如何解决QQ5.COM的恶意篡改行为，(未解决失去希望很失望）

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛如何解决QQ5.COM的恶意篡改行为，(未解决失去希望很失望）

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

[已关闭] 如何解决QQ5.COM的恶意篡改行为，(未解决失去希望很失望）

初生襁褓狮

帖子:17
注册: 2007-08-11
来自:

发表于： 2009-04-26 00:31 | 只看楼主 短消息资料

字号：小中大 1楼

如何解决QQ5.COM的恶意篡改行为，(未解决失去希望很失望）

最近我新下了个游戏
游戏安装完后
经常受到QQ5篡改主页的侵扰
最后实在没办法我就删除了该游戏
然后用瑞星和360杀毒
安全模式下也个杀了一次

后来我为了以防万一，怕瑞星也不篡改而杀不出病毒就将瑞星也重新修复，升级
再杀了一次
安全模式也再杀了一次
可是现在
仍然还是受到QQ5.COM主页篡改的侵扰
虽然现在一直有防火墙顶
没被篡改过
但是
总是这样提示真的很烦人
而且提示本身也说明了恶意行为还存在
木马还存在

现在恳求各位谁能帮帮忘我

以下是防篡改历史记录

操作时间进程名称数值名称旧值新值
修改 2009-04-24 02:07:51 C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\
修改 2009-04-24 02:07:48 C:\WINDOWS\REGEDIT.EXE HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\"C:\Program Files\Internet Explorer\iexplore.exe" "C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.qq5.com/?s
修改 2009-04-24 02:07:48 C:\WINDOWS\REGEDIT.EXE HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\START PAGEhttp://www.hao123.com/ http://www.qq5.com/?s
修改 2009-04-24 02:07:27 C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\
修改 2009-04-23 22:05:40 C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\
修改 2009-04-23 22:05:38 C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\
修改 2009-04-23 22:05:38 C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\
修改 2009-04-23 22:05:37 F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\"C:\Program Files\Internet Explorer\iexplore.exe" "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
修改 2009-04-23 21:50:37 C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\
修改 2009-04-23 21:50:36 F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\"C:\Program Files\Internet Explorer\iexplore.exe" "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
修改 2009-04-23 01:59:14 C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\
修改 2009-04-23 01:59:13 F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\"C:\Program Files\Internet Explorer\iexplore.exe" "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
修改 2009-04-23 01:22:55 C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\
修改 2009-04-23 01:22:47 F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\"C:\Program Files\Internet Explorer\iexplore.exe" "C:\Program Files\Internet Explorer\IEXPLORE.EXE"

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; .NET CLR 2.0.50727)

操作

时间

进程名称

数值名称

旧值

新值

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

C:\WINDOWS\REGEDIT.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.qq5.com/?s

修改

########

C:\WINDOWS\REGEDIT.EXE

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\START PAGE

http://www.hao123.com/

http://www.qq5.com/?s

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

C:\WINDOWS\REGEDIT.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.qq5.com/?s

修改

########

C:\WINDOWS\REGEDIT.EXE

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\START PAGE

http://www.hao123.com/

http://www.qq5.com/?s

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

C:\WINDOWS\REGEDIT.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.qq5.com/?s

修改

########

C:\WINDOWS\REGEDIT.EXE

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\START PAGE

http://www.hao123.com/

http://www.qq5.com/?s

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

修改

########

C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

修改

########

F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

zlyr 最后编辑于 2009-05-04 00:03:03

分享到：

smallyou93 卡卡反病毒小组帖子:1545 注册: 2008-12-14 来自:	发表于： 2009-04-26 01:00 \| 短消息资料字号：小中大 2楼回复: 如何解决QQ5.COM的恶意篡改行为，小弟恳求哪为能帮我解决问题。清理临时文件：http://bbs.ikaka.com/attachment.aspx?attachmentid=447126 然后用附件搜索，内附说明（1.png）附件: 文件名:Registry Crawler.zip 下载次数:716 文件类型:application/zip 文件大小: 上传时间:2009-4-26 0:59:56 描述:zip
smallyou93 卡卡反病毒小组帖子:1545 注册: 2008-12-14 来自:

byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:	发表于： 2009-04-26 10:23 \| 短消息资料字号：小中大 3楼回复：如何解决QQ5.COM的恶意篡改行为，小弟恳求哪为能帮我解决问题。是不是安装了MAX PAYNE这个游戏后造成的？请提供游戏的下载地址。
byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:

byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:	发表于： 2009-04-26 10:36 \| 短消息资料字号：小中大 4楼回复：如何解决QQ5.COM的恶意篡改行为，小弟恳求哪为能帮我解决问题。如是，请提供F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ这个文件
byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:

zlyr 初生襁褓狮帖子:17 注册: 2007-08-11 来自:	发表于： 2009-04-27 00:12 \| 只看楼主短消息资料字号：小中大 5楼回复：如何解决QQ5.COM的恶意篡改行为，小弟恳求哪为能帮我解决问题。就是安装了MAX PAYNE 这个游戏后来我看出问题了就把游戏卸载了还有就是2楼的方法已经试过了可是没效果还有就是如果我没记错的话应该是在这个网站下载的 http://www.wanyx.com/game/209.html
zlyr 初生襁褓狮帖子:17 注册: 2007-08-11 来自:

byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:	发表于： 2009-04-27 07:20 \| 短消息资料字号：小中大 6楼回复 5F zlyr 的帖子虽然你卸载了，但这个文件夹还在，里面的程序照样在发挥作用啊，粉碎整个文件夹吧。
byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:

zlyr 初生襁褓狮帖子:17 注册: 2007-08-11 来自:	发表于： 2009-04-28 00:10 \| 只看楼主短消息资料字号：小中大 7楼回复: 如何解决QQ5.COM的恶意篡改行为，小弟恳求哪为能帮我解决问题。（5楼有新回复）引用: 原帖由 byxxdrls 于 2009-4-27 7:20:00 发表虽然你卸载了，但这个文件夹还在，里面的程序照样在发挥作用啊，粉碎整个文件夹吧。拜托，我在卸载后连文件夹也删除掉了而且我设置的显示所有系统和隐藏文件根本就没看到这文件啊难道就解决不了这个问题了么
zlyr 初生襁褓狮帖子:17 注册: 2007-08-11 来自:

zlyr 初生襁褓狮帖子:17 注册: 2007-08-11 来自:	发表于： 2009-04-28 01:23 \| 只看楼主短消息资料字号：小中大 8楼回复: 如何解决QQ5.COM的恶意篡改行为，小弟恳求哪为能帮我解决问题。（7楼有新回复）不知道有没有用我先把SREngLOG.log文件附注上吧希望大哥们帮我解决问题哦附件: 文件名:SREngLOG.log 下载次数:311 文件类型:application/octet-stream 文件大小: 上传时间:2009-4-28 1:22:30 描述:log
zlyr 初生襁褓狮帖子:17 注册: 2007-08-11 来自:

帅哥阿福雄霸杖朝狮帖子:21071 注册: 2006-03-29 来自:米兰	发表于： 2009-04-28 09:17 \| 短消息资料字号：小中大 9楼回复 8F zlyr 的帖子日志看不出可疑进程。 ╭∩╮（︶︿︶）╭∩╮
帅哥阿福雄霸杖朝狮帖子:21071 注册: 2006-03-29 来自:米兰

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2009-04-28 09:20 \| 短消息资料字号：小中大 10楼回复 7F zlyr 的帖子我从这个网站下载了一个麻将游戏试了一下hxxp://www.wanyx.com，在运行游戏时会修改主页的注册表键值，修改的程序分别是：在temp目录下的setacl.exe，还有一个是游戏安装目录下的：scldrv.int，使用ie的设置为空白页后，再次打开就正常了。但请lz注意这个游戏会创建一个假的ie快捷方式在快速启动栏，只要点击快速启动栏里的ie快捷方式打开ie就会显示为hxxp://www.qq5.com/?wan这个网站。建议删除系统桌面、快速启动栏、开始程序菜单里的ie快捷方式，重新创建ie快捷方式，将启动程序指向：C:\Program Files\Internet Explorer\IEXPLORE.EXE。另请查看注册表键值：[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command] @="\"C: \\Program Files \\Internet Explorer \\iexplore.exe\" 每次运行游戏时都会更改ie首页。 networkedition 最后编辑于 2009-04-28 09:30:26
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

<<上一主题|下一主题>>

1 / 2 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 如何解决QQ5.COM的恶意篡改行为，(未解决 失去希望 很失望）

[已关闭] 如何解决QQ5.COM的恶意篡改行为，(未解决 失去希望 很失望）

如何解决QQ5.COM的恶意篡改行为，(未解决 失去希望 很失望）

回复: 如何解决QQ5.COM的恶意篡改行为，小弟恳求哪为能帮我解决问题。

附件:

文件名:Registry Crawler.zip 下载次数:716 文件类型:application/zip 文件大小: ShowFormatBytesStr(222912); 上传时间:2009-4-26 0:59:56 描述:zip

回复：如何解决QQ5.COM的恶意篡改行为，小弟恳求哪为能帮我解决问题。

回复：如何解决QQ5.COM的恶意篡改行为，小弟恳求哪为能帮我解决问题。

回复：如何解决QQ5.COM的恶意篡改行为，小弟恳求哪为能帮我解决问题。

回复 5F zlyr 的帖子

回复: 如何解决QQ5.COM的恶意篡改行为，小弟恳求哪为能帮我解决问题。（5楼有新回复）

回复: 如何解决QQ5.COM的恶意篡改行为，小弟恳求哪为能帮我解决问题。（7楼有新回复）

附件:

文件名:SREngLOG.log 下载次数:311 文件类型:application/octet-stream 文件大小: ShowFormatBytesStr(83003); 上传时间:2009-4-28 1:22:30 描述:log

回复 8F zlyr 的帖子

回复 7F zlyr 的帖子

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛如何解决QQ5.COM的恶意篡改行为，(未解决失去希望很失望）

[已关闭] 如何解决QQ5.COM的恶意篡改行为，(未解决失去希望很失望）

如何解决QQ5.COM的恶意篡改行为，(未解决失去希望很失望）

文件名:Registry Crawler.zip

下载次数:716

文件类型:application/zip

文件大小:

上传时间:2009-4-26 0:59:56

描述:zip

文件名:SREngLOG.log

下载次数:311

文件类型:application/octet-stream

文件大小:

上传时间:2009-4-28 1:22:30

描述:log