瑞星卡卡安全论坛

现在就是一个ie首页被修改的问题了，见10楼
另外为了避免查找不方便，冰刃的使用问题和ie主页被修改解决问题的见32楼
用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11

下载Sreng(http://www.kztechs.com/sreng/download.html)

打开Sreng.exe==>智能扫描==>勾选 检查进程模块的数字签名==>点 扫描==>扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把SREng.LOG的扩展名改成“.txt”后以附件的形式发上来

要是Sreng.exe不能运行，直接重命名为123.bat运行

传上来了，见原帖！

顶回去，不能沉了！

开始操作之前，先把网络断开；
———————————————————————————————————————
1.建议使用XDelBox删除以下文件：(在附件中)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
———————————————————————————————————————

C:\WINDOWS\system32\TcpIpDog1.dll
C:\WINDOWS\system32\TcpIpDogR0.dll
———————————————————————————————————————


打开SREng，选择【启动项目】-【服务】-【驱动程序】，将以下项删除：
[BdGuard / BdGuard][Running/]
  <2 - 系统找不到指定的文件。
><N/A>

———————————————————————————————————————

打开SREng，选择【智能扫描】-【Winsock供应者】，将以下项删除：
RSVP UDP Service Provider
    C:\WINDOWS\system32\TcpIpDogR0.dll(, N/A)
RSVP TCP Service Provider
    C:\WINDOWS\system32\TcpIpDogR0.dll(, N/A)
———————————————————————————————————————
搞完之后，下载W i n d o w s 清理助手 ，清理系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/
然后用卡卡助手扫扫插件，
最后
去下载免费30天的全功能瑞星杀毒软件，安装后升级最新版本全盘杀毒
http://all.rising.com.cn/download/transfer.asp?ver=COMFREE

如果电脑以前有安装DR.com，再重安装一遍。
:kaka11: :kaka11:

:kaka6: 有这么几个问题需要说一下：第一点，那个软件不是说在附件
中么？附件在哪？:kaka6: 我的视力应该没问题吧？然后我有卡卡助手，扫除了两个流氓软件。接下来我是瑞星杀毒软件的付费用户，买的是光盘版的，全盘杀了没有问题。最后，那个dr.com是我们学校上网的上网程序，肯定没有问题，不然我们学校这么多机器全完了～不过有可能后期被病毒感染，不过肯定不是问题的根源。

应该说是系统损坏....你修复注册表试试?

搜索到的有关运行的网页会被自动关闭，相当于运行两字被屏蔽掉了，:kaka6: 系统损坏没这个功能吧

:kaka7: 急啊急

:kaka6: 没想到还这么受流氓网页的青睐，上图，这是ie属性
    按道理说这样打开ie首页就应该是http://cccc365.cn ，但是打开ie后该
  网页仅仅是闪了一下，然后就跳到另一个网页了，见图，
  就是这个网页了，两个都是流氓，怎么解决主页被修改的问题？另外机器
  里面有没有相关的流氓软件？想要找出根源，瑞星杀毒软件和卡卡助手是
当然没用的～～试过了，就不用说了

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11

用SRENG工具扫描系统日志发这论坛来

点击下载：SRENG工具  (内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载


建议日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。

卡卡反病毒小组的人呢？版主呢？:kaka4:

楼主最近安装了什么软件？

该用户帖子内容已被屏蔽

按照说的做了，这是附件，有什么问题尽管指出，我不怕麻烦，就怕流氓

附件: SREngLOG.txt

主要的应该都在这，还有一部分其他的装的很零散，就不说了，见图

用AV终结者专杀试试吧。

不知道下面这两个对应的文件是什么
启动项目
注册表
    <vstart><C:\Program Files\vstart.exe>  [微软中国]
==================================
服务
[ACU Configuration Service / ACS][Stopped/Manual Start]
  <C:\WINDOWS\system32\acs.exe><N/A>

不知道下面项目对应的文件还在不在
==================================
浏览器加载项
[BrowserHelper.CBrowserHelper]
  {D4757F54-BF47-48FD-B233-600663CFFD68} <C:\WINDOWS\system32\99670.dll, administrator>
[PopBlocker Class]
  {7648AC4A-76F6-4D95-B2C4-F0DBD88E5DD5} <C:\WINDOWS\svrhost.dll, N/A>

额，我的是这个，貌似我的桌面ie就是快捷方式，原来的被替换了还是没了不知道，
不过是想说明什么问题呢？这个对解决问题有所帮助么～

看18楼

<C:\WINDOWS\system32\acs.exe>是Atheros 无线网卡的驱动进程。这个应该是正常的。
--------------------------------------------------------------------------------------
[PopBlocker Class]
  {7648AC4A-76F6-4D95-B2C4-F0DBD88E5DD5} <C:\WINDOWS\svrhost.dll, N/A> 这个比较可疑。

 
首先，的确不知道这个是什么

其次，有这个

至于最后说的那个东西，要是路径就只是c\windows或者没有隐藏的话，那就应该是没有的

 

那个东西没找到～:kaka6:

等待啊等待～:kaka3:

所有文件都用解压工具WinRAR依路径打开找找去

找到的都压缩发来

这两文件必须删除成功
C:\WINDOWS\system32\99670.dll
C:\WINDOWS\svrhost.dll

vstart.exe在C盘Program Files下面，是个叫音速启动的工具。
不能直接删，进程里存在的。你有试过用AV终结者专杀工具么？

这个东西找不到C:\WINDOWS\svrhost.dll，C:\WINDOWS\system32\99670.dll压缩上来了

瑞星工程师19：文件名：99670.dll  病毒名：Trojan.Win32.StartPage.mtg

您所上报的病毒文件将在瑞星2009的21.40.13版本中处理解决。

附件: 99670.rar

恩，你说的很对，进程中有看见vstart.exe这项，直接终止掉，然后删掉了，不过不知道会不会再次出现，马上用
AV终结者专杀工具试试

恩，很感谢，这样一来第一个问题就解决了，现在可以使用运行功能了，也可以在网上搜索并
打开带运行字样的网页了，只是我就不明白为什么一个音速启动的工具要屏蔽运行两个字？不过，
ie首页还是老样子

C:\WINDOWS\system32\99670.dll,文件删除没有呀？？

还有不从桌面上打开IE浏览器，直接去浏览器主程序位置去打开浏览器主程序C:\Program Files\Internet Explorer\IEXPLORE.EXE看情况怎样。

如果不异常了，就去删除桌面上的IE快捷方式，去主程序那重新创建个快捷方式放到桌面呗。