.Upp599
现在一开机就是htttp://kzxf.com/(为防止误点,http改为htttp),被锁死了,修改不过来,这个烂学校是什么病毒呀,附上日志,请高手帮帮我呀,先谢谢了
Logfile of HijackThis v1.99.1
Scan saved at 17:16:30, on 2006-09-22
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
c:\program files\rising\rfw\RfwMain.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe (www.dngz.net)
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Tencent\QQ2006\QQ.exe
F:\Tencent\QQ2006\TIMPlatform.exe
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
F:\Tencent\QQ2006\qqpet\qqpet.exe
F:\Tencent\QQ2006\QQ.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\HijackThis.exe
O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - F:\超级兔子\MagicSet\haokanbar.dll
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O3 - Toolbar: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - F:\超级兔子\MagicSet\haokanbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system (www.dngz.net)版权所有
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Super Rabbit IEPro] F:\超级兔子\MagicSet\SRIECLI.EXE /LOAD
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157699250453
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/QQ/QQkill/rsonline.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
,
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
最近怎么这么多IE胁持病毒,我也中了,不过是4199.COM那个贱贱.
到以下这个贴看看,试一下里面的方法
http://www.fcbu.com/bbs/thread-103745-1-1.html
试试 360安全卫士 吧。
下载地址: www.360safe.com
先用超级兔子整理一下
然后在杀毒
修改IE首页最通常的办法是找到相应的注册表文件,把它改回来。
以IE首页的注册表文件修改为例,我们首先要启动Windows的注册表编辑器,具体方法是点击Windows界面左下角的“开始”按钮,再选择“运行”,在弹出的对话框中输入“regedit”就可以进入注册表编辑器了。
本文来自 www.dngz.net
IE首页的注册表文件是放在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page下的,而这个子键的键值就是IE首页的网址。例,键值是http://www.sina.com.cn,它是可以修改的,用户可以改为自己常用的网址,或是改为“about:blank”,即空白页。这样,你重启IE就可以看到效果了。
如果这种方法也不能奏效,那就是因为一些病毒或是流氓软件在你的电脑里面安装了一个自运行程序,就算你通过修改注册表恢复了IE首页,但是你一重新启动电脑,这个程序就会自动运行再次篡改。
这时候,我们需要对注册表文件进行更多的修改,运行“regedit”,然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:\Program Files\registry.exe,最后从IE选项中重新设置起始页就好了。
除了上面的情况外,有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改啦。对于这种情况,我们同样可以通过修改注册表来解决,运行“regedit”展开HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL子键,然后将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了,或者设置为IE的默认值。
不好意思字体调大了
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe dngz.net版权所有
启动项只留瑞星,超级兔子个输入法,别的都不要了
10用winsock修复
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
关闭这2响服务
注册表搜索MDM有关,发现后全部删掉
不错啊
用修改注册表是最好的办法
对不起了,各位大虾还是不行呀,请你们再给小弟想想办法
这时候,我们需要对注册表文件进行更多的修改,运行“regedit”,然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:\Program Files\registry.exe,最后从IE选项中重新设置起始页就好了。
找不到registry.exe这个子键?
怎样删除自运行程序c:\Program Files\registry.exe?
从IE选项中重新设置起始页?具体步骤怎样?
SORRY,偶是比较笨的那类!麻烦麻烦大家了!
我的电脑也中招了,用RegMon监控注册表也找不到是哪能个进程在修改IE主页,不过我最近一直在用一个程序监控我的电脑中进程的运行情况,发现在启动时多了如下几个命令行:
2006-09-20 15:10:22 [start]"C:\WINNT\system32\Rundll32.exe" C:\WINNT\system32\oigbqb58.dll,DllUnregisterServer 欢迎来到(www.dngz.net)
2006-09-20 15:10:22 [start]C:\WINNT\system32\Rundll32.exe "C:\WINNT\system32\oigbqb58.dll",DllCanUnloadNow
2006-09-20 15:10:22 [exit]"C:\WINNT\system32\Rundll32.exe" C:\WINNT\system32\oigbqb58.dll,DllUnregisterServer
2006-09-20 15:10:23 [exit]C:\WINNT\system32\Rundll32.exe "C:\WINNT\system32\oigbqb58.dll",DllCanUnloadNow
这些东西在之前是没有的, 是不是和它有关系?
oigbqb58.dll的文件属性中创建时间是2002.07.22,应该是系统自己带的,但在搜索引擎上找不到任何关于它的资料.
一般情况下,进程中只要出现Rundll32.exe ,就不太正常:
1、显卡程序会调用,但显卡进程可以结束,服务也可关闭;
2、流氓程序会调用,如果有哑虎3721等都会出现这个进程;
3、还要看路径,只要不是在system32路径下的Rundll32.exe都是病毒木马