主页被无辜改成了www.7939.com 怎么都改不过来 用瑞星拒绝修改后一直弹出同不同意把主页修改成7939的对话框 一直闪

Logfile of Kaka v2. 0. 0. 9 Scan Module v2. 0. 0. 1
Scan saved at 12:10:18, on 2006-10-05
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer v6.00 SP2; (6.00.2900.2180 (xpsp_sp2_rtm.040803-2158))


Running processes:
[smss.exe]
CommandLine =

[csrss.exe]
CommandLine = C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

[winlogon.exe]
CommandLine = winlogon.exe

[SERVICES.EXE]
CommandLine = C:\WINDOWS\system32\services.exe

[LSASS.EXE]
CommandLine = C:\WINDOWS\system32\lsass.exe

[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost -k DcomLaunch

[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost -k rpcss

[CCenter.exe]
CommandLine = "C:\Program Files\Rising\Rav\CCenter.exe"

[SVCHOST.EXE]
CommandLine = C:\WINDOWS\System32\svchost.exe -k netsvcs

[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost.exe -k NetworkService

[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost.exe -k LocalService

[RavMonD.exe]
CommandLine = "C:\Program Files\Rising\Rav\Ravmond.exe"

[EXPLORER.EXE]
CommandLine = C:\WINDOWS\Explorer.EXE

[rfwsrv.exe]
CommandLine = "c:\program files\rising\rfw\rfwsrv.exe"

[spoolsv.exe]
CommandLine = C:\WINDOWS\system32\spoolsv.exe

[RavStub.exe]
CommandLine = "C:\Program Files\Rising\Rav\RavStub.exe" /RAVMOND

[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost.exe -k imgsvc

[CnxDslTb.exe]
CommandLine = "C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe"

[wdfmgr.exe]
CommandLine = C:\WINDOWS\system32\wdfmgr.exe

[RavTask.exe]
CommandLine = "C:\PROGRAM FILES\RISING\RAV\RAVTASK.EXE" -SYSTEM

[RFWMAIN.EXE]
CommandLine = "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup

[RavMon.exe]
CommandLine = "C:\Program Files\Rising\Rav\Ravmon.exe" -SYSTEM

[Realplayer.exe]
CommandLine = "C:\WINDOWS\system32\Realplayer.exe"

[CTFMON.EXE]
CommandLine = "C:\WINDOWS\system32\ctfmon.exe"

[IEXPLORE.EXE]
CommandLine = "C:\Program Files\Internet Explorer\iexplore.exe"

[KkScan.exe]
CommandLine = "C:\Program Files\Rising\KakaToolBar\KkScan.exe"

R3 - Default URLSearchHook is missing
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: 59.34.148.98      www.hao123.com
O1 - Hosts: 59.34.148.98      www.4199.com
O1 - Hosts: 59.34.148.98      www.9505.com
O1 - Hosts: 59.34.148.98      www.7322.com
O1 - Hosts: 218.5.76.175      www.huoche.com.cn
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - HKLM\..\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - Startup: desktop.ini =
O4 - Global Startup: desktop.ini =
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A262B185-8F61-460A-B3D4-9D18A1E05EBD}: NameServer = 202.96.64.68 202.96.69.38
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O23 - Service: Human Interface Device Access (HidServ) -  - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\CCenter.exe"
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\Ravmond.exe"

我的跟你一样,不过我的弄好了

关于7939 锁定浏览器的问题 请参照 以下帖子
http://forum.ikaka.com/topic.asp?board=28&artid=8157088

7939.com分析如下...

