瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » IE被劫持,上传扫描日志请高手帮忙解决
看山不是山 - 2010-1-16 10:51:00
打开IE后,自动指向“http://www.9365.info/”网站,试了“IE主页被劫持,桌面图标异常以及IE图标异常的个人自助清理(网络)可选方法。 ”帖子中介绍的方法,一直无法解决问题。按照该贴第五个方法生成了扫描日志(见附件),请高手帮忙分析解决。万分感谢!

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

附件: QueryReg.log
天月来了 - 2010-1-16 10:59:00
下载附件试试

附件: 清理工具.rar
看山不是山 - 2010-1-16 11:44:00
试了,不行
天月来了 - 2010-1-16 11:55:00
自己去打开注册表,这路径下先改了去:
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND
[值]@
[内容]"c:\program files\internet explorer\iexplore.exe" 悙悙?/www.haoda123.com.cn

将那值改成
[内容]"c:\program files\internet explorer\iexplore.exe"
天月来了 - 2010-1-16 11:56:00
改完后

不从桌面上打开IE浏览器,直接去浏览器主程序位置去打开浏览器主程序C:\Program Files\Internet Explorer\IEXPLORE.EXE看情况怎样。
看山不是山 - 2010-1-16 12:19:00
试了不行。
www.haoda123.com.cn 这个网站很正常。我的IE打开后被指向的是“http://www.9365.info/”这个网站。
aaccbbdd - 2010-1-16 12:33:00
创新扫个日志上来
天月来了 - 2010-1-16 13:19:00
不从桌面上打开IE浏览器,直接去浏览器主程序位置去打开浏览器主程序C:\Program Files\Internet Explorer\IEXPLORE.EXE看情况怎样。:kaka6:
看山不是山 - 2010-1-16 15:43:00
又创建了一个日志,如下:
********** 日志开始 **********

[键]HKEY_CLASSES_ROOT\CLSID\{0002DF01-0000-0000-C000-000000000046}\LOCALSERVER32
[值]@
[内容]"c:\program files\internet explorer\iexplore.exe"
[类型]REG_SZ

[键]HKEY_CLASSES_ROOT\CLSID\{25336920-03F9-11CF-8FD0-00AA00686F13}\DEFAULTICON
[值]@
[内容]%programfiles%\internet explorer\iexplore.exe,-17
[类型]REG_EXPAND_SZ

[键]HKEY_CLASSES_ROOT\CLSID\{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}\DEFAULTICON
[值]@
[内容]%programfiles%\internet explorer\iexplore.exe,-17
[类型]REG_EXPAND_SZ

[键]HKEY_CLASSES_ROOT\CLSID\{42042206-2D85-11D3-8CFF-005004838597}\OLD ICON\MHTMLFILE\DEFAULTICON
[值]@
[内容]c:\program files\internet explorer\iexplore.exe,-32554
[类型]REG_SZ

[键]HKEY_CLASSES_ROOT\CLSID\{65014010-9F62-11D1-A651-00600811D5CE}\DEFAULTICON
[值]@
[内容]c:\program files\internet explorer\iexplore.exe,1
[类型]REG_EXPAND_SZ

[键]HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND
[值]@
[内容]"c:\program files\internet explorer\iexplore.exe"
[类型]REG_SZ

[键]HKEY_CLASSES_ROOT\CLSID\{AE24FDAE-03C6-11D1-8B76-0080C744F389}\TOOLBOXBITMAP32
[值]@
[内容]%programfiles%\internet explorer\iexplore.exe,-17
[类型]REG_EXPAND_SZ

[键]HKEY_CLASSES_ROOT\CLSID\{FBF23B42-E3F0-101B-8488-00AA003E56F8}\DEFAULTICON
[值]@
[内容]"%programfiles%\internet explorer\iexplore.exe",-32528
[类型]REG_EXPAND_SZ

[键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\DESKTOP\NAMESPACE\{1F4DE370-D627-11D1-BA4F-00A0C91EEDBA}
[值]@
[内容]computer search results folder
[类型]REG_SZ

[键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\DESKTOP\NAMESPACE\{450D8FBA-AD25-11D0-98A8-0800361B1103}
[值]@
[内容]空
[类型]REG_SZ

[键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\DESKTOP\NAMESPACE\{450D8FBA-AD25-11D0-98A8-0800361B1103}
[值]REMOVAL MESSAGE
[内容]@mydocs.dll,-900
[类型]REG_SZ

[键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\DESKTOP\NAMESPACE\{645FF040-5081-101B-9F08-00AA002F954E}
[值]@
[内容]recycle bin
[类型]REG_SZ

[键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\DESKTOP\NAMESPACE\{E17D4FC0-5564-11D1-83F2-00A0C90DC849}
[值]@
[内容]search results folder
[类型]REG_SZ

[键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\HIDEDESKTOPICONS\CLASSICSTARTMENU
[值]{208D2C60-3AEA-1069-A2D7-08002B30309D}
[内容]0x00000000
[类型]REG_DWORD

[键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\HIDEDESKTOPICONS\CLASSICSTARTMENU
[值]{20D04FE0-3AEA-1069-A2D8-08002B30309D}
[内容]0x00000000
[类型]REG_DWORD

[键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\HIDEDESKTOPICONS\CLASSICSTARTMENU
[值]{450D8FBA-AD25-11D0-98A8-0800361B1103}
[内容]0x00000000
[类型]REG_DWORD

[键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\HIDEDESKTOPICONS\CLASSICSTARTMENU
[值]{871C5380-42A0-1069-A2EA-08002B30309D}
[内容]0x00000001
[类型]REG_DWORD

[键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\HIDEDESKTOPICONS\NEWSTARTPANEL
[值]{20D04FE0-3AEA-1069-A2D8-08002B30309D}
[内容]0x00000000
[类型]REG_DWORD

[键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\HIDEDESKTOPICONS\NEWSTARTPANEL
[值]{450D8FBA-AD25-11D0-98A8-0800361B1103}
[内容]0x00000000
[类型]REG_DWORD

[键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\HIDEDESKTOPICONS\NEWSTARTPANEL
[值]{208D2C60-3AEA-1069-A2D7-08002B30309D}
[内容]0x00000000
[类型]REG_DWORD

[键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\HIDEDESKTOPICONS\NEWSTARTPANEL
[值]{871C5380-42A0-1069-A2EA-08002B30309D}
[内容]0x00000001
[类型]REG_DWORD

[键]HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\HIDEDESKTOPICONS\NEWSTARTPANEL
[值]{450D8FBA-AD25-11D0-98A8-0800361B1103}
[内容]0x00000000
[类型]REG_DWORD

[键]HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\HIDEDESKTOPICONS\NEWSTARTPANEL
[值]{20D04FE0-3AEA-1069-A2D8-08002B30309D}
[内容]0x00000000
[类型]REG_DWORD

[键]HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\HIDEDESKTOPICONS\NEWSTARTPANEL
[值]{208D2C60-3AEA-1069-A2D7-08002B30309D}
[内容]0x00000000
[类型]REG_DWORD

[键]HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\HIDEDESKTOPICONS\NEWSTARTPANEL
[值]{871C5380-42A0-1069-A2EA-08002B30309D}
[内容]0x00000001
[类型]REG_DWORD
天月来了 - 2010-1-16 15:46:00
不从桌面上打开IE浏览器,直接去浏览器主程序位置去打开浏览器主程序C:\Program Files\Internet Explorer\IEXPLORE.EXE看情况怎样
看山不是山 - 2010-1-16 15:51:00
直接打开也不行,试过了
networkedition - 2010-1-16 16:15:00
下载狙剑扫描日志发上来
天月来了 - 2010-1-16 16:18:00
你用解压工具WinRAR打开C:\Program Files\Internet Explorer\文件夹,抓图我看
看山不是山 - 2010-1-16 16:35:00
天月来了 - 2010-1-16 16:39:00
用SRENG工具扫描系统日志发这论坛来

点击下载:SRENG工具  (内附说明)(右键选择“目标另存为”下载)本链接不支持迅雷等下载工具下载


建议日志文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。
看山不是山 - 2010-1-16 16:51:00
扫描结果

附件: SREngLOG.log
networkedition - 2010-1-16 17:02:00
1.建议使用XDelBox删除以下文件:(XDelBox1.8下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。


c:\progra~1\common~1\etsuasb.dll
c:\progra~1\common~1\msuasa.dll



2.删除重启后使用SREng修复下面各项:



    系统修复-- 浏览器加载项之如下项删除:
[Zyzzyva]    <>
[]    <C:\PROGRA~1\COMMON~1\msuasa.dll>
[]    <C:\PROGRA~1\COMMON~1\etsuasb.dll>

2.下载安装windows清理助手升级最新版清理系统。

http://download.arswp.com/arswp3/x86/arswp3_x86.exe
天月来了 - 2010-1-16 17:05:00
用SRENG工具删除下面这些项目
==================================
驱动程序
[daojian / daojian][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\daojian.sys><N/A>

==================================
浏览器加载项
[]
  {A01B2FDC-9147-4E70-9510-64433F63B0B0} <C:\PROGRA~1\COMMON~1\etsuasb.dll, N/A>
[]
  {B796CE4C-90B4-4189-FE01-5617A2133282} <C:\PROGRA~1\COMMON~1\msuasa.dll, N/A>
[WebThunder DapPlayer]
  {2EEDA47E-8D5C-4d7e-B4B6-E16E19218555} <C:\Program Files\Thunder Network\WebThunder\DownAndPlay\DapPlayer3.0.41.65.105.dll, N/A>
[]
  {A01B2FDC-9147-4E70-9510-64433F63B0B0} <C:\PROGRA~1\COMMON~1\etsuasb.dll, N/A>
[]
  {B796CE4C-90B4-4189-FE01-5617A2133282} <C:\PROGRA~1\COMMON~1\msuasa.dll, N/A>
看山不是山 - 2010-1-16 17:36:00
问题解决,终于恢复清明了!
感谢 networkedition  和 天月来了 两位。
BTW:怎样能防止这样的情况再发生呢?我好像是访问一个网站时出的问题
天月来了 - 2010-1-16 17:53:00
没办法,那样的恶搞行为和很多正常软件的行为类似

没法完美防御
1
查看完整版本: IE被劫持,上传扫描日志请高手帮忙解决
© 2000 - 2025 Rising Corp. Ltd.