瑞星卡卡安全论坛
fzzfzz - 2006-4-28 23:11:00
IE被www.9991.com劫持,修改修改注册表后,会自动把默认首页改回www.9991.com.
请问老大们,如何可接触这个劫持.谢谢!
hijackthis 的扫描日志如下:
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 22:59:35, 日期 2006-4-28
操作系统: Windows XP SP1 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP1 (6.00.2800.1106)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\工具\HijackThis 1.99.1\HijackThis1991-HA\HijackThis1991zww.exe
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - 启动项HKLM\\Run: [Update] C:\Program Files\Common Files\UPDAT\Update.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Excel(&x) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - 浏览器额外的按钮: 实用网址导航 - {1D901067-2529-4A9B-9B6B-7A1DB3A44CB5} - C:\Program Files\CoolWebsite\QuickLink.dll
O9 - 浏览器额外的按钮: 词霸 - {9A687CA6-D585-4947-9ED9-BE96071F5CD9} - C:\Program Files\Kingsoft\Powerword 2003\XDictExB.dll
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A35F636-BF73-4FA3-A625-CCF3C3B8E140}: NameServer = 211.167.97.200,211.167.97.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{14C4942E-08CB-4960-8A4D-FAC13B0A5250}: NameServer = 211.167.97.200,211.167.97.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCEA3C85-442E-4F98-9213-E1E9DC51E48A}: NameServer = 219.233.241.166,211.167.97.67
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A35F636-BF73-4FA3-A625-CCF3C3B8E140}: NameServer = 211.167.97.200,211.167.97.67
O18 - 列举现有的协议: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} - C:\Program Files\Kingsoft\Powerword 2003\XDictExB.dll
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - NT 服务: McAfee Framework 服务 (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - NT 服务: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - NT 服务: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - NT 服务: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
xinxinsuo - 2006-4-29 0:16:00
置顶贴有方法的 去看看吧
聪明的宝宝 - 2006-4-29 0:24:00
笨B,看置贴,死人!
fzzfzz - 2006-4-29 11:54:00
呵呵,解决了。谢谢各位!
删除 irjit.dll 和res.exe
清理 注册表中的www.9991.com相关键值后,到目前9991没有出现过。
PS.
回帖中用粗话,比较不值得,因为这样无助与保持一个人的正常身价。建议以后不要使用粗话, OK?
fzzfzz - 2006-4-29 18:37:00
呵呵,好景不长,讨厌的9991.com又跳出来了,如何是好啊?
2116bromgamed2m - 2006-4-29 18:54:00
参考下
1.重新启动计算机,按F8,进入安全模式,查找并删除文件“spted.dll ”、“IRJIT.dll ”
2.重启计算机后,点击“开始”,选择“运行”,键入“regedit”命令,点击“确认”。
在“注册表编辑器”里,利用“编辑”菜单栏下的“查找”,分别查找参数“c:\windows\system32\spted.dll
”和“c:\windows\system32\wbem\IRJIT.dll ”,将这些参数删除。重新启动,即可。
fzzfzz - 2006-4-29 19:52:00
谢谢5楼。
已经把Spted.dll文件和注册表中的相应的项删除。
因为irjit.dll以前已经删除,这次没有找到该文件和注册表中的相应项。
希望这样就能解决。:)
fzzfzz - 2006-4-30 17:33:00
非常不幸,采取了上面说的措施后,偶的机器还没有解除www.9991.com的劫持,有哪位朋友能帮一下?
谢谢!
花落花又开 - 2006-4-30 17:34:00
【回复“fzzfzz”的帖子】
麻烦再扫个LOG贴上来。
fzzfzz - 2006-4-30 17:42:00
谢谢花落花又开版主的关注!
Log如下:
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 17:39:23, 日期 2006-4-30
操作系统: Windows XP SP1 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP1 (6.00.2800.1106)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\conime.exe
C:\优选工具\病毒和恶意代码\HijackThis 1.99.1\HijackThis1991-HA\HijackThis1991zww.exe
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - 启动项HKLM\\Run: [Update] C:\Program Files\Common Files\UPDAT\Update.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Excel(&x) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - 浏览器额外的按钮: 实用网址导航 - {1D901067-2529-4A9B-9B6B-7A1DB3A44CB5} - C:\Program Files\CoolWebsite\QuickLink.dll
O9 - 浏览器额外的按钮: 词霸 - {9A687CA6-D585-4947-9ED9-BE96071F5CD9} - C:\Program Files\Kingsoft\Powerword 2003\XDictExB.dll
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A35F636-BF73-4FA3-A625-CCF3C3B8E140}: NameServer = 211.167.97.200,211.167.97.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{14C4942E-08CB-4960-8A4D-FAC13B0A5250}: NameServer = 211.167.97.200,211.167.97.67
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCEA3C85-442E-4F98-9213-E1E9DC51E48A}: NameServer = 219.233.241.166,211.167.97.67
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A35F636-BF73-4FA3-A625-CCF3C3B8E140}: NameServer = 211.167.97.200,211.167.97.67
O18 - 列举现有的协议: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} - C:\Program Files\Kingsoft\Powerword 2003\XDictExB.dll
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - NT 服务: McAfee Framework 服务 (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - NT 服务: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - NT 服务: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - NT 服务: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
花落花又开 - 2006-4-30 17:45:00
修复:
O4 - 启动项HKLM\\Run: [Update] C:\Program Files\Common Files\UPDAT\Update.exe
删除:C:\Program Files\Common Files\UPDAT\文件夹
再到我的空间konce.ys168.com下载“RegClean.com 0.6MB”瑞星注册表清理工具清理一下。
如未能解决请继续跟贴反映
fzzfzz - 2006-4-30 18:02:00
删除了update文件夹
修复了run---update项
搜索,没有再发现已经被删除的各个有关文件,
重启动,
下载:RegClean.com
看看会有效果吗
花落花又开 - 2006-4-30 18:03:00
操作完了再说吧。
2116bromgamed2m - 2006-4-30 18:11:00
修复:
O9 - 浏览器额外的按钮: 实用网址导航 - {1D901067-2529-4A9B-9B6B-7A1DB3A44CB5} - C:\Program Files\CoolWebsite\QuickLink.dll
卸载:
C:\Program Files\CoolWebsite\
删除:
C:\Program Files\CoolWebsite\
fzzfzz - 2006-5-7 9:56:00
按照9楼花落斑竹的意见,作好后,事后2天没有发现有9991霸占IE,以为问题解决.
不料,第3天,又问题出现.以前被删的irjit.dll,spted.dll以及内容完整的Updata 文件夹又出现.注册表中和它们相关的(已经被删除的)项也都自动恢复.看来措施还没有完全到位.
后,根据12楼朋友意见,修复QuickLink.dll项,删除coolwebsite文件夹,删除注册表中和这两者关联的项.此后3天9991的劫持没有复发.
到目前,本人以为这个问题已解决(如不幸再复发,定会来这里告诉各位).所以,发此帖把情况告诉各位,并对为偶这问题提供有效意见的 花落花又开 斑竹 和2116bromgamed2m致谢,也对回过帖和关注本帖的各位朋友表示感谢
fzzfzz - 2006-5-7 10:03:00
过了好几天,想找回本帖,化了很多时间,好辛苦!
请问,有没有比逐帖找方便的办法可以很快找到自己发的或者回复过的帖子?
谢谢了!
我无邪 - 2006-5-7 11:18:00
如果还没有解决问题
请下载使用 System Repair Engineer,使用“智能扫描”,按下“扫描”按钮进行扫描,扫描完成后按下“保存报告”按钮保存报告日志文件(SREng.LOG),把保存的报告日志文件内容复制-粘贴上来
http://forum.ikaka.com/topic.asp?board=67&artid=5188931
www.27814939.ys168.com
2116bromgamed2m - 2006-5-7 17:03:00
| 引用: |
【fzzfzz的贴子】过了好几天,想找回本帖,化了很多时间,好辛苦!
请问,有没有比逐帖找方便的办法可以很快找到自己发的或者回复过的帖子?
谢谢了!
........................... |
有
进入论坛首页--我的贴子--点击数子
就是你发表的所有贴
另:希望所有的朋友都能向你一样
不管问题解没解决都回贴说下
fzzfzz - 2006-5-7 22:14:00
能方便地找到自己的帖子了.
谢谢2116bromgamed2m
缠绕指间的温柔 - 2006-5-7 23:17:00
黄山IE修复专家试试
1
© 2000 - 2026 Rising Corp. Ltd.