zjycp - 2009-3-17 10:32:00
本人电脑装XP系统(在D盘),并且安装了瑞星防火墙及杀毒软件、360安全卫士。最近发现注册表IFEO镜像项的所有EXE文件都被劫持指向
“d:\windows\system32\net.exe",或d:\windows\system32\ ntsd.exe"用sreng2注册表扫描修复工具还发现有其它严重异常,但修复不了,尽管如此,电脑在使用过程中也没发现有什么明显异常。这是什么原因,是不是被远程控制了?请高手分析指教。
附:注册表信息
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; QQDownload 1.7; GTB5; WPS)
帅哥阿福 - 2009-3-17 10:37:00
D:\74b38b80746218a4.dat
D:\WINDOWS\system32\drivers\pcihdd2.sys
D:\DOCUME~1\zjy\LOCALS~1\Temp\_tmp.bat
D:\WINDOWS\System32\DRIVERS\xn7n.sys
提交到这里,或者提交给瑞星,地址如下:
http://mailcenter.rising.com.cn/index.shtml删除键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
zjycp - 2009-3-17 10:40:00
谢谢指教!
zjycp - 2009-3-17 14:27:00
找不到你说的文件.
D:\74b38b80746218a4.dat
D:\WINDOWS\system32\drivers\pcihdd2.sys
D:\DOCUME~1\zjy\LOCALS~1\Temp\_tmp.bat
D:\WINDOWS\System32\DRIVERS\xn7n.sys
帅哥阿福 - 2009-3-17 14:29:00
http://bbs.ikaka.com/showtopic-8442813.aspx这贴里,天月版主有工具可搜索。
实在找不到,就重扫一遍日志,上述文件都是日志中看出来的。
zjycp - 2009-3-17 14:50:00
刚扫描的日志已登上主题.
backway - 2009-3-17 16:43:00
下载
wsyscheck0223中文版.rar 在服务管理里找到下列服务 右键选择
删除选中的服务与文件:
xn7n / xn7n
HBKernel32]
[xn7n
[ebz / ebz]
[DeepFree Update
[74b38b80746218a4
下载
映像劫持清除管理以及修复工具.rar 检查清理劫持项
安装了360 就用它清理下插件。
zjycp - 2009-3-17 17:09:00
谢谢!
© 2000 - 2025 Rising Corp. Ltd.