IE主页被www.6700.cn/?tn=102753强加，该如何解除？ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 IE主页被www.6700.cn/?tn=102753强加，该如何解除？

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3

1 / 3 页

跳转页

[已解决] IE主页被www.6700.cn/?tn=102753强加，该如何解除？

zxdzhl 初生襁褓狮帖子:28 注册: 2008-11-22 来自:	发表于： 2008-11-24 17:09 \| 只看楼主短消息资料字号：小中大 1楼 IE主页被www.6700.cn/?tn=102753强加，该如何解除？ “aaccbbdd”你好！我已按照你在该帖“http://bbs.ikaka.com/showtopic-8555413-2.aspx”12楼的要求导出2份日志，现上传过来，请查阅，谢谢！附件: SREngLOG.log (2008-11-24 17:09:12, 73.49 K) 该附件被下载次数 336 附件: 清理专家诊断报告.txt (2008-11-24 17:09:12, 3.12 K) 该附件被下载次数 296 用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; MAXTHON 2.0) zxdzhl 最后编辑于 2008-11-25 23:16:21
zxdzhl 初生襁褓狮帖子:28 注册: 2008-11-22 来自:	分享到：

左眼球锋芒艾服狮帖子:1313 注册: 2008-03-03 来自:左眼眶子里	发表于： 2008-11-24 17:35 \| 短消息资料字号：小中大 2楼回复: IE主页被www.6700.cn/?tn=102753强加，该如何解除？下载下列工具： windows清理助手超级巡警暴力文件删除器 ——————————————————————————————————————— 开始操作之前，先把网络断开； ——————————————————————————————————————— 使用“超级巡警暴力文件删除器”删除以下文件： ——————————————————————————————————————— c:\windows\system32\5kuhkp.dll c:\windows\system32\rsafun.dll c:\windows\system32\npopenstore.dll c:\windows\system32\drivers\arkdv.sys system32\drivers\fqnah.sys ——————————————————————————————————————— 打开SREng，选择【启动项目】-【服务】-【驱动程序】，将以下项删除： [ArKdv / ArKdv] <\??\C:\Windows\system32\drivers\ArKdv.SYS> [fqnah / fqnah] <\SystemRoot\system32\drivers\fqnah.sys> ——————————————————————————————————————— 使用“Windows清理助手”清理一下；本帖被评分 2 次本帖被评分 2 次精品软件、实用工具大杂烩（20091221更新到61款） Windows清理助手
左眼球锋芒艾服狮帖子:1313 注册: 2008-03-03 来自:左眼眶子里

zxdzhl 初生襁褓狮帖子:28 注册: 2008-11-22 来自:	发表于： 2008-11-24 18:10 \| 只看楼主短消息资料字号：小中大 3楼回复: IE主页被www.6700.cn/?tn=102753强加，该如何解除？引用: 原帖由左眼球于 2008-11-24 17:35:00 发表下载下列工具： windows清理助手 [url=http://www.brsbox.com/filebox/down/fc/874c56baba52929659c73f91774f3482]超级巡警暴力文件删除使用“超级巡警暴力文件删除器”无法删除以下文件： c:\windows\system32\rsafun.dll c:\windows\system32\npopenstore.dll system32\drivers\fqnah.sys 以下文件无法添加至删除名单，提示“有程序应用，无法添加”。 c:\windows\system32\5kuhkp.dll 以下文件无法找到： c:\windows\system32\drivers\arkdv.sys 打开SREng，选择【启动项目】-【服务】-【驱动程序】，只能将以下项删除： [fqnah / fqnah] <\SystemRoot\system32\drivers\fqnah.sys> 以下这个却无法删除： [ArKdv / ArKdv] <\??\C:\Windows\system32\drivers\ArKdv.SYS>
zxdzhl 初生襁褓狮帖子:28 注册: 2008-11-22 来自:

晕４叱咤花甲狮帖子:5398 注册: 2008-08-10 来自:	发表于： 2008-11-24 19:00 \| 短消息资料字号：小中大 4楼回复: IE主页被www.6700.cn/?tn=102753强加，该如何解除？楼主是Vista的那么只能用360文件粉碎器删除了 360文件粉碎器：http://bbs.ikaka.com/attachment.aspx?attachmentid=437432 C:\Windows\system32\regcsp.exe此文件可疑建议打包传去这里鉴定http://bbs.ikaka.com/showforum-20002.aspx 以下操作必须严格进行！打开360文件粉碎器→导入文件列表→粘贴文件列表：需要删除的文件如下 ————————————————我是分割线———————————————————————— C:\Windows\system32\drivers\fqnah.sys C:\Windows\system32\5KUhkp.dll ————————————————我是分割线———————————————————————— 然后勾选【全选】和【阻止被删除文件再次生成】接着按下【粉碎选中文件】无论删除结果是否都应该马上重启启动项目－－服务－－驱动程序之如下项删除： (选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务） [fqnah / fqnah] 进入注册表(开始→运行→regedit）到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 删除以下键值： <gemstrmw><C:\Windows\system32\gemstrmw.exe /r> [Gemplus] <RegNetPass><C:\Windows\system32\regcsp.exe> [] <UnlockerAssistant><D:\应用\Unlocker\UnlockerAssistant.exe> [File is missing] 以下的是可疑的计划任务请楼主自己鉴定引用: 计划任务 [已启用] \\ASUS Live Update C:\Program Files\ASUS\ASUS Live Update\ALU.exe [已启用] \\RunAsStdUser Task16502 D:\安全防护\Rising\Rfw\RFWSRV.EXE [已启用] \\{B506BC84-152B-4E56-BF30-CA0A933D8234} C:\Windows\system32\pcalua.exe -a C:\Users\曾小东\Desktop\极点五笔6.4.exe -d C:\Users\曾小东\Desktop [已启用] \\{D0B74598-D236-4774-9276-09693391DCA4} C:\Windows\system32\pcalua.exe -a C:\Users\曾小东\Desktop\20070817_dsss.exe -d C:\Users\曾小东\Desktop [已启用] \\{D5F4EA6A-6B39-4E1A-ACC5-EDF20D0467AA} C:\Windows\system32\pcalua.exe -a "C:\Program Files\ShiQiang\Uninst.exe" [已启用] \\{F50E095D-4932-480F-AF4F-F57473E70102} C:\Windows\system32\pcalua.exe -a C:\Users\曾小东\Desktop\SkypeClient.exe -d C:\Users\曾小东\Desktop [已禁用] \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Automated) N/A [已启用] \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Manual) N/A [已启用] \Microsoft\Windows\Bluetooth\UninstallDeviceTask BthUdTask.exe $(Arg0) [已启用] \Microsoft\Windows\CertificateServicesClient\SystemTask N/A [已启用] \Microsoft\Windows\CertificateServicesClient\UserTask N/A [已启用] \Microsoft\Windows\CertificateServicesClient\UserTask-Roam N/A [已启用] \Microsoft\Windows\Customer Experience Improvement Program\Consolidator %SystemRoot%\System32\wsqmcons.exe [已启用] \Microsoft\Windows\Customer Experience Improvement Program\OptinNotification %SystemRoot%\System32\wsqmcons.exe -n 0x1C577FA2B69CAD0 [已启用] \Microsoft\Windows\Defrag\ScheduledDefrag %windir%\system32\defrag.exe -c -i [已启用] \Microsoft\Windows\MobilePC\HotStart N/A [已启用] \Microsoft\Windows\MobilePC\TMM N/A [已启用] \Microsoft\Windows\MUI\LPRemove %windir%\system32\lpremove.exe [已启用] \Microsoft\Windows\Multimedia\SystemSoundsService N/A [已启用] \Microsoft\Windows\NetworkAccessProtection\NAPStatus UI N/A [已启用] \Microsoft\Windows\Shell\CrawlStartPages N/A [已启用] \Microsoft\Windows\SystemRestore\SR %windir%\system32\rundll32.exe /d srrstr.dll,ExecuteScheduledSPPCreation [已启用] \Microsoft\Windows\Tcpip\IpAddressConflict1 rundll32 ndfapi.dll,NdfRunDllDuplicateIPOffendingSystem [已启用] \Microsoft\Windows\Tcpip\IpAddressConflict2 rundll32 ndfapi.dll,NdfRunDllDuplicateIPDefendingSystem [已启用] \Microsoft\Windows\UPnP\UPnPHostConfig sc.exe config upnphost start= auto [已启用] \Microsoft\Windows\Windows Error Reporting\QueueReporting %windir%\system32\wermgr.exe -queuereporting [已启用] \Microsoft\Windows\Wired\GatherWiredInfo %windir%\system32\gatherWiredInfo.vbs [已启用] \Microsoft\Windows\Wireless\GatherWirelessInfo %windir%\system32\gatherWirelessInfo.vbs
晕４叱咤花甲狮帖子:5398 注册: 2008-08-10 来自:

zxdzhl 初生襁褓狮帖子:28 注册: 2008-11-22 来自:	发表于： 2008-11-24 20:34 \| 只看楼主短消息资料字号：小中大 5楼回复: IE主页被www.6700.cn/?tn=102753强加，该如何解除？引用: 原帖由晕４于 2008-11-24 19:00:00 发表楼主是Vista的那么只能用360文件粉碎器删除了 360文件粉碎器：[url=http://bbs.ikaka.com/attachment.aspx?attachm 是的，我用的是VISTA系统 1、用360文件粉碎器时，按下【粉碎选中文件】后，即时自动进入蓝屏DOS状态重新启动，之后发现该两个文件仍然没有删除 2、C:\Windows\system32\regcsp.exe此文件可疑，但打包上传[/url]的操作我不懂呀。 3、启动项目－－服务－－驱动程序，没有发现〖fqnah / fqnah〗。 4、进入注册表(开始→运行→regedit）到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion，只找到以下键值删除： <RegNetPass><C:\Windows\system32\regcsp.exe> [] <UnlockerAssistant><D:\应用\Unlocker\UnlockerAssistant.exe> [File is missing 以下键值发现没有： <gemstrmw><C:\Windows\system32\gemstrmw.exe /r> [Gemplus zxdzhl 最后编辑于 2008-11-24 21:33:19
zxdzhl 初生襁褓狮帖子:28 注册: 2008-11-22 来自:

