瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 主页可以修改,但启动IE后被锁定为WWW.168tom.com,请教!!【求助】

123   2  /  3  页   跳转

主页可以修改,但启动IE后被锁定为WWW.168tom.com,请教!!【求助】

收藏
魔法学徒
头像
卡卡技术团队
  • 帖子:11465
  • 注册: 2004-10-03
  • 来自:
发表于: 2005-11-18 22:54 | 短消息 资料
字号: 11楼

修复
R3 - URLSearchHook: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)
所有01项

清空IE临时文件(打开IE浏览器——工具——internet选项——删除cookies...、删除文件,把“删除所有脱机内容”选上)。
gototop
 
fangcl
头像
初生襁褓狮
  • 帖子:40
  • 注册: 2005-11-18
  • 来自:
发表于: 2005-11-18 23:00 | 只看楼主 短消息 资料
字号: 12楼

也需进入安全模式修复吗?
gototop
 
fangcl
头像
初生襁褓狮
  • 帖子:40
  • 注册: 2005-11-18
  • 来自:
发表于: 2005-11-18 23:19 | 只看楼主 短消息 资料
字号: 13楼

在安全模式下修复了,还是不行。

我的HOST文件被修改得一塌糊涂,
以下为host文件内容(由于篇幅所限,我将后面绝大部分的删去,内容基本类似),“218.5.72.87 ”正是恶意网站的IP,请问该如何修改?

127.0.0.1localhost
218.5.72.87 www.cnww.net
218.5.72.87 cnww.net
218.5.72.87 www.943721.com
218.5.72.87 943721.com
218.5.72.87 www.94265.com
218.5.72.87 94265.com
218.5.72.87 www.mtv3721.com
218.5.72.87 mtv3721.com
218.5.72.87 www.baidu168.com
218.5.72.87 baidu168.com
218.5.72.87 www.zzk8.com
218.5.72.87 zzk8.com
218.5.72.87 www.7sou8sou.com
218.5.72.87 7sou8sou.com
218.5.72.87 www.zhao123.com
218.5.72.87 zhao123.com
218.5.72.87 www.943721.com
gototop
 
fangcl
头像
初生襁褓狮
  • 帖子:40
  • 注册: 2005-11-18
  • 来自:
发表于: 2005-11-18 23:35 | 只看楼主 短消息 资料
字号: 14楼

按版主方法进入安全模式进行修复,但故障依旧。重启后,

进入该网站时瑞星网页监控发现病毒,无法清除,只能删除。

病毒位置 C:\Documents and Settings\周丹\Local Settings\Temporary Internet Files\Content.IE5\6VAVY5YN\open[1].hta

进程名称 C:\WINDOWS\System32\mshta.exe -Embedding

病毒名称 Js.hta.StartPage

修复后host文件内容只剩下“127.0.0.1localhost”,但一上该恶意网站,马上就又被写入218.5.72.87 www.cnww.net
218.5.72.87 cnww.net
218.5.72.87 www.943721.com
218.5.72.87 943721.com
218.5.72.87 www.94265.com
。。。。。。
gototop
 
魔法学徒
头像
卡卡技术团队
  • 帖子:11465
  • 注册: 2004-10-03
  • 来自:
发表于: 2005-11-19 00:01 | 短消息 资料
字号: 15楼

您进哪个网站后hosts被改?不上不就行了?
gototop
 
fangcl
头像
初生襁褓狮
  • 帖子:40
  • 注册: 2005-11-18
  • 来自:
发表于: 2005-11-19 00:08 | 只看楼主 短消息 资料
字号: 16楼

该恶意网站为WWW.168tom.com。我的IE一启动后就会自动链接到该网页,修改主页后也一样会链接。

在正常状态下手动把hosts文件修改保存后,紧接着重新打开马上又会被恶意修改。

请帮忙。
gototop
 
魔法学徒
头像
卡卡技术团队
  • 帖子:11465
  • 注册: 2004-10-03
  • 来自:
发表于: 2005-11-19 00:18 | 短消息 资料
字号: 17楼

建议使用icesword监控一下您的进程

请参考
使用IceSword杀毒的一些基本操作
http://forum.ikaka.com/topic.asp?board=28&artid=7168178
gototop
 
fangcl
头像
初生襁褓狮
  • 帖子:40
  • 注册: 2005-11-18
  • 来自:
发表于: 2005-11-19 00:59 | 只看楼主 短消息 资料
字号: 18楼

版主辛苦了,以下是进程列表,请帮忙分析一下,该中止哪个进程:

System Idle Process
System
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\DRIVERS\CDAC11BA.EXE
C:\Program Files\RISING\Rav\CCenter.exe
C:\WINDOWS\System32\SMSS.EXE
C:\WINDOWS\System32\SVCHOST.EXE
C:\WINDOWS\System32\CSRSS.EXE
C:\WINDOWS\System32\WINLOGON.EXE
C:\WINDOWS\System32\SERVICES.EXE
C:\WINDOWS\System32\LSASS.EXE
C:\WINDOWS\System32\SVCHOST.EXE
C:\WINDOWS\System32\SVCHOST.EXE
C:\WINDOWS\System32\SVCHOST.EXE
C:\WINDOWS\System32\SVCHOST.EXE
C:\Program Files\RISING\Rav\RavMonD.exe
C:\Program Files\RISING\Rav\RavStub.exe
C:\WINDOWS\System32\SPOOLSV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\RISING\Rav\RavTimer.exe
C:\Program Files\RISING\Rav\RavMon.exe
C:\Program Files\DFVSX\DFVSX.EXE
C:\Program Files\Yahoo!\Assistant\YLIVE.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\CTFMON.EXE
F:\fang\IceSword\IceSword.exe
gototop
 
飞跃迷离
头像
社区嘉宾
  • 帖子:7351
  • 注册: 2004-10-15
  • 来自:
发表于: 2005-11-19 10:27 | 短消息 资料
字号: 19楼

删除以下文件夹中的内容:
C:\Documents and Settings\周丹\Local Settings\Temporary Internet Files\下的所有文件

然后打开hosts文件保留包含127.0.0.1的行,把其它行全部删除。保存修改后,重新启动计算机看看。
gototop
 
fangcl
头像
初生襁褓狮
  • 帖子:40
  • 注册: 2005-11-18
  • 来自:
发表于: 2005-11-19 10:39 | 只看楼主 短消息 资料
字号: 20楼

我试过了,一上IE就会链接,然后hosts文件里面那一大堆垃圾又回来了。
我现在只能启动“IE修复软件”--按“上网助手”启动IE,然后转到其它网站才绕开该死的网站,要不hosts又会被改。
苦啊。。。。。。
请问还有什么办法?
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT