瑞星卡卡安全论坛

不小心误操作点了xxxme.baby_347_ghost.exe文件，结果电脑出现问题，桌面上多了几个链接，网上邻居的图标也变为了IE，后来那几个链接但被我删除了。把病毒源文件删除后，经查毒电脑未发现有病毒，但网上邻居的图标无法改回，几处与网上邻居相关的地方（如文件保存、开始菜单）的网上邻居也被改为IE样式。使用命令提示符与reg文件导入时均出现无法访问，请问该如何改回来。
　　
　　附上SREng扫描日志一份

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

附件: 问题.rar

附件: SREngLOG.log

我签名处的照着先全试一遍

这是你什么软件？？

==================================
服务
[OnKey Service _ABC / OnKey Service _ABC][Running/Auto Start]
  <C:\WINDOWS\system32\I3BSer_ABC.exe><N/A>

没记错的话应该是农行的控件

可能是你的系统盘有问题，在 安装的时候丢失文件造成的，建议换个纯净版的系统来装

http://zhidao.baidu.com/question/5151650.html?si=1
修复ie可以参考一下

在“网上邻居”图标上单击鼠标右键，在打开的快捷菜单中选择“属性”命令，打开“本地连接属性”对话框。在“本地连接属性”对话框中检查是否有“Internet协议（TCP/IP）”选项。如果没有，则需要安装该协议；如果有，则双击此项，打开“Internet协议（TCP/IP）属性”对话框，然后查看IP地址、子网掩码、DNS的设置，一般均设为“自动获取”。
单台电脑不能上网，在Windows XP/2000操作系统中，依次单击开始/所有程序/附件/通信/网络连接命令，打开“网络连接”窗口（也可以在网上邻居图标上单击鼠标右键选“属性”命令），
第2步：接着检查“本地连接”的状态。如果本地连接的图标是两个小电脑闪亮，提示“已连接上”，这代表从交换机HUB到电脑的线路是正常的，网卡基本能正常工作，不能上网是由于操作系统设置不当或软件限制等原因引起的。用Ping命令Ping远程主机，看能否Ping通，如果能Ping通则说明网络连接正常，接着检查电脑中的防火墙设置、代理服务器设置等。
第3步：如果Ping不通，则可能是网络协议配置问题。检查电脑IP地址、网关、DNS等配置。
第4步：如果“网络连接”窗口中的本地连接图标是灰色，说明本地连接（网卡）被禁用了，这时只须双击本地连接图标重新启用即可。
第5步：如果“网络连接”窗口中本地连接图标提示“本地电缆被拔出”，则表明交换机或HUB到用户网卡的网线接头有一端松动了或网线有问题，接着检查网线是否接触良好，如果接触良好接着检查网线。

如果是IE损坏，请重装IE。
IE浏览器出问题了，但是当重装时却怎么也安装不了，提示已安装了最新版本，想卸载后再重装，可是在“添加或删除程序”窗口中却找不到IE浏览器的卸载程序。操作方法：运行输入regedit打开注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Version Vector]子键，在右侧窗口中双击名为“IE”的键值项，在打开的对话框中将其数值改小（0），确定后重启电脑即可重装IE浏览器了（网上搜索下载IE）。
把机子关了，等一会再开机！不然就是中毒了，杀毒!不行就还原系统！ 把ip地址选为自获，不行的话在自己设置ip，要看到网关。 局域网无法上网故障诊断方法
局域网中单台电脑无法上网诊断方法如下：
第1步：首先确定是单台电脑不能上网还是局域网中所有电脑都不能上网。如果是单台电脑不能上网，在Windows XP/2000操作系统中，依次单击开始/所有程序/附件/通信/网络连接命令，打开“网络连接”窗口（也可以在网上邻居图标上单击鼠标右键选“属性”命令），
第2步：接着检查“本地连接”的状态。如果本地连接的图标是两个小电脑闪亮，提示“已连接上”，这代表从交换机HUB到电脑的线路是正常的，网卡基本能正常工作，不能上网是由于操作系统设置不当或软件限制等原因引起的。用Ping命令Ping远程主机，看能否Ping通，如果能Ping通则说明网络连接正常，接着检查电脑中的防火墙设置、代理服务器设置等。
第3步：如果Ping不通，则可能是网络协议配置问题。检查电脑IP地址、网关、DNS等配置。
第4步：如果“网络连接”窗口中的本地连接图标是灰色，说明本地连接（网卡）被禁用了，这时只须双击本地连接图标重新启用即可。
第5步：如果“网络连接”窗口中本地连接图标提示“本地电缆被拔出”，则表明交换机或HUB到用户网卡的网线接头有一端松动了或网线有问题，接着检查网线是否接触良好，如果接触良好接着检查网线。

怀疑与网上邻居相关的[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}]处的注册表项被改，无法导入REG可能是注册表权限的问题，楼主可以试下下面的方法
1、将下面复制到文本文档并保存成FIX.BAT
@echo off
pushd "%~dp0"
echo HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}[1 7 17]>reg.ini
echo HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu[1 7 17]>>reg.ini
regini reg.ini
regedit /s fix.reg