晕４叱咤花甲狮帖子:5398 注册: 2008-08-10 来自:	发表于： 2008-11-24 21:18 \| 短消息资料字号：小中大 6楼回复 5F zxdzhl 的帖子晕 360文件粉碎器都是不行么？ V系统都蓝屏了么.. 下载金山清理专家文件粉碎器http://bbs.ikaka.com/attachment.aspx?attachmentid=446805 再试试删除 C:\Windows\system32\drivers\fqnah.sys C:\Windows\system32\5KUhkp.dll 然后再扫一份日志上来
晕４叱咤花甲狮帖子:5398 注册: 2008-08-10 来自:

zxdzhl 初生襁褓狮帖子:28 注册: 2008-11-22 来自:	发表于： 2008-11-24 21:38 \| 只看楼主短消息资料字号：小中大 7楼回复: IE主页被www.6700.cn/?tn=102753强加，该如何解除？引用: 原帖由晕４于 2008-11-24 21:18:00 发表晕 360文件粉碎器都是不行么？ V系统都蓝屏了么.. 下载金山清理专家文件粉碎器http://bbs.ikaka.com/attachment.aspx?attachmentid=446805 再试试删除 C:\Windows\system32\drivers\fqnah.sys C:\Windows\system32\5KUhkp.dll 然后再扫一份你给的【金山清理专家文件粉碎器】提示：不支持vista。
zxdzhl 初生襁褓狮帖子:28 注册: 2008-11-22 来自:

古梦潭飘泊而立狮帖子:657 注册: 2008-08-26 来自:洛杉矶湖人	发表于： 2008-11-25 07:23 \| 短消息资料字号：小中大 8楼回复：IE主页被www.6700.cn/?tn=102753强加，该如何解除？ 1.展开注册表到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，在右半部分窗口中找到串值“Start Page”双击，将Start Page的键值改为“about:blank” 2.展开注册表到 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 在右半部分窗口中找到串值“Start Page” 直接删除掉这个就可以了
古梦潭飘泊而立狮帖子:657 注册: 2008-08-26 来自:洛杉矶湖人

古梦潭飘泊而立狮帖子:657 注册: 2008-08-26 来自:洛杉矶湖人	发表于： 2008-11-25 07:30 \| 短消息资料字号：小中大 9楼回复：IE主页被www.6700.cn/?tn=102753强加，该如何解除？直接手动删除该病毒的方法步骤(经过实际测试绝对有效)：第一步：寻找判断定位病毒释放出来的DLL和SYS的文件名称(DLL和SYS加一起一共两个文件)。第二步：关闭掉System进程打开的DLL和SYS文件的句柄。第三步：删除掉SYS驱动文件。第四步：重新启动计算机，然后删除掉DLL组件文件。第五步：删除掉驱动的服务启动和其它注册表残留。第六步：打开“IE设置选项”，设置您想要设置的默认IE浏览器主页。第七步：使用杀毒软件进行全盘查杀病毒(该病毒为木马下载器下载到您计算机中的病毒，那个木马下载器还下载了N多其它病毒也同时安装到了您的计算机系统中)。第八步：该病毒清理完毕。利用PE盘手动删除该病毒的方法步骤(经过实际测试绝对有效)：第一步：寻找判断定位病毒释放出来的DLL和SYS的文件名称(DLL和SYS加一起一共两个文件)。第二步：使用PE盘启动计算机，删除掉病毒释放出来的DLL和SYS文件(DLL和SYS加一起一共两个文件，删除前请事先备份)。第三步：重新启动计算机进入正常系统，删除掉驱动的服务启动和其它注册表残留。第四步：打开“IE设置选项”，设置您想要设置的默认IE浏览器主页。第五步：使用杀毒软件进行全盘查杀病毒(该病毒为木马下载器下载到您计算机中的病毒，那个木马下载器还下载了N多其它病毒也同时安装到了您的计算机系统中)。第六步：该病毒清理完毕。
古梦潭飘泊而立狮帖子:657 注册: 2008-08-26 来自:洛杉矶湖人

zxdzhl 初生襁褓狮帖子:28 注册: 2008-11-22 来自:	发表于： 2008-11-25 13:40 \| 只看楼主短消息资料字号：小中大 10楼回复: IE主页被www.6700.cn/?tn=102753强加，该如何解除？引用: 原帖由古梦潭于 2008-11-25 7:23:00 发表 1.展开注册表到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，在右半部分窗口中找到串值“Start Page”双击，将Start Page的键值改为“about:blank” 2.展开注册表到 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Ma 已试过，但在重启系统后,又恢复原来的问题了，无法根除。
zxdzhl 初生襁褓狮帖子:28 注册: 2008-11-22 来自:

<<上一主题|下一主题>>

12 3

1 / 3 页

跳转页

页面顶部

Powered by Discuz!NT