瑞星卡卡安全论坛

开机自动会将假的IE快捷方式生成到桌面和快速启动栏！且生成的快捷方式主页为http://www.136s.com/?18
快捷方式衔接的文件为Intenet Exploer.exe（注意，非iexplore.exe），地址为C:\Program Files\Internet Explorer

真正的主页为www.hao123.com没被篡改！真正的IE图标在桌面（非快捷方式），具体的看了图才会懂！








为什么传不了附件啊？我的图片是用QQ截的jpg，大小1M都不到！弹出错误的对话框“无效的图片文件”！



注意是“每次”开机都会将假的IE快捷方式生成到桌面和快速启动栏！！


如果看不到图片，请访问腾讯问问http://wenwen.soso.com/z/q161603383.htm



补充：
今天才出现的，我也不知道怎么会出现这个图标。我使用超级兔子IE修复，重启后还是会出现，无效！
删除C盘的这个“Intenet Exploer.exe”文件可以删除，可是重启后又会出现，无效！
扫描时只连接了网络、少量开机启动的应用程序，没开IE、qq、下载工具等应用程序！

附件: 新建 文本文档.txt (2009-10-21 14:08:57, 57.39 K)
该附件被下载次数 997

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; QQPinyinSetup 614; InfoPath.2; CIBA)

使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序

本人QQ3*****9  如果还有什么问题，可以远程协助我！ 已经解决！屏蔽qq!

Intenet Exploer.exe文件发来

还有想一想到底做什么事导致这样？？？

玩游戏？？

安装自以为没问题的软件？？

Intenet Exploer.exe文件

附件: 新建 WinRAR 压缩文件.rar (2009-10-21 14:32:21, 33.99 K)
该附件被下载次数 907

我记得我昨天下了
1.WinRAR390_正式版_集成美化皮肤正版KEY.exe
下载地址：http://d1.135s.com/t/WinRAR390_正式版_集成美化皮肤正版KEY.exe

2.在暴风官网www.baofeng.com下载了Storm2009-1001.exe（暴风影音），zhuanma_1.0.0.10.exe（暴风转码）

3. 在www.hxlive.cn下载了个去广告的补丁（去暴风和PPS的）
storm+noad+v1.89.rar（原来用1.88版都没问题），pps去补丁pps+noad+v1.3.rar。

以上都用瑞星扫过毒，确认无毒后运行过！

再就是在www.verycd.com上用迅雷下过电视剧和电影！

今天开机就出现了，蛮奇怪的！

楼主提供的文件已上报瑞星分析，感谢您的支持。

就是那个美化版的问题！
在桌面上生成了IE快捷方式，指向"C:\Program Files\Internet Explorer\Intenet Exploer.exe"

WinRAR390_正式版_集成美化皮肤正版KEY.exe？？？
这个是通过超级兔子的界面广告衔接进去的！

那怎么解决咧？瑞星全盘杀毒无任何病毒，也无可疑文件！请求解决方法！

卸载winrar，删除安装目录，删除C:\WINDOWS\system32\qzone.dll和C:\WINDOWS\system32\360sh.dll

感谢byxxdrls。按你的方法，已经解决，只是没有C:\WINDOWS\system32\360sh.dll 而已！！！非常感谢！！！！！:kaka1:

经分析，5楼的文件不是病毒。

俺也碰到了这个问题，附件是System Repair Engineer扫描分析结果
俺的是Windows 7系统。。。。

附件: 文本文档.txt (2009-12-8 15:32:55, 90.41 K)
该附件被下载次数 530

Windows 7 系统不熟悉呢

下面的是些什么呢？？
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <RegNetPass><C:\windows\system32\regcsp.exe>  []

==================================
服务
[Themes / Themes][Running/Auto Start]
  <C:\windows\System32\svchost.exe -k netsvcs-->%SystemRoot%\system32\themeservice.dll><Microsoft Corporation>

这几个是什么呢？？我忘记了。
==================================
正在运行的进程
    [C:\windows\system32\NpOpenStore.dll]  [N/A, ]
    [C:\windows\system32\NPCard.dll]  [N/A, ]
    [C:\windows\system32\RsaFun.dll]  [N/A, ]
    [C:\windows\system32\GPKPCSC.dll]  [N/A, ]

俺用Ezzrnc工具强行把这两个Start page键值删除了：
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_USERS\S-1-5-21-1177238915-1788223648-839522115-500\Software\Microsoft\Internet Explorer\Main
以上两个项内Start Page值的数据都是http://www.136s.com

---
然后，再打开IE，就是 http:/// 无法显示
如果空白页，start page的值是什么？ blank page？

themeservice.dll好像是Win 7的那个壁纸的服务吧