瑞星卡卡安全论坛

因为好像都有很多例子是恶意软件用网盾的核心组件来锁定IE首页的，所以想直接从根本源头解决这个问题

什么核心哟

我置顶找工具删除那两文件即可

唉

重新下载附件，解压至桌面，运行程序，执行扫描，然后在程序同目录内将生成个日志QueryReg.log文件，将此日志文件以附件形式发我看看。。
Vista和Windows 7下右键以管理员身份运行
否则扫描中会出现程序卡死
（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载
附件: 双IE以及桌面异常图标扫描求助工具.rar

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
附件: 费 尔.rar(内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

删除：
C:\WINDOWS\kingsofta\KSWebShield.exe
C:\WINDOWS\kingsofta\kswebshield.dll

不论删除结果如何立即重启电脑，看情况如何。

附件: QueryReg.log

文件删除后重启电脑，情况如何呢？？

:kaka6: 我还没删，不知道是不是要下你说的那个费尔来配合删除呢？:kaka6:

手工能删就手工删，手工删不了，你不用工具，你还能怎么办呢？？

那要是删错了怎么办

:kaka6: 就两个文件
删除没所谓
要担心这么多你机子还要不要

要是删除了还不好怎么办呢？

我昨天在安全模式下直接把那个kingsofta文件夹删了，现在主页不是那个了，但是想改主页还是改不了:kaka4:
我在把今天现在日志发给你看看吧，麻烦你啦....呵呵

附件: QueryReg.log

附件: SREngLOG.log

:kaka6: 终于好了，我下载了金山网盾安装后在删除了，现在终于好了，再次感谢你，感谢你这么有耐心帮忙。。。呵呵

我不知道怎么办，只能你自己考虑了

网络中的互助取决于你是否信任我。

没别的好办法。

感谢天月，弄好了，我也是直接安全模式下把那个文件夹删除了，再次谢谢您，还有帮助我的朋友~终于了却了一大心事:kaka1: :kaka1:

麻烦事又来了，桌面上那两个图标 其中有一个删除不掉的，怎么给弄掉？:kaka6:

抓图我看

可能那图标的ntfs下的文件权限没了

那两图标的右键菜单抓图来看

可能其中一个的ntfs下的权限没了

我签名工具贴内找工具删除去

注册表内桌面位置没有异常的CLSID项

:kaka6: 不明白，我用的QQ截图，右键菜单抓图的话抓不了 我也不知道应该用什么抓

我签名呀，签名处有你们求助时想要知道的一切

唉

都是傻瓜笨蛋型:kaka8:

:kaka12: :kaka12: 明白了

天月老大，你11楼说的 “从你们俩的日志来看，好象都存在C:\WINDOWS\kingsofta\文件夹内的程序在运行，那里是什么软件呢？？ ”能否告诉下你是怎么看出来的呢？到时候我朋友遇到这种情况我好帮他解决下，我也好装装B:kaka12: :kaka12:

因为正常的软件不可能是安装在系统C:\WINDOWS\文件夹内的

同时那个日志中的服务项内存在下面项：
==================================
服务
[Kingsoft Antivirus WebShield Service / Kingsoft Antivirus WebShield Service][Running/Auto Start]
  <C:\WINDOWS\kingsofta\KSWebShield.exe><Kingsoft Corporation>

显示其工作情况为Running，就是已运行了的。

外加日志的最后存在这样的异常项：
==================================
API HOOK
入口点错误：ShellExecuteExW (危险等级: 一般,  被下面模块所HOOK: C:\WINDOWS\kingsofta\kswebshield.dll)

其同样是C:\WINDOWS\kingsofta\文件夹

虽然文件名模仿金山的网盾，但是我知道金山的软件是不可能默认安装到那位置的，更重要的是默认安装的路径是kingsoft文件夹，不是kingsofta文件夹，多了一个字母a

没别的了。

:kaka7: :kaka7: 厉害~此帖保留，以便日后研究~