瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 疑惑:开机密码和账户名称被改掉~

1   1  /  1  页   跳转

[原创] 疑惑:开机密码和账户名称被改掉~

疑惑:开机密码和账户名称被改掉~

状况:  电脑重启后,发现密码和账户名均不对,
        其它状况,QQ昨天登录后,提示帐号异常,要求更改QQ密码;
                      电脑运行感觉变慢,尤其是打开网页时;
                      前几天,下载过破解QQ加密空间软件,


处理结果:用启动盘修复,重新激活系统管理员帐户;


其它处理方式:用超级巡警清理了垃圾,防火墙禁止了一些访问规则,
最后不放心,传了日志

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; MAXTHON 2.0)

附件附件:

文件名:SREngLOG.log
下载次数:122
文件类型:application/octet-stream
文件大小:
上传时间:2008-10-14 16:55:36
描述:log

分享到:
gototop
 

回复:疑惑:开机密码和账户名称被改掉~

sreng启动项目 注册表,删除

[HKEY_CURRENT_USER\Control Panel\Desktop]
    <SCRNSAVE.EXE><; C:\WINDOWS\system32\夜光时~1.SCR>  []
sreng启动项目,服务,驱动程序,删除
[Apaidi / Apaidi][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Apaidi.sys><N/A>
[DS1410D / DS1410D][Stopped/Auto Start]
  <SYSTEM32\drivers\DS1410D.SYS><N/A>
[NetrobocopLowLevelService / NPF][Stopped/Manual Start]
  <\??\C:\DOCUME~1\user\LOCALS~1\Temp\nsb\npf.sys><N/A>
[npkcrypt / npkcrypt][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkcrypt.sys><N/A>
[npkycryp / npkycryp][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkycryp.sys><N/A>
[Ntdapi / Ntdapi][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\ntdapi.sys><N/A>

xdelbox删除
[f:\Program Files\WinRAR\rarext.dll]  [N/A, ]

用卡卡修复HOSTS文件
gototop
 

回复: 疑惑:开机密码和账户名称被改掉~

注册表
[HKEY_CURRENT_USER\Control Panel\Desktop]
    <SCRNSAVE.EXE><; C:\WINDOWS\system32\夜光时~1.SCR>  []

驱动程序
[npkcrypt / npkcrypt][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkcrypt.sys><N/A>
[npkycryp / npkycryp][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkycryp.sys><N/A>

文件
f:\Program Files\WinRAR\rarext.dll


个人认为以上文件或注册表项目是正常的,建议不要删除。
打酱油的……
gototop
 

回复: 疑惑:开机密码和账户名称被改掉~

另:

1、hosts文件正常,不需重置;

2、建议将C:\WINDOWS\system32\ipacc_v2.dll这个文件用WINRAR压缩,上传压缩包;

3、启动文件夹下面这些东西自己看一下,都是什么东西(开始--程序--启动--右键相应菜单项,选择“属性”):
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\8.bat
C:\Documents and Settings\user\「开始」菜单\启动\SolidWorks Task Scheduler 引擎.lnk
D:\PROGRA~1\SOLIDW~1\SWSCHE~1\SWBOEN~1.EXE
最后编辑超级游戏迷 最后编辑于 2008-10-14 17:21:29
打酱油的……
gototop
 

回复:疑惑:开机密码和账户名称被改掉~

C:\Documents and Settings\All Users\「开始」菜单\程序\启动\8.bat--------公司服务器设置
C:\Documents and Settings\user\「开始」菜单\启动\SolidWorks Task Scheduler 引擎.lnk ---设计软件启动项
D:\PROGRA~1\SOLIDW~1\SWSCHE~1\SWBOEN~1.EXE ---同上
gototop
 

回复:疑惑:开机密码和账户名称被改掉~

C:\WINDOWS\system32\夜光时~1.SCR---这个是屏保,应该没事吧

附件:ipacc_v2

附件附件:

文件名:ipacc_v2.rar
下载次数:218
文件类型:application/octet-stream
文件大小:
上传时间:2008-10-14 18:45:50
描述:rar

最后编辑techie3000 最后编辑于 2008-10-14 18:45:50
gototop
 

回复: 疑惑:开机密码和账户名称被改掉~

建议:

1、将C:\WINDOWS\SYSTEM32\drivers\DS1410D.SYS这个文件用WINRAR压缩(如果存在的话),上传压缩包;

2、运行sreng扫描工具,启动项目--服务--驱动程序,删除以下项目:
[Apaidi / Apaidi][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Apaidi.sys><N/A>
[DS1410D / DS1410D][Stopped/Auto Start]
  <SYSTEM32\drivers\DS1410D.SYS><N/A>
[NetrobocopLowLevelService / NPF][Stopped/Manual Start]
  <\??\C:\DOCUME~1\user\LOCALS~1\Temp\nsb\npf.sys><N/A>
[Ntdapi / Ntdapi][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\ntdapi.sys><N/A>

3、重启电脑;

4、在拔掉网线的情况下,清理系统临时文件和IE缓存;

5、用WINRAR压缩工具找到如下文件,删除以下文件:
C:\WINDOWS\system32\drivers\Apaidi.sys
C:\WINDOWS\SYSTEM32\drivers\DS1410D.SYS
C:\DOCUME~1\user\LOCALS~1\Temp\nsb\npf.sys(第4步应该已经灭了这个文件)
C:\WINDOWS\system32\drivers\ntdapi.sys

6、稍后研究你上传的dll文件……
打酱油的……
gototop
 

回复: 疑惑:开机密码和账户名称被改掉~

个人认为C:\WINDOWS\system32\ipacc_v2.dll这个文件没有问题。
打酱油的……
gototop
 

回复: 疑惑:开机密码和账户名称被改掉~

十分谢谢楼上,
不过那个文件没有发现,(设置了去隐藏和系统安全文件可见)
见附件图:
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT