瑞星卡卡安全论坛

请帮忙~！ 日志在附件里~！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: 扫描日志.txt

sreng  启动项目 －－ 服务－－ 驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[uwf / uwf][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\uwf.sys><N/A>

用过widnows清理助手了么？用它清理下就应该可以改回来了~

该用户帖子内容已被屏蔽

不行啊  还是没清理掉急~！！！！

该用户帖子内容已被屏蔽

急捏 请各位大侠帮助ING~！

删除驱动都不行？

新日志看看


解决问题需要配合

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。

如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描
等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr

4.为了对病毒准确定位和判断，找出替换文件的病毒，必须同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告


5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.已发帖请跟贴，勿另开新帖。

如以上工具不能打开或正常运行，短消息call我

附件: 扫描日志2.txt

清理助手用了 金山也用了全部没效果。。。~！ 期待解决~！

自己顶上去 期待解决~！

将下面的红色字符代码复制到记事本中再保存后缀名为“inf”的文件名，比如保存为“设置.inf”(不包括引号文件名可随意取)再找
到它击右键在选择菜单上选择“安装”即可（正确的保存时的方法是将那些红色代码复制到记事本中：然后先点击→记事本里“保存→
保存类型”→的下拉菜单，然后选择→“所有文件”，→在文件名处输入比如“设置.inf”→在“保存类型”下面那项→“编码（E）
”的下拉菜单里一定要选择“ANSI”项，然后再点击→“保存”就OK了）。
[version]
Signature=$CHICAGO$
[defaultinstall]
addreg=My.add.reg
[My.add.reg]

HKCU,Software\Policies\Microsoft\Internet Explorer\Control Panel,HomePage,0x00010001,0
HKCU,Software\Microsoft\Internet Explorer\Main,"Start Page",0,"about:blank"
HKLM,SOFTWARE\Microsoft\Internet Explorer\Main,"Start Page",0,"about:blank"
HKCR,CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command,,0,""C:\Program Files\Internet
Explorer\iexplore.exe""

不行 没效果~！ 但是 如果 运行奇迹SF的 风之恋登陆器  网页就正常了  打开是空白~！  重新启动电脑后  网页在打开 又是 www.25ed.com

......没办法解决吗 ？

你第二次的日志中看，下面这文件拿来看看
C:\WINDOWS\system32\netdde.exe

还有这一个是什么？
C:\WINDOWS\system32\wzscapi.dll
——————————————————————————————————————————————
在扫日志的SRENG工具》系统修复》文件关联》修复文件关联

————————————————————————————————————
在扫日志的SRENG工具》系统修复》HOSTS文件》选择“重置”再“保存”

————————————————————————————————————
再重启电脑，反复检查，操作的结果，看结果怎样

楼主按大家所说操作后，发个图，看看IE里主页那是不是灰色的
将你的登录器打包上传



开始-运行
输入GPEDIT.MSC回车


添加那几个.ADM模板，AER打头的模板不用添加
完后如图操作


再试试

不行 没解决~！登陆器不让上传。。。说太大  给你们个下载地址~！麻烦各位了~！

http://www.6543mu.cn/dlq.rar

麻烦 各位大大了~！但实在 不想还原系统~！ 好多东西要从装 麻烦~！

各位大大 没看到偶的 帖子嘛。。。自己顶上去先~！

卸载该登录器

这个 登陆器 不需要装 ~！ 下好就直接运行了~！
删除也没用 看来 只有还原系统了。。。~！

看来 是彻底 没希望了~！ 希望各位有能力的大侠们~！ 帮这个垃圾网站 www.25ed.com xxx掉~！

祝贺你。。咱一样不过我是345导航。。劫持的

将桌面的浏览器图标删除，重建浏览器快捷方式试试。。

www.25ed.com

这个地址我用XP的虚拟机上去跑了，一切正常，有可能是其他网站的恶意程序锁定这个地址的，本COM地址本身没有问题，我的虚机IE浏览器正常

解决办法：

①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键；

②展开注册表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，在右半部分窗口中找到串值“Start Page”双击 ，将Start Page的键值改为“about:blank”即可；

③同理，展开注册表到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
在右半部分窗口中找到串值“Start Page”，然后按②中所述方法处理。

④退出注册表编辑器，重新启动计算机，一切OK了！

特殊例子：当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址啦，十分的难缠。其实他们是在你机器里加了一个自运行程序，它会在系统启动时将你的IE起始页设成他们的网站。

解决办法：运行注册表编辑器regedit.exe，然后依次展开
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run

主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\Program Files\registry.exe，最后从IE选项中重新设置起始页。


试试这个看行不行  :default5:

该用户帖子内容已被屏蔽

可能被www.25ed.com把项修改了。

这个病毒很强大的。。。。
破坏注册表。。
把2进位竖直劫持了。。
只修改键值没有用。。。
我建议从装系统。。。目前没有专杀。。
我是这么做的。。。实在没有办法了。。