瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 浏览器主页无法修改,SRE提示有高危项
菜鸟180 - 2009-11-27 19:51:00
我的浏览器主页不管怎么修改总是打开5599.net这个网站,今天刚下的SRE点启动项目的时候还出现红色的说是疑似病毒的高危项,请高手帮忙诊断下是否真有病毒,另外浏览器主页修改问题如何解决

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.txt
梦幻の星oо - 2009-11-27 19:59:00
使用SREng工具删除浏览器加载项
[wybhotool Class]
[wybhotool Class]
菜鸟180 - 2009-11-27 20:25:00
不管用啊,重新启动后还是那个网站,而且一打开SRE就提示cryptsvc服务状态有问题,另外还提示注册表UserInit被修改为非正常值,怎么办
梦幻の星oо - 2009-11-27 20:28:00
你使用SREng上面的系统修复 修复一下 试试
使用瑞星查杀全盘 修复IE
另外将桌面左下脚开始旁边的的IE图标删除 桌面的IE图标也删除 去IE目录重新弄一个出来
菜鸟180 - 2009-11-27 20:39:00
IE目录在哪啊
梦幻の星oо - 2009-11-27 20:45:00
如果系统在C盘 那么一般IE路径都是 C:\Program Files\Internet Explorer  你去看看吧
菜鸟180 - 2009-11-27 20:47:00
刚才找到的时候打开提示有病毒,清除了,现在重新启动下计算机看看
菜鸟180 - 2009-11-27 20:58:00
还是那个网站啊 ,真郁闷啊 ,从 SRE日志上能看出病毒么?
梦幻の星oо - 2009-11-27 21:21:00
根据你扫的日志 我给你分析出的报告就是2楼那个
使用SREng工具删除浏览器加载项
[wybhotool Class]
[wybhotool Class]

注册表被改了 要强力修复一下

SRE点启动项目的时候还出现红色的说是疑似病毒的高危项


这个你把他删除
夲號ヱ被ジ盜 - 2009-11-27 22:26:00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <1><c:\windows\system32\ctfmon.vbs>  []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sysedit32.exe>  [File is missing]



C:\WINDOWS\system32\wybho.dll
aaccbbdd - 2009-11-27 22:32:00
1.建议使用XDelBox删除以下文件:(XDelBox1.8下载)
help=使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。


c:\windows\system32\wybho.dll
c:\windows\system32\ctfmon.vbs
c:\windows\system32\userinit.exe,c:\windows\system32\sysedit32.exe

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[1]    <c:\windows\system32\ctfmon.vbs>
注意该项[Userinit]修改:把<C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sysedit32.exe>修改为<C:\WINDOWS\system32\userinit.exe,>逗号不可省略

    系统修复-- 浏览器加载项之如下项删除:
[wybhotool Class]    <C:\WINDOWS\system32\wybho.dll>

**************以上分析报告由SREngLog分析助手提供******************
分析:小狮子
时间:2009/11/27
SREngLog分析助手 1.4 BY 草莽书生 (20090209 更新 BY 小金)
菜鸟180 - 2009-11-28 10:01:00
昨天没有看到您的解决方法,用杀毒软件查了木马:Trojan/Win32.Malagent.n | C:\WINDOWS\system32\dllcache\RunOnce.exe可疑文件:有程序试图以脚本的方式自启动 | c:\windows\system32\ctfmon.vbs木马:Trojan/Win32.BHO.abta | C:\WINDOWS\system32\wybho.dll这几个都已经隔离了,Userinit这个注册表项已经用SRE自动修复了, 请问还需要再用您的方法删除那几个文件么?
快乐未来雨 - 2009-11-28 10:06:00
~~如果叫杀软隔离了,那就是没危险了~~你看隔离后,还能扫见不拉,如果还有这几个病毒的活动迹象,那就有11楼小狮子的办法,灭了~~日志上是在活动着了~~还是找见灭了~~
菜鸟180 - 2009-11-28 10:08:00
就是说最好用小狮子的办法删除文件是么
快乐未来雨 - 2009-11-28 10:12:00
~~恩,竟可能将问题降到最低~~
菜鸟180 - 2009-11-28 10:14:00
为什么这一项c:\windows\system32\sysedit32.exe导入清除列表的时候文件名就变了?
快乐未来雨 - 2009-11-28 10:18:00
~~这个我真的不知道,我一般不用这个暴力删除器~~这个先放着,先搞别的,完了,用超级巡警官方的暴力删除器灭下,看怎样~~
菜鸟180 - 2009-11-28 12:20:00
无法用那个工具删除,提示Access violation at address 0044337A in module XDelbox.exe,Read of address 04724D30 怎么办
1
查看完整版本: 浏览器主页无法修改,SRE提示有高危项
© 2000 - 2025 Rising Corp. Ltd.