问题现象:
IE首页可以修改,但会不定时的变成一个网址。系统运行速度正常,没有变慢的现象,IE可以正常使用。
当主页被改变时,瑞星提示program files/internet explorer/iexplore.exe 试图修改主页为。。。。 所指的iexplore.exe 就是我使用的IE,并不是其他目录的程序。
检查经过:
使用瑞星+新病毒库查不到病毒,黄山IE修复专家 修复无效,在安全模式修复仍然无效。 人工检查系统进程没有发现可疑进程。 注册表启动项没有可疑程序。
怀疑:
iexplore.exe 被病毒感染,但杀毒软件查不到。
超级兔子等软件锁定首页也只是治标不治本,不能从根本解决啊。
被自动修改成的网址是 http://www.99887755.com (不要乱点)
以下是hijackthis的扫描结果:
HijackThis_815汉化版扫描日志 V1.99.1
保存于 20:22:05, 日期 2005-11-11
操作系统: Windows 2000 SP4 (WinNT 5.00.2195)
浏览器: Unable to get Internet Explorer version!
当前运行的进程:
G:\WINNT\System32\smss.exe
G:\WINNT\system32\winlogon.exe
G:\WINNT\system32\services.exe
G:\WINNT\system32\lsass.exe
G:\WINNT\system32\svchost.exe
G:\WINNT\System32\msdtc.exe
G:\WINNT\System32\svchost.exe
G:\WINNT\System32\llssrv.exe
G:\Program Files\Network Associates\Common Framework\FrameworkService.exe
G:\Program Files\Network Associates\VirusScan\mcshield.exe
G:\Program Files\Network Associates\VirusScan\vstskmgr.exe
G:\WINNT\System32\nvsvc32.exe
G:\WINNT\system32\stisvc.exe
G:\WINNT\System32\WBEM\WinMgmt.exe
G:\WINNT\system32\svchost.exe
G:\WINNT\system32\Dfssvc.exe
G:\WINNT\Explorer.EXE
G:\Program Files\SkyNet\FireWall\PFW.exe
G:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
G:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
G:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
G:\WINNT\system32\internat.exe
G:\WINNT\System32\svchost.exe
G:\Program Files\Common Files\Real\Update_OB\realsched.exe
D:\工具\tencent\QQ2005\qq\QQ.exe
D:\工具\tencent\QQ2005\qq\TIMPlatform.exe
E:\hijackthis\HijackThis1991汉化版\HijackThis1991zww.exe
R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - G:\WINNT\system32\xunleibho_v8.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHG~1\fgiebar.dll
O3 - IE工具栏增项: (no name) - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - (no file)
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINNT\system32\msdxm.ocx
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] G:\Program Files\SkyNet\FireWall\PFW.exe
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINNT\System32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [ShStatEXE] "G:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - 启动项HKLM\\Run: [McAfeeUpdaterUI] "G:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - 启动项HKLM\\Run: [Network Associates Error Reporting Service] "G:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: microsoft office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - G:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - G:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet2k\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet2k\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\工具\tencent\QQ2005\qq\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\工具\tencent\QQ2005\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\工具\tencent\QQ2005\qq\SendMMS.htm
O10 - 未知的文件在 Winsock LSP: g:\program files\nec\e-border client\s5spi.dll
O10 - 未知的文件在 Winsock LSP: g:\program files\nec\e-border client\s5spi.dll
O10 - 未知的文件在 Winsock LSP: g:\program files\nec\e-border client\s5spi.dll
O10 - 未知的文件在 Winsock LSP: g:\program files\nec\e-border client\s5spi.dll
O10 - 未知的文件在 Winsock LSP: g:\program files\nec\e-border client\s5spi.dll
O10 - 未知的文件在 Winsock LSP: g:\program files\nec\e-border client\s5spi.dll
O10 - 未知的文件在 Winsock LSP: g:\winnt\system32\wintcp.dll
O10 - 未知的文件在 Winsock LSP: g:\winnt\system32\wintcp.dll
O10 - 未知的文件在 Winsock LSP: g:\winnt\system32\wintcp.dll
O10 - 未知的文件在 Winsock LSP: g:\winnt\system32\wintcp.dll
O10 - 未知的文件在 Winsock LSP: g:\winnt\system32\wintcp.dll
O10 - 未知的文件在 Winsock LSP: g:\winnt\system32\wintcp.dll
O10 - 未知的文件在 Winsock LSP: g:\winnt\system32\wintcp.dll
O10 - 未知的文件在 Winsock LSP: g:\winnt\system32\wintcp.dll
O10 - 未知的文件在 Winsock LSP: g:\winnt\system32\wintcp.dll
O10 - 未知的文件在 Winsock LSP: g:\winnt\system32\wintcp.dll
O10 - 未知的文件在 Winsock LSP: g:\program files\nec\e-border client\s5spi.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {DDA166FA-B3EA-4A3B-8EE2-4F552CDEEE81} (KATScan Control) - http://211.152.52.102/duba/antitrojan/update/OCX/KATScan.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{6135B4B3-FE5B-40C4-9D15-F12BEFF9EFFC}: NameServer = 202.96.64.68,202.96.75.68
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - G:\WINNT\System32\dmadmin.exe
O23 - NT 服务: McAfee Framework 服务 (McAfeeFramework) - Network Associates, Inc. - G:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - NT 服务: Network Associates McShield (McShield) - Network Associates, Inc. - G:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - NT 服务: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - G:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - G:\WINNT\System32\nvsvc32.exe
O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - G:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - G:\PROGRAM FILES\RISING\RAV\Ravmond.exe
