQDR]    <C:\WINDOWS\system32\svchost.exe -k yNCQFsGv-->D:\驱动\Thunder5.7.11.486\Thunder5.7.11.4864297228.dll>
[IvJwMzObPD / NaPCR]    <C:\WINDOWS\system32\svchost.exe -k NaPcR-->D:\文档\暑假实习实践报告4297228.dll>
[jTDmW / FnXDlUAiqY]    <C:\WINDOWS\system32\svchost.exe -k jTClV-->D:\Program Files\Alisoft\9573527P.dll>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[uupcf1zz6 / uupcf1zz6c]    <\SystemRoot\System32\DRIVERS\uupcf1zz6c.sys>
[presafe / presafe]    <\??\C:\WINDOWS\system32\drivers\presafe.sys>

    系统修复-- 浏览器加载项之如下项删除:
[Invoke Class]    <C:\WINDOWS\system32\1rge.dll>
[BHO Class]    <C:\WINDOWS\system32\geu.dll>
[Invoke Class]    <C:\WINDOWS\system32\1rge.dll>

**************以上分析报告由SREngLog分析助手提供******************
分析:小狮子
时间:2009-6-26
SREngLog分析助手 1.4 BY 草莽书生 (20090209 更新 BY 小金)


清理助手下载
安装后,升级清理助手,完整扫描
干掉百度工具条
路上行人 - 2009-6-26 20:54:00


引用:
原帖由 夲號ヱ被ジ盜 于 2009-6-26 20:26:00 发表
你的是笔记本电脑
以下我不认得
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\......
路上行人 - 2009-6-26 20:56:00
下载动物家园版 还是剑盟版呢?
aaccbbdd - 2009-6-26 20:57:00
剑盟版
夲號ヱ被ジ盜 - 2009-6-26 20:57:00
动物家园出错少
aaccbbdd - 2009-6-26 21:02:00
:kaka11:
who说的
路上行人 - 2009-6-26 21:09:00
导入的时候,后缀是.dll 的  都提示 “对不起,不存在该文件”。其他的都能导入。
aaccbbdd - 2009-6-26 21:13:00
在待删除文件列表里点击右键选择从剪贴板导入不检查路径
路上行人 - 2009-6-26 21:14:00
添加不到待删除列表,添加的时候就提示 对不起,不存在该文件
路上行人 - 2009-6-26 21:19:00
知道怎么弄了 在弄,谢谢
路上行人 - 2009-6-26 22:02:00
弄好了 ,然后呢,杀毒还是怎么办? 那个桌面上的IE还是那样啊,点开还是那个网站.
aaccbbdd - 2009-6-26 22:19:00
可以顺利删除了
路上行人 - 2009-6-26 22:25:00


引用:
原帖由 aaccbbdd 于 2009-6-26 22:19:00 发表
可以顺利删除了

桌面那个IE还是弄不掉,打开还是那个网站,右击想把它删除,但右击还是只有3个选项"打开  properties  创建快捷方式”
这是刚扫描的日志,帮忙看下是不是有漏删的地方。。

附件: 1234.log
路上行人 - 2009-6-26 22:29:00
用金山急救箱扫描修复后,那个IE默认设置还是存在,不管扫描多少次还是存在,修复不了。
aaccbbdd - 2009-6-26 22:39:00
1.建议使用XDelBox(Xdelbox解压后运行)删除以下文件:(XDelBox1.8下载)
使用说明:(先勾选抑制再生)删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\system32\jsto.dll

2.删除重启后使用SREng修复下面各项:

    系统修复-- 浏览器加载项之如下项删除:
[BHO Class]    <C:\WINDOWS\system32\jsto.dll>

**************以上分析报告由SREngLog分析助手提供******************
分析:小狮子
时间:2009-6-26
SREngLog分析助手 1.4 BY 草莽书生 (20090209 更新 BY 小金)

清理助手下载
安装后,升级清理助手,完整扫描
清理系统
happysunday2003 - 2009-6-26 23:08:00
请楼主在运行里面输入 regedit 

查找  www.131.cc

找到后删除

我是这样认为的

桌面上的那个ie快捷方式是被修改过的

正常的右击第一个选项是打开主页

我认为关键就在  这个快捷方式的第一个选项  打开  上面

在双击这个ie快捷图标时候就会同时执行一个程序

这个程序就可以改变你所要访问的第一个页面

你可以在注册表里面搜索  打开  这个项目

看下这个项目的值是不是对应一个程序

如果有这种情况的话。楼主可以把这个程序打包发上来

鉴定下是不是本人所说的情况

就这样
路上行人 - 2009-6-26 23:33:00
用你的方法试了下,能搜索到www.131.cc  但是删除后还是没用,情况和以前一样,再搜索 打开  没有对应程序.我快被搞崩溃了...因为点击IE的时候,不仅打开www.131.cc这个网站,在桌面上还会生成一个IE  打开是另外一个导航网站....用楼上的方法也试了下,还是改不回来,..我的IE彻底被强奸了...:kaka4:
夲號ヱ被ジ盜 - 2009-6-26 23:48:00
再来日志看看:kaka6:




发泄下:
刚才那个求助的【我远程】
快捷方式刚给他改回来
但是有个隐藏的reg.exe在作怪,别的东西都KO了
这个程序又是微软的正常文件,我没辙了...
smallyou93 - 2009-6-27 0:00:00
楼主还在不?加我QQ:124246731

右键那个IE,然后截图上来
夲號ヱ被ジ盜 - 2009-6-27 0:03:00
远程已经看了
12
查看完整版本: IE被篡改了,各位高手快进。。
© 2000 - 2025 Rising Corp. Ltd.