瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 百度/google变yahoo了
还是因为穷 - 2008-8-2 11:04:00
上百度和google时网址拦居然是yahoo的地址,而且百度红色也变成灰色了.想用360安全卫士的,装好后马上被删除了.而且上360的网站也会自动跳转到www.yahoo.com.cn.还好rising可以用,但似乎查不出毒了.跪求大家帮忙了!

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
歼灭ぁ天使 - 2008-8-2 11:09:00
有些病毒在常规模式下是不能根除的。
准备:将杀毒软件升至最新版本。
操作流程:
请楼主在安全模式下杀毒,若不行,请看以下方法:
放入瑞星盘后重启系统,然后依据提示在纯DOS模式下杀毒。

若不行  请上传日志

日志上传方法(师傅  A小可 独门教授  其实师傅谁都说的 )

楼主可以使用System Repair Engineer扫描日志作为附件上传
下载页面:http://www.kztechs.com/sreng/download.html
操作方法:
1、下载后解压缩,运行SREngPS.EXE;
2、如果无法打开尝试把SREngPS.EXE改名为123.com,并复制到c:\windows目录下运行;
3、依次点击【智能扫描】-【扫描】,耐心等待,扫描结束后点击【保存报告】;
4、选择保存路径,文件名保持默认,直接点击【保存】;
5、将日志文件SREngLOG.log作为附件上传,同时务必详细描述问题现象,如果有查杀不净的病毒务必提供病毒名和路径。
注意:扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。



至于楼主主页有无被篡改或更严重的?(严重程度参考http://bbs.ikaka.com/showtopic-8529369.aspx
若有请访问:http://bbs.ikaka.com/showtopic-8530937.aspx(没有出现主页被篡改或更严重的请勿参照联接的解决方法)
还是因为穷 - 2008-8-2 11:10:00
谢谢,我试试!
还是因为穷 - 2008-8-2 11:20:00
"如果无法打开尝试把SREngPS.EXE改名为123.com,并复制到c:\windows目录下运行"
我把名字改好后放windows下一运行就立马被删除了.:default2:
主页也没有被篡改
networkedition - 2008-8-2 11:25:00
LZ参考这个贴子http://bbs.ikaka.com/showtopic-8517758.aspx
歼灭ぁ天使 - 2008-8-2 11:31:00


引用:
原帖由 还是因为穷 于 2008-8-2 11:20:00 发表
"如果无法打开尝试把SREngPS.EXE改名为123.com,并复制到c:\windows目录下运行"
我把名字改好后放windows下一运行就立马被删除了.:default2:
主页也没有被篡改



那楼主有没有在纯DOS模式下杀毒?
还是因为穷 - 2008-8-2 11:32:00
这是刚扫描的

附件: SREngLOG.log
还是因为穷 - 2008-8-2 11:34:00
怎么在DOS下杀毒?:default1:
歼灭ぁ天使 - 2008-8-2 11:39:00
放入瑞星盘后重启系统,然后依据提示在纯DOS模式下杀毒。
叶陵君 - 2008-8-2 11:39:00
:default6: 打开一个IE浏览器。
点工具internet选项,然后点击更改默认值设置
把不需要的卸载就ok  。



附件: 3.jpg
aaccbbdd - 2008-8-2 11:39:00
删除文件并抑制再生
C:\WINDOWS\system32\ioqwu.dll
C:\windosSystem32\Drivers\bootdrv.sys
C:\windos\system32\Drivers\FTCProtect.sys
删除驱动
[bootdrv / bootdrv][Running/Boot Start]
  <\SystemRoot\System32\Drivers\bootdrv.sys><>
[FTCProtect / FTCProtect][Stopped/Manual Start]
  <System32\Drivers\FTCProtect.sys><N/A>

System32\Drivers\FTCProtect.sys
最好测下,是病毒再删除http://www.virscan.org/
http://www.virustotal.com/zh-cn/
还是因为穷 - 2008-8-2 11:47:00
这个不行
还是因为穷 - 2008-8-2 11:49:00
恩,我看看
aaccbbdd - 2008-8-2 11:50:00

我的方案才是正道

C:\WINDOWS\system32\ioqwu.dll你不处理
计算机就会一直KO的!!!!

改系统设置顶个屁用

有病毒在
别的都扯淡:default2:
叶陵君 - 2008-8-2 11:53:00
请教下古稀狮 ,他日志中这句
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Component Publisher]
    <Userinit><userinit.exe,>  这里感觉有点奇怪,和我们正常的不同。

还有APT HOOK 那边这两行
入口点错误:CreateProcessA (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0x00F81FFD)
入口点错误:CreateProcessW (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0x00F820E5)
不像是某杀软弄进去的吧。

ioqwu.dll  这个应该是罪魁祸首了
叶陵君 - 2008-8-2 11:55:00
:default6:  我起先没看他日志,先解决下他的目前烦恼、
aaccbbdd - 2008-8-2 11:57:00
<Userinit><userinit.exe,>  [(Verified)Microsoft Windows Publisher]
正常吧?最起码表面上正常

入口点错误?瑞星搞的
叶陵君 - 2008-8-2 11:59:00
:default6:  原来是瑞星啊 我只认识瑞星常见的那几个关键字
还是因为穷 - 2008-8-2 12:02:00
ioqwu.dll这个文件我盘里没有啊?顺便问一下
如何删除驱动
[bootdrv / bootdrv][Running/Boot Start]
  <\SystemRoot\System32\Drivers\bootdrv.sys><>
[FTCProtect / FTCProtect][Stopped/Manual Start]
  <System32\Drivers\FTCProtect.sys><N/A>
我对这不是很懂
还是因为穷 - 2008-8-2 12:38:00
按照这个方法删除以后好象问题还是存在的
叶陵君 - 2008-8-2 12:46:00
被隐藏了 ,下载这个附件取消隐藏。

附件: 取消隐藏属性.rar
还是因为穷 - 2008-8-2 12:48:00
谢谢各位了,已经解决了!!!
冰泪月影 - 2008-8-6 23:24:00
请问楼主是怎么解决的啊,呜呜,我也中了这个病毒,不过我是google/yahoo变百度了。。。瑞星也查不出病毒,请问怎么半啊
1
查看完整版本: 百度/google变yahoo了
© 2000 - 2026 Rising Corp. Ltd.