瑞星卡卡安全论坛

注册表里Start  page之类的选项我都改了，可刷新后又变成www.sou1.com
怀疑是有恢复修改的流氓软件，可不知道在哪？怎么找？
求教高手啦！！谢谢！！谢谢！急求解答！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

瑞星卡卡修复IE。
展开注册表到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下，在右半部分窗口中找到串值“StartPage”双击,将StartPage的键值改为“about:blank”
同理，展开注册表到HKEY_Current_USER\Software\Microsoft\InternetExplorer\Main
在右半部分窗口中找到串值“StartPage”，的键值改为“about:blank”

关于主页被修改的问题可以参考这个帖子.
http://bbs.ikaka.com/showtopic-8647284.aspx

下载Sreng(http://www.kztechs.com/sreng/download.html)

打开Sreng.exe==>智能扫描==>勾选 检查进程模块的数字签名==>点 扫描==>扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把SREng.LOG的扩展名改成“.txt”后以附件的形式发上来

要是Sreng.exe不能运行，直接重命名为123.bat运行

除了使用上述方法以外，建议楼主再用下流氓软件清理助手，强制修改的背后往往都有恶意软件等流氓产物的操纵的。

请高手给予帮助。
真心的感谢！！

附件: SREngLOG.txt.log

删除以下注册表：
    <{E3531A16-FFEA-416F-82DF-32FEDE02EABF}><>  [N/A]
    <{69B265A2-A172-4D27-BDF1-917E6D8B1DCC}><>  [N/A]
    <{51716C09-6B08-4CCF-B526-718E912C0573}><>  [N/A]
    <{0220FBE7-F757-4C74-B246-D6703DCF1087}><>  [N/A]
    <{762D618C-E2CB-4217-8275-03302A93073F}><>  [N/A]
    <{D6129F8A-6F6E-41D7-BBC9-AC7426759CED}><>  [N/A]
    <{9AD1DE62-196C-4C01-9A2F-0BEDEF727C59}><>  [N/A]
    <{427E02E6-39DB-4424-A49C-7553CD1331F5}><>  [N/A]
    <{76CBCF38-0583-44C7-A1AE-D463DFE625EC}><>  [N/A]
    <{7BCD75AC-7DF8-4B42-9B00-4FEA1CE14755}><>  [N/A]
    <{8708994F-1758-4C2C-9A3F-FA22D6CCCB41}><>  [N/A]
    <{704C3595-DB85-40F6-A601-8D6F346907BD}><>  [N/A]
    <{15882A2F-A06D-486E-8958-E84C86CBF273}><>  [N/A]
    <{CD95107F-52A5-42A4-9914-18949993E798}><>  [N/A]
    <{5405A7B2-F3F5-446F-8715-2A4EF674E079}><>  [N/A]
    <{A761BE8E-C15A-4DDD-A777-2C683E9E96C8}><C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll>  []
    <{53915AE3-2660-4870-B092-C9E5A292D327}><>  [N/A]
    <{108DA6C0-CFBF-41D4-9A09-C4D06AE6FFD2}><>  [N/A]
    <{87DE8A1A-96C5-4420-B222-EF998F697CE7}><>  [N/A]
    <{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}><>  [N/A]
    <{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}><>  [N/A]
    <{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><>  [N/A]
    <{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}><>  [N/A]
    <{6B8FB03D-D56C-4D2A-A11A-5A28B9F3DE06}><>  [N/A]
    <{822775B8-E45B-4E55-9325-0753A0C1DC00}><>  [N/A]
    <{B4FBFDAA-D831-4CDA-BF0D-68815CE308F0}><>  [N/A]
    <{51AA0D89-E9A9-4284-93E8-40C0FDD59304}><>  [N/A]
    <{50EBD6A5-0CF6-4E59-AE08-CCD991AA0596}><>  [N/A]
    <{2EF0D734-21FD-4225-A1A2-BCD296182AAF}><>  [N/A]
    <{1719B301-B494-4185-9379-242461F9CF02}><>  [N/A]
    <{CD478099-014D-4B3A-A4BB-B518F1019BC7}><>  [N/A]
    <{B8898C49-7B3A-4306-A9EF-8E186EDEE5EA}><>  [N/A]
    <{38FEFE05-702C-440D-AD5C-B796209A1CC5}><>  [N/A]
    <{24144CB8-10ED-4BFC-843F-68A9F3369947}><>  [N/A]
    <{A5CA6C70-7185-4466-AB45-B1C34E7A37CA}><>  [N/A]
    <{B14764E8-6DD3-4781-B7F8-B94E662B8ED0}><>  [N/A]
删除以下驱动程序：
[cpuz131 / cpuz131][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cpuz131\cpuz_x32.sys><N/A>
[puxjn / puxjn][Running/Boot Start]
  <\SystemRoot\system32\drivers\dpudv.sys><N/A>
[sx / sx][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\sx.sys><N/A>
[XGG / XGG][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\XGG.sys><N/A>
删除以下IE加载项：
[]
  {1E0DFFCF-27FF-4574-849B-55007349FEDA} <, >
[]
  {29CF293A-1E7D-4069-9E11-E39698D0AF95} <, >
[]
  {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} <, >
[]
  {92780B25-18CC-41C8-B9BE-3C9C571A8263} <, >
[SearchAssistantOC]
  {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, (Signed) N/A>
[]
  {B69F34DD-F0F9-42DC-9EDD-957187DA688D} <, >
[]
  {CD108273-D434-43E6-AA90-1469F97EB398} <, >
[PlayerCtrl Class]
  {E05BC2A3-9A46-4A32-80C9-023A473F5B23} <, >
关闭以下进程，并在服务里设置为“手动”：
[PID: 2024][C:\WINDOWS\system32\spoolsv.exe]  （打印机服务）
此外用流氓软件清理助手扫一下。

