主页被改：http://www.kzxf.net/?1027233 bbs.ikaka.com

banybaby - 2008-11-30 10:24:00

最近我的IE主页被改成了 http://www.kzxf.net/?1027233
手动改回来电脑重启后又被改成 http://www.kzxf.net/?1027233
又查不出来病毒，各位有什么根治的方法。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; InfoPath.2)

天月来了 - 2008-11-30 10:27:00

扫SRENG日志发这论坛来

下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包，必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，将日志文件发这论坛来。

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。

banybaby - 2008-11-30 10:34:00

扫描报告

附件: SREngLOG.log

天月来了 - 2008-11-30 10:43:00

Vista系统啊，这玩意很难处理

你只有试试了

下载EasyDelete工具:http://bbs.ikaka.com/attachment.aspx?attachmentid=459970

依照操作说明图删除下面文件：

删除：
C:\Windows\system32\drivers\ncvgf.sys

不论结果怎样，执行完以后，立即按下键盘上的“power”键关机并重启电脑，继续下面操作
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，
==================================
驱动程序
[rfso / rfso][Running/Boot Start]
<\SystemRoot\system32\drivers\ncvgf.sys><N/A>

再去改改主页看看能否恢复，不行就再尝试使用超级兔子恢复默认的主页

banybaby - 2008-11-30 11:07:00

按你说的用工具删掉 ncvgf.sys
系统启不了，后来只有用系统盘修复系统。
修复后居然正常了！呵呵！

天月来了 - 2008-11-30 11:32:00

用工具删掉 ncvgf.sys后
系统启不了？？？？

怎么个情况呢？？？

能描述下吗？

愿意再扫描个最新SRENG日志给我看看吗？

banybaby - 2008-11-30 13:58:00

用工具删掉 ncvgf.sys后
重启后黑屏，提示无法加载 ncvgf.sys
要用安装光盘修复系统。
附重新扫描记录。

附件: SREngLOG.log

天月来了 - 2008-11-30 14:09:00

谢谢你的回复

太感谢了

不言放弃 - 2008-11-30 15:10:00

[blbdrive / blbdrive][Stopped/Disabled]
<\SystemRoot\system32\drivers\blbdrive.sys><N/A>

修复后删除

=========
进入注册表
搜索ncvgf.sys
找到后全部删除

为什么会出现开机提示呢
这一般是病毒查杀时没有清理注册表的后遗症

aaccbbdd - 2008-11-30 15:12:00

是不是验证下
如blbdrive.sys的md5是
d4df28447741fd3d953526e33a617397
就算了

backway - 2008-11-30 15:14:00

整个互联网上都没有ncvgf.sys:default3:

如果是病毒查杀时没有清理注册表的后遗症，一般是进入桌面时出来的对话框提示无法加载之类的哦，“重启后黑屏，提示无法加载 ncvgf.sys”。。。:default1:

天月来了 - 2008-11-30 15:20:00

可能是v系统和以前的系统不一样吧

以后v系统内在驱动上的删除，需要先删除注册表项目，再去删除文件了。

xseven - 2008-11-30 15:59:00

我的主页也被改了，但是我的机子里没有上面讲的那两个文件，我不知道怎么办？

aaccbbdd - 2008-11-30 16:01:00

单独发帖

请严格按照以下步骤操作

1.扫日志前建议清理助手清理系统
清理助手下载
解压后运行，升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。(注：如发现系统文件被替换，请将情况报上来，勿自己随意操作。如自己私自替换的，导致不能进系统，责任自负)
如清理无效

2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序
3.Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr
4.金山清理专家官方下载 | 免安装版直接运行版金山清理专家下载
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告
5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.如已发帖的请跟贴，勿另开新帖。

建议2份日志同时上传，起到互补的作用（原因：金山和SRENG都能扫出另一个不能扫出的内容）！！

西门大倌人 - 2009-1-16 6:32:00

我的问题和楼主的一样。IE被改了后死也改不回来了。重启后又这样了。尝试了N多工具。皆不行。
请版主解决！

附件: SREngLOG.log

天月来了 - 2009-1-16 8:14:00

干掉它
==================================
驱动程序
[ancfnh / ancfnh][Running/Boot Start]
<\SystemRoot\system32\drivers\eai.sys><N/A>

你都看了前面的操作了

可别再问怎么干哟？？

瑞星卡卡安全论坛