病毒分析：
运行realplayer.exe 后
发现在C:\windows\system32下生成了realplayer.exe和brlmon.dll,RavMon.dll,Rsvtub.dll（这3个文件会有一个，因为是3个变种）两个文件 且brlmon.dll或RavMon.dll或Rsvtub.dll插入Explorer进程 还好插入的是Explorer进程 比较好弄
realplayer.exe和brlmon.dll或RavMon.dll或Rsvtub.dll两个东西相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件
并且在注册表项上添加了2个启动项
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
达到开机启动的目的

手工清除:
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
1.打开任务管理器 (Ctrl+ALT+DEL) 结束Realplayer.exe
然后结束 Explorer进程
此时桌面可能没了 不要担心
2.然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览 找到
C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 或者C:\WINDOWS\System32\RavMon.dll或者C:\WINDOWS\system32\Rsvtub.dll右键删除该文件
3.然后文件-新建任务-浏览 打开C:\Windows\Explorer.exe　此时　桌面又回来了
（结束Explorer.exe是为了删除那个C:\WINDOWS\system32\brlmon.dll或者C:\WINDOWS\System32\RavMon.dll或者C:\WINDOWS\system32\Rsvtub.dll　否则删不掉）
4.然后　用hijackthis修复
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
这两项
5.修复注册表
开始 运行 输入regedit 删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT
和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown
HKLM\SOFTWARE\Microsoft\Baidu

整个项目　
6.打开C:\Documents and Settings\用户名\Local Settings\Temp
寻找类似v2006XXXX.rar的文件把它删除 XXXX代表日期 比如 0829 0830 0831 0901 0902等
7.最后记得一定要将主页改回来

附：hijackthis下载地址 http://forum.ikaka.com/topic.asp?board=28&artid=8105899
修复方法：打开hijackthis 选择 仅执行扫描系统 然后在窗口里把
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
挑钩 点击下面的修复 即可

此病毒变种很多 且每天更新 如果在出现变种请下载 专杀 查杀..

--------------------------------------------------------------------------
7b.com.cn 分析如下..
IE首页被锁定为 7b.com.cn 的问题....
看过一下样本,怀疑跟realplayer.exe(7939.com),是同一个作者

7b.com.cn 被挂了一个MS06-014 Exploit,用来下载start.exe

1. 当 start.exe 运行时,释放以下档案
-%PROGRAMFILES%\Tencent\QQ\Messenger.exe (跟start.exe一样)
-%PROGRAMFILES%\Tencent\QQ\RTraveler.dll
-%SYSTEM%\Maxthonz.dll

RTraveler.dll会载入到Explorer.exe

2. 加启动项
Realplayer.exe = %PROGRAMFILES%\Tencent\QQ\Messenger.exe
Messenger.exe = %PROGRAMFILES%\Tencent\QQ\Messenger.exe
Messager.exe = %PROGRAMFILES%\Tencent\QQ\Messenger.exe
到
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

3. 加了以下的Registry Key
HKLM\SOFTWARE\Microsoft NT

4. 注册Maxthonz.dll,新增以下Registry keys
HKEY_CLASSES_ROOT\CLSID\{0EB00690-8FA1-11D3-96C7-829E3EA50C29}
HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html ( CLSID指向{0EB00690-8FA1-11D3-96C7-829E3EA50C29} )

5. 修改IE主页
HKCU\Software\Microsoft\Internet Explorer\Main
"Start Page"=hxxp://7b.com.cn/

6. 读取hxxp://count.checkthisdoor.com上的一个HTML,检查有没有新版本的EXE + 要修改的主页 + 检查其他设定
如果有更新,就从hxxp://file.checkthisdoor.com/下载一个rar (其实是一个EXE)到 %TEMP%
----------------------------------------------------------------------------
7939.com和7b.com.cn 专杀....

专杀清除
a) 下载附件 7939_7b_v1.zip 到桌面,解开压缩包,运行bfu.exe
b) 按 文件夹图示 ,选取在 bfu.exe 旁的 7939_7b_v1.bfu 档案
c) 选取后, 确定已勾上 Use settings specified in script for above options
d) 请关闭正在使用的程式和浏览器(eg. QQ,IE),按 Execute 开始 , 请耐心等候
e) 完成后,可能会提示你要重新开机,请重新开机

你会发现在%SYSTEMDRIVE% (一般C:\ ) 下,会多了一个Suspect file的文件夹,删除就可以了

The attached BFU script is written by Krazaf/tkabc....

专杀下载地址⒈ : http://mopery.hits.io/7939_7b_v1.zip
专杀下载地址⒉ : http://space.uwants.com/batch.download.php?aid=89546
在此感谢作者 TKabc
by:mopery