1   1  /  1  页   跳转

[求助] Hosts文件被恶意篡改

Hosts文件被恶意篡改

求助,具体症状为Hosts文件被修改,原本127.0.0.1 localhost 的内容下面多了一些内容,
127.0.0.1  www.360safe.com
127.0.0.1  网址(都是一些反病毒网站)
用记事本修改hosts无法保存,后来我用unlocker工具解锁后修改了,但是重启完还是一样这些内容
360安全卫士、卡卡上网助手都无法打开,甚至SrengPS打开后也出现了问题,系统自动将SrengPS的主程序删除,后来我用Process 打开看进程,结果有大概10个svchost,终止了最后几个以后,360可以打开了,如图
日志我也贴上来了,版主看看有什么问题没

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 1.1.4322)

附件附件:

文件名:SREngLOG.log
下载次数:176
文件类型:application/octet-stream
文件大小:
上传时间:2008-9-23 21:40:03
描述:log

最后编辑天涯之冰 最后编辑于 2008-09-23 21:44:08
分享到:
gototop
 

回复: Hosts文件被恶意篡改

建议断网操作

1.用XDelBox删除以下文件:(XDelBox1.7版下载)
使用说明:先勾选抑制再生,删除时复制下面的路径,在待删除文件列表里点击右键选择从剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)

C:\WINDOWS\system32\drivers\MSJDrvr.sys
C:\WINDOWS\system32\vvebc1nt.sys
C:\WINDOWS\system32\Drivers\00019bdd.sys
C:\WINDOWS\system32\vvebc1nt.ocx
C:\WINDOWS\system32\vvebc1nt.zip
C:\WINDOWS\system32\vvebc1nt.dll

2.删除重启后使用SREng修复下面各项:

启动项目--服务-- Win32服务应用程序  删除:
(选中有问题的驱动/服务后,点"删除服务",点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除)

[MSJDrvr / MSJDrvr][Running/System Start]
  <system32\drivers\MSJDrvr.sys><N/A>
[vvebc1ntDrv / vvebc1ntDrv][Running/Manual Start]
  <\??\C:\WINDOWS\system32\vvebc1nt.sys><N/A>
[00019bdd / 00019bdd][Running/Manual Start]
  <\??\C:\WINDOWS\system32\Drivers\00019bdd.sys><N/A>
[728828 / 728828][Stopped/]
  <2 - 系统找不到指定的文件。
><N/A>
[1159406 / 1159406][Stopped/]
  <2 - 系统找不到指定的文件。
><N/A>

怎么有两个日志  只看了第一个哦
本帖被评分 1 次
最后编辑fillix 最后编辑于 2008-09-23 21:58:47
gototop
 

回复: Hosts文件被恶意篡改

补充,第二个日志的

删除
C:\Program Files\eMu1e\eMuleObject.exe
C:\WINDOWS\system32\Drivers\00019f38.sys

sreng删除驱动

[00019f38 / 00019f38][Running/Manual Start]
  <\??\C:\WINDOWS\system32\Drivers\00019f38.sys><N/A>
gototop
 

回复:Hosts文件被恶意篡改

谢了,回家试试看
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT