瑞星卡卡安全论坛

9月3日中毒，主页被改为 http://www.yjdaohang.net/hao123-5.html?2?yx0012，当时马上用卡卡修复。重启电脑后瑞星报警，发现程序修改主页选阻止，开始出现发现病毒Trojan.Win32.Generic.122E105A报警。至此每次开机后瑞星报警程序修改主页-阻止-报病毒-杀毒（瑞星显示删除成功），病毒始终杀不死。
      请各位高手帮忙！！！  谢谢诶（附上扫描日志、瑞星病毒日志与电脑防护日志）

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727)

附件: SREngLOG.log

附件: 病毒日志.txt

附件: 电脑防护日志.txt

==================================
服务
[Windows Firewall Internet Connection Sharing / WindowsFirewall][Stopped/Auto Start]
  <C:\WINDOWS\system32\ctfmone.exe runsrv /name:"WindowsFirewall" /prinum:"32" /cmdline:"C:\WINDOWS\system32\firewall.exe"><N/A>

这是你的什么呢？？

C:\Program Files\Google\Google Pinyin 2\GooglePinyinService.exe你用这输入法么？

日志没看出什么

我的工具贴内下载费尔删除工具，抑制再生删除下面两文件：
C:\WINDOWS\winsystem.tmp
c:\windows\system32\bootlog.dll

我用的是谷歌输入法

[Windows Firewall Internet Connection Sharing / WindowsFirewall][Stopped/Auto Start]
  <C:\WINDOWS\system32\ctfmone.exe runsrv /name:"WindowsFirewall" /prinum:"32" /cmdline:"C:\WINDOWS\system32\firewall.exe"><N/A>

这是你的什么呢？？:kaka2:

老大，看我的名字知道我是菜鸟啊····看不懂啊····还有费尔删除工具是那个···谢谢···我笨啊···

我签名工具贴内找呗

这还需要强调自己菜吗？

如果还不会操作，就送修

看了下 病毒记录 C:\WINDOWS\winsystem.tmp  是根源 删除这个就可以

估计根源是4楼那个笨蛋指出的

我也跟你一样的症状，无论如何修改，就是一打开网页就打开http://www.yjdaohang.net/hao123-5.html?10?rj0037，查找了所有的启动项都没有发现可疑问题，就连在安全模式也也查杀不掉，但是能发现该病毒，通过查找病毒文件路径，后来找到了解决办法，不知道你能不能行得通。

病毒名称：Trojan.Win32.StartPage
用一个干净的PE启动盘，启动系统，进去后，删除病毒在桌面和快速启动栏等地方建立的网页快捷方式；打开你原来的系统盘，打开C:\WINDOWS\Install，可以看到里面全是病毒利用的文件，全部删除（其中有一个文件是svchost.exe，但跟系统的不一样，估计每次启动时都启动了该文件），然后通过设置Install文件夹的权限（我的是NTFS系统），删除所有的用户权限，再重启，系统已经正常了，全盘杀次毒，就再也没有出现原来的症状了，最后再恢复install文件夹的权限，删除之。


基本不上论坛，我也是为解决问题搜到此贴的，有疑问可发邮件ｓｙｑｅｍａｉｌ＃ｓｏｈｕ．ｃｏｍ（将#换成@，并用半角字母）。

后来分析了一个，估计病毒是每次开机的时候运行svchost，在桌面和快速启动栏建立很多快捷方式，好像在ie里驻入了一个进程，所以打开IE会转到他设定的网页（直接在IE文件夹里打开不存在这个问题），但是在首页设置里不变。
正常后，在系统文件里按时间排序看，很多最新的文件是可疑病毒文件。

:kaka10: 样本拿来！！！