瑞星卡卡安全论坛

为了看电影，在线安装假冒迅雷视频播放器后中招了，先是电脑不能上网，提示无法连接网络和找不到本机IP，我在本地连接属性上重设TCP/IP协议，指定IP地址和DNS地址，才解决不能上网的问题。另外出现了双IE图标，假IE图标点击指向的网址：http://123.sogou.com/    C盘出现了一个文件夹：C:\Program Files\Baidu\cetup-th.exe

我用金山急救箱杀出了一个木马病毒，就是C盘的C:\Program Files\Baidu\cetup-th.exe  ，还有三个可疑启动顶，修复后，假IE图标消失了。但是启动电脑后，一切照旧，被删除的C盘的C:\Program Files\Baidu\cetup-th.exe文件夹和里面的执行文件又出现了，三个可疑启动顶还在。再次用金山急救箱查杀，还是那几个同样问题。 这个假IE的属性找不到具体地址，“目标”栏里是空白的，“起始位置”是“查找并显示 Internet 上的信息和网站”，只有点击他才会跳到http://123.sogou.com/ ，注册表也搜索不到有关信息。我用360急救箱查杀也和金山急救箱一样，发现可疑启动项并解决了，重启后问题还在。


我先后用360急救箱，360安全卫士，金山急救箱，金山安全卫士反复折腾，只能治标不能治本，重启电脑后又出现这个假IE图标。而且瑞星杀软和防火墙也被破坏了，不能在线升级，彻底卸载重装瑞星后也不行。瑞星号称治双IE病毒RavFixIE.exe也不能运行。这些工具全盘查杀均报没有发现病毒。


我只有一条路，格式硬盘，重装系统！


请大家帮我分析一下，是何方病毒这么厉害！还有百度的文件夹Baidu\cetup-th.exe到底是什么文件，为什么删除后又出现？以便我今后再次碰到有办法对付！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

explorer.exe病毒专杀修复工具的各个版本我全用了，也无效！
格式硬盘重装系统，重装的瑞星才恢复正常升级，之前我照网上介绍解决瑞星不能升级的办法全试过，包括删除临时文件等，都没有用。

********** 日志开始 **********
[键]HKEY_CLASSES_ROOT\CLSID\{0002DF01-0000-0000-C000-000000000046}\LOCALSERVER32
[值]@
[内容]"c:\program files\internet explorer\iexplore.exe"
[类型]REG_SZ
[键]HKEY_CLASSES_ROOT\CLSID\{25336920-03F9-11CF-8FD0-00AA00686F13}\DEFAULTICON
[值]@
[内容]c:\program files\internet explorer\iexplore.exe,1
[类型]REG_EXPAND_SZ
[键]HKEY_CLASSES_ROOT\CLSID\{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}\DEFAULTICON
[值]@
[内容]c:\program files\internet explorer\iexplore.exe,1
[类型]REG_EXPAND_SZ
[键]HKEY_CLASSES_ROOT\CLSID\{65014010-9F62-11D1-A651-00600811D5CE}\DEFAULTICON
[值]@
[内容]c:\program files\internet explorer\iexplore.exe,1
[类型]REG_EXPAND_SZ
[键]HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND
[值]@
[内容]%programfiles%\internet explorer\iexplore.exe
[类型]REG_EXPAND_SZ
[键]HKEY_CLASSES_ROOT\CLSID\{AE24FDAE-03C6-11D1-8B76-0080C744F389}\TOOLBOXBITMAP32
[值]@
[内容]c:\program files\internet explorer\iexplore.exe,1
[类型]REG_SZ
[键]HKEY_CLASSES_ROOT\CLSID\{BCFE75E2-C75E-4CB7-9BDB-C13B6A07AB5C}\SHELL\OPENHOMEPAGE\COMMAND
[值]@
[内容]c:\program files\internet explorer\iexplore.exe "h%t%t%p%:%/%/%6d%6h3.%6a%6b%6c%6s%6o%6s%6o.%6i%6n%6f%6o%/?59491004106130759201726"
[类型]REG_SZ
[键]HKEY_CLASSES_ROOT\CLSID\{FBF23B42-E3F0-101B-8488-00AA003E56F8}\DEFAULTICON
[值]@
[内容]"%programfiles%\internet explorer\iexplore.exe",-32528
[类型]REG_EXPAND_SZ
[键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\DESKTOP\NAMESPACE\{1F4DE370-D627-11D1-BA4F-00A0C91EEDBA}
[值]@
[内容]computer search results folder
[类型]REG_SZ
[键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\DESKTOP\NAMESPACE\{450D8FBA-AD25-11D0-98A8-0800361B1103}
[值]@
[内容]空
[类型]REG_SZ
[键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\DESKTOP\NAMESPACE\{450D8FBA-AD25-11D0-98A8-0800361B1103}
[值]REMOVAL MESSAGE
[内容]@mydocs.dll,-900
[类型]REG_SZ
[键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\DESKTOP\NAMESPACE\{645FF040-5081-101B-9F08-00AA002F954E}
[值]@
[内容]空
[类型]REG_SZ
[键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\DESKTOP\NAMESPACE\{E17D4FC0-5564-11D1-83F2-00A0C90DC849}
[值]@
[内容]search results folder
[类型]REG_SZ
========

瑞星双IE及异常桌面图标扫描日志工具

断网， 配合 AUTORUNS, 瑞星、江民ie桌面修复，再配合顽固ie清除

附件: 顽固IE清除 2010-04-10.rar (2010-4-11 20:41:23, 40.80 K)
该附件被下载次数 504

注册表删除连接后 修复IE。。

这个比较有效，运行，重启后右击我的电脑，选资源管理器，点向上，见IE图标拖出。

附件: FixIE_Plus.rar

我在之前已经格式硬盘重装了系统，问题才解决。关键是让我死得明白，究竟是中了什么病毒。今天早上电视上公布现在流行的“山寨百度”病毒有点象，但又不太象。对这种病毒，瑞星有办法查杀吗？

C:\Program Files\Baidu\cetup-th.exe
跟帖打包上传。

C盘我格了

山寨百度可以查杀

可是无能的瑞星自己被山寨杀了！

注册表应该能搜索到相关内容哟