瑞星卡卡安全论坛

我去这个网址
http://www.ldyb.com.cn/html/shoujigongju/201003/24-2748.html
下了一个小体积的exe文件，下载地址：
http://dn.zhongshu.net/zip_v1.29.2010h012103.exe

由于我糊涂了，直接运行了这个exe，结果无论是桌面、快速启动、开始菜单，我所有浏览器（包括IE、傲游、火狐）的快捷方式均被挟持了，运行任意一个快捷方式均自动跳转到http://wwv.9ah.net/。(IE傲游火狐浏览器的主页都确认过了，没有被修改)
右键查看快捷方式的属性，结果发现快捷方式的“目标”那一栏并没有被修改（一般这种挟持的话“目标”栏的最后会有不明网址）。我打开了系统盘Program Files里的浏览器主程序IExplore.exe，Maxthon.exe，FireFox.exe，发现直接打开主程序不会被挟持，但用主程序创建新的快捷方式就被挟持了。个人感觉病毒是针对快捷方式做了手脚，快捷方式本身没问题（因为自己手动创建的快捷方式也会被挟持）

用进程监视器Process Explorer查看，发现打开IE时会先启动进程wscript.exe

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3;MEGAUPLOAD 1.0

打包一个异常的快捷方式上来看一下。

快捷方式打包：

附件: link.rar (2010-5-7 10:24:14, 1.33 K)
该附件被下载次数 378

个人感觉快捷方式本身没有问题，建议斑竹研究下那个带病毒的exe文件

参考此帖的方法试试：http://bbs.ikaka.com/showtopic-8685996.aspx ，如果还是不行，请参考步骤6的工具扫描日志打包发送上来，另再扫描一份sreng日志。

楼上，这不是同一个问题，我的IE主页并没有被挟持，图标也正常，浏览器主页都检查过了，不论是IE傲游火狐都完全正常，问题是在于打开桌面/快速启动/开始菜单的浏览器快捷方式会自动跳转到http://wwv.9ah.net/
如果这是再点击主页按钮，会回到空白主页
还是希望斑竹看看我一楼放的那个exe文件的代码
http://dn.zhongshu.net/zip_v1.29.2010h012103.exe

你那是快捷方式的关联被修改而已

去扫描日志来看

就是我那贴的第六个

不从桌面上打开IE浏览器，直接去浏览器主程序位置去打开浏览器主程序C:\Program Files\Internet Explorer\IEXPLORE.EXE看情况怎样。

参考6楼斑竹的方法，扫描queryreg日志上来看一下。

下载测试了一下
1、注册表处主要修改了lnk的关联，测试用sreng无法修昨，自己去提取注册表导入即可
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\
2、删除生成主要文件
C:\Program Files\netmeeting\Sec360.jse  （这个是修改的LNK关联调用的）
C:\Program Files\netmeeting\tao360.ico
d:\Backup\我的文档\tmp.ini  （这两个ini主要是用regini命令对注册表HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk处的权根设置，我修复时没发现权限有问题，可能失效）
d:\Backup\我的文档\tmp2.ini
d:\Backup\收藏夹\三只涨停黑马股票推荐.url
d:\Backup\收藏夹\最实用的减肥丰胸方法大全.url
d:\Backup\收藏夹\淘宝特卖.url
d:\Backup\收藏夹\绿色下载站.url
d:\Backup\收藏夹\网络赚钱宝典.url

我的文档与收藏夹要对应你自己电脑的路径去找

日志文件

附件: QueryReg.rar

谢谢，问题解决了。我在发这贴之前升级了最新版的瑞星杀毒和卡卡防护，各自全盘扫描了一次都没发现病毒，建议瑞星更新病毒木马库

C:\Program Files\netmeeting\Sec360.jse  还在吗，跟帖打包上传。