http://www.8420.cn/?chp篡改首页运行ＣＭＤ bbs.ikaka.com

527qq - 2009-9-29 19:42:00

瑞星，卡卡，３６０，超级兔子等等等等都试过，木马也杀完了，重启后就会篡改首页，不知道是中了什么未知病毒．有次重启动提示有篡改首页注册项，运行了两个ＣＭＤ．ＥＸＥ，我阻止后首页未被修改，怀疑有残余开机自动启动

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler )

附件: SREngLOG.log

527qq - 2009-9-29 19:46:00

瑞星，卡卡，３６０，超级兔子等等等等都试过，木马也杀完了，重启后就会篡改首页成http://www.8420.cn/?chp，不知道是中了什么未知病毒．有次重启动提示有篡改首页注册项，运行了两个ＣＭＤ．ＥＸＥ，阻止后首页未被修改，怀疑有残余开机自动启动，查又查不到，网上资料也少，望大侠们指点！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler )

附件: SREngLOG.log

非拉鐵非 - 2009-9-29 19:46:00

上传System Repair Engineer扫描日志
下载地址http://www.kztechs.com/sreng/sreng2.zip
操作方法：
1、下载后解压缩，运行“SREngLdr.EXE”
2、打开后依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】
3、选择保存路径，文件名保持默认，直接点击【保存】
4、将日志文件SREngLOG.log作为附件上传到论坛，同时务必详细描述问题现象
如果有查杀不净的病毒务必提供病毒名和路径
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序

辛达星郁 - 2009-9-29 20:06:00

1.建议使用XDelBox删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
c:\windows\system32\winseclogon.dll
c:\windows\system32\pageset.dll
c:\windows\system32\pageSet.dll
2.删除重启后使用SREng修复下面各项：
启动项目－－服务－－ Win32服务应用程序之如下项禁用：
[windows Secondary Logon / winseclogon] <C:\WINDOWS\System32\svchost.exe -k winseclogon-->c:\windows\system32\winseclogon.dll>
[Microsoft HttpsFilter Policy Agent / HttpsFilter] <C:\WINDOWS\System32\svchost.exe -k HttpsFilter-->c:\windows\system32\pageset.dll>
[Microsoft HTTPFilters tools / HTTPFilters] <C:\WINDOWS\System32\svchost.exe -k HTTPFilters-->C:\WINDOWS\system32\PageSet.dll>
下载windows清理助手，http://www2.arswp.com/show-77-1.html

merrk_chuan - 2009-9-29 21:00:00

补充LS，注册表里这个也删了

启动项目－－注册表之如下项删除：
[IFEO[Your Image File Name Here without a path]] <ntsd -d>

天涯浪子1988 - 2009-9-29 21:35:00

1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)

使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入（右键不检查路径导入）后在要删除文件上点击右键，选择立刻重启删除(请勾上“抑制再生”的选项），电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入,重启删除
c:\windows\system32\winseclogon.dll

2.删除重启后使用SREng修复下面各项：

启动项目－－服务－－ Win32服务应用程序之如下项禁用：
[windows Secondary Logon / winseclogon][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k winseclogon-->c:\windows\system32\winseclogon.dll><>

菜菜万岁 - 2009-9-29 22:28:00

引用:

原帖由 merrk_chuan 于 2009-9-29 21:00:00 发表
补充LS，注册表里这个也删了

启动项目－－注册表之如下项删除：
[IFEO[Your Image File Name Here without a path]] <ntsd -d>

:kaka7: 这个xp系统原来就有的......干嘛要删掉

victa - 2009-10-29 10:04:00

360顽固木马杀毒机可以杀掉此木马,但要分多次查杀,我开机就杀,连杀三-四次才清楚干净(没次都不同文件),还有csrs.exe,
msxmlfilta.dll也是和这个木马一起的,还有个必须删除所有不出名的垃圾视频播放器,这些木马就靠这些播放器开后门的!!播放器可以整个目录删除(不要用卸载)!,什么波波虎,什么XXX.有了这些播放器,你一登入特定的网页,就被开后门挂马了!!!

瑞星卡卡安全论坛