2、将下面复制到文本文档并保存成fix.reg
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}]
@="网上邻居"
"InfoTip"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\
  6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\
  00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,\
  2d,00,32,00,32,00,39,00,31,00,32,00,00,00
"IntroText"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\
  6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\
  00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,\
  2d,00,33,00,31,00,37,00,34,00,39,00,00,00
"LocalizedString"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,\
  6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
  00,5c,00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,\
  2c,00,2d,00,39,00,32,00,31,00,37,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}\DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,48,00,\
  45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,31,00,37,00,00,\
  00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,48,00,\
  45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}\shell]
@="none"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}\shell\find]
@=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
  48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,00,32,\
  00,39,00,31,00,38,00,38,00,00,00
"SuppressionPolicy"=dword:00000080
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}\shell\find\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\
  65,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}\shell\find\ddeexec]
@="[FindFolder(\"%l\", %I)]"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}\shell\find\ddeexec\application]
@="Folders"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}\shell\find\ddeexec\topic]
@="AppProperties"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}\ShellFolder]
"HideOnDesktopPerUser"=""
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu]

3、运行FIX.BAT文件

照LS的方法用过后，还是没有好转，请问怎么办？

前面查了下注册表，发现[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}]处和[HKEY_CLASSES_ROOT\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}]处之下都还有其他项，两处的内容一样，而且貌似和IE的也是一样的（我不确定），把具体情况放在附件里，请大家看下。

附件: 注册表情况.rar

我签名处的Windows清理助手的测试版和金山急救箱都不能解决？？

另外，其他地方的网上邻居也被修改了，打开桌面的变成IE网上邻居时会显示打开方式，希望这些对解决问题有帮助（放在附件里）

附件: 其他修改.rar

用了11L的方法，目前其他都解决了，就是网上邻居的图标和名称仍然是IE的样子（包括其他相关地方），求问怎么办

是否我的Shell32.dll有问题？

附件: shell32.part1.rar

附件: shell32.part2.rar

你去打开注册表

删除这项：
HKEY_CLASSES_ROOT\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}

删除完以后，关闭注册表

下载我下面的附件，解压出来，双击123.reg文件导入注册表，导入后重启电脑，看情况如何

附件: 123.rar (2010-3-19 17:29:25, 828 B)
该附件被下载次数 177

问题依旧，没有发生变化，网上邻居的图标和文字仍然是IE的样子

删除这项：
HKEY_CLASSES_ROOT\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}

这个删除必须成功

删除是成功的

如果删除成功，再导入我那注册表项

是不可能不行的

只有一个可能，还有什么东西在改它

你想一下，你是做什么事以后它第一次出异常的呢？？

C:\WINDOWS\system32\myie.exe文件压缩发来看看

我前面出去，现在在亲戚家，第二个问题等我回家再发，先回答第一个问题，当时我爸下了一个文件，然后打开，发现是病毒，文件名是f u c kme.baby_347_ghost.exe（无空格），之后就这样了

帮我测试

下载附件，扫描日志我看

附件: 自定义注册表扫描.rar (2010-3-19 17:59:37, 10.70 K)
该附件被下载次数 165

并且不要忘记将C:\WINDOWS\system32\myie.exe文件压缩发来看看

蹭了顿饭，回来了，附件里是扫描日志，另外，我电脑里没找到myie.exe这个文件（包括整个我的电脑全搜索了）

附件: QueryReg.log

我22楼的附件你扫描了日志没？？

要不你去手工继续打开注册表

删除下面两个：

HKEY_CLASSES_ROOT\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{208D2C60-3AEA-1069-A2D7-08002B30309D}

删除完以后，再下载下面附件，导入注册表看情况如何

附件: 123.rar (2010-3-19 18:23:00, 958 B)
该附件被下载次数 132

仍然没有效果啊，网上邻居还是老样子，扫描日志在LS的LS的附件里

搜索注册表时发现
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\下也有{208D2C60-3AEA-1069-A2D7-08002B30309D}项，且内容是IE的，请问要不要改，怎么改

22楼的附件，你下载扫日志了？？不可能吧？？


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\下也有{208D2C60-3AEA-1069-A2D7-08002B30309D}项，

将其默认值改为空

或者直接删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\下也有{208D2C60-3AEA-1069-A2D7-08002B30309D}项，


至少我这系统内没有

出问题了，删除时提示无法删除，编辑时也提示写入新内容时出错，看来是这儿的问题。求问，如何解决。
另外，我是下载扫描了啊。

修改那路径下的权限。

百度如何改即知

实在不想百度，就这工具下载wsyscheck工具，在工具的“注册表管理”中找到那位置，选择右键菜单的“删除”试试。
（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载
附件: wsyscheck0223中文版.rar

看你扫描的日志内容，不是我在22楼传你的附件

你用的是早前的那工具:kaka6: