.Oxn783
昨天,我发现我的电脑有如下症状:QQ登陆会自动消失,会自动弹出一些网页,瑞星防火墙和监控被屏蔽,IE的主页被设置成http;//piaoxue.com
起先我只发现弹出网页,主页不能修改,便以为是普通的IE篡改,于是下载了黄山进行IE修复,结果无效,我又学着进注册表修改首页,无效.
后来发现了其余的症状,于是我认为中了橙色八月,下了专杀,也杀了很多病毒,但发现重新启动后桌面的IE不能用,双击发现是"拒绝访问",但快速启动栏中的IE能用,主页仍然是http;//piaoxue.com,且无法修改,我看启动选项里面有些像乱码一样的启动选项,我真没办法了,请大家帮帮忙.
扫日志上来看看
偶不会扫描日志哦,怎么扫描啊:L ,杀毒软件行么?
爱丽斯,日志怎么看?是不是要找个正确的日志对着看(久了就会看了?)??日志上我只有一些启动程序会看!~~
是了,就是多看,还有回复,看多了基本的一些也就会了;
用HijackThis扫日志
工具下载:http://www.fcbu.com/bbs/thread-55515-1-1.html
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 16:41:22, 日期 2006-9-24
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe (www.dngz.net)版权所有
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\smss.exe
C:\WINDOWS\CTFMON.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\hl\hl_零距离.exe
C:\WINDOWS\system32\net.exe
C:\WINDOWS\system32\net.exe
C:\WINDOWS\system32\net.exe
C:\WINDOWS\system32\net.exe
F:\qqjt\TTPlayer.exe
F:\hl\hl_零距离.exe
F:\QQ2006\QQ.exe
F:\hl\hl_零距离.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\hijack\HijackThis1991汉化版\HijackThis1991zww.exe
R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v14.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - f:\QQ2006\QQIEHelper.dll
O2 - BHO: Microsoft Solo Browser Helper Object - {E3DB85B5-C559-4894-B474-42E89FAA1EFD} - C:\WINDOWS\system32\winmsd.dll ~
O3 - IE工具栏增项: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - F:\金山快译\IEBand.dll
O3 - IE工具栏增项: (no name) - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - (no file)
O4 - 启动项HKLM\\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - 启动项HKLM\\Run: [RfwMain] "F:\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [wdfmgr32] C:\WINDOWS\system32\wdfmgr32.exe
O4 - 启动项HKLM\\Run: [ctfmon] C:\WINDOWS\ctfmon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: desktop.ini
O4 - Global Startup: desktop.ini
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - F:\QQ2006\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - F:\QQ2006\AddPanel.htm (www.dngz.net)版权所有
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - F:\QQ2006\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - F:\QQ2006\SendMMS.htm
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\quartz32.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\quartz32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EC2B67C-1AB2-4C9C-A7A6-0493093FC887}: NameServer = 192.168.1.1
O23 - NT 服务: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - f:\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Unknown owner - f:\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - F:\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - F:\Rising\Rav\Ravmond.exe
这个是不是了啊?
可能我的电脑也中了威金和IE bar,威金我用专杀杀了,ie bar 好象也杀了吧....
结束进程(或到安全模式下)删除文件:
C:\WINDOWS\smss.exe dngz.net版权所有
(同时参看此帖80楼 http://www.fcbu.com/bbs/viewthread.php?tid=55244&highlight=76)
C:\WINDOWS\CTFMON.exe(同时搜索注册表,注意路径)
修复:
R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Microsoft Solo Browser Helper Object - {E3DB85B5-C559-4894-B474-42E89FAA1EFD} - C:\WINDOWS\system32\winmsd.dll
O3 - IE工具栏增项: (no name) - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - (no file)
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
用LSPFix软件修复010项, 修复前下载winsockxpfix备用,如果用修复后不能上网,再次使用winsockxpfix修复.(此帖下载LSPFix和winsockxpfix:http://www.fcbu.com/bbs/thread-55515-1-1.html)
04启动项里除了输入法图标syster32\ctfmon.exe其余都取消
建议卸载瑞星防火墙,换装卡巴6 天网;
另外:这么多net.exe进程再看看
C:\WINDOWS\system32\net.exe
C:\WINDOWS\system32\net.exe
C:\WINDOWS\system32\net.exe dngz.net版权所有
C:\WINDOWS\system32\net.exe
弹出广告窗口:
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\quartz32.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\quartz32.dll
下载置顶“LSPFIX”“WinSockXPFix”“KILLBOX”软件备用!
首先到安全模式下用LSPFIX修复以上文件,然后用KILLBOX删除文件,最后用WinSockXPFix修复一下系统
O4 - 启动项HKLM\\Run: [wdfmgr32] C:\WINDOWS\system32\wdfmgr32.exe
O4 - 启动项HKLM\\Run: [ctfmon] C:\WINDOWS\ctfmon.exe
修复并删除对应文件