C:\WINDOWS\system32\COMRes.dll找到重命名为1.dll,把附件里的COMRes.dll放到C:\WINDOWS\system32\下.

C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll
C:\WINDOWS\system32\drivers\dpudv.sys
上面文件用XDelBox一次性删除
(enao.ys168.com 下载)
复制上面所有要删除的文件，打开XDelBox,在待删除列表点 右键==>选择 剪贴版导入不检查路径==>点 右键==>选择==>立刻重启执行删除

编辑<AppInit_DLLs>内容为<kmon.dll> 即删除C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll

删除注册表项目
    <{A761BE8E-C15A-4DDD-A777-2C683E9E96C8}><C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll> 

删除驱动服务
[puxjn / puxjn][Running/Boot Start]
  <\SystemRoot\system32\drivers\dpudv.sys><N/A>

附件: comres.rar

开始操作之前，先把网络断开；
———————————————————————————————————————
.建议使用XDelBox（Xdelbox解压后运行）删除以下文件：(http://bbs.ikaka.com/attachment.aspx?attachmentid=446806)
使用说明：(先勾选抑制再生)删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

———————————————————————————————————————
C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll
C:\WINDOWS\system32\OtFz.dll
C:\WINDOWS\system32\DRIVERS\asyncmac.sys
C:\WINDOWS\system32\XGG.sys
C:\WINDOWS\system32\drivers\dpudv.sys
———————————————————————————————————————
从下面项可看出系统文件可能已被病毒修改：
comres.dll
可以将附件中的压缩包 解压缩并运行
———————————————————————————————————————
打开SREng，选择【启动项目】-【注册表】，将以下项删除：
  <{A761BE8E-C15A-4DDD-A777-2C683E9E96C8}><C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll>  []
 
编辑<AppInit_DLLs>内容为<kmon.dll> 即删除C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll
———————————————————————————————————————
打开SREng，选择【启动项目】-【服务】-【驱动程序】，将以下项删除：
[XGG / XGG][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\XGG.sys><N/A>
[puxjn / puxjn][Running/Boot Start]
  <\SystemRoot\system32\drivers\dpudv.sys><N/A>
[RAS Asynchronous Media Driver / AsyncMac][Stopped/Manual Start]
  <system32\DRIVERS\asyncmac.sys><N/A>
———————————————————————————————————————

打开SREng，选择【系统修复】-【浏览器加载项】，将以下项删除：


最后，使用“Windows清理助手”清理一下；
———————————————————————————————————————
下载：http://www.arswp.com/

并全盘杀毒

最后，建议LZ将C:\WINDOWS\system32\sx.sys这个文件，上报http://virscan.org测试是否是病毒

附件: 替换文件.rar