瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 IE启动强制到http://www.5566dh.cn/?tg=11改不了

12   1  /  2  页   跳转

[求助] IE启动强制到http://www.5566dh.cn/?tg=11改不了

收藏
时光珍惜
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2008-12-17
  • 来自:
发表于: 2008-12-17 15:34 | 只看楼主 短消息 资料
字号: 1楼

IE启动强制到http://www.5566dh.cn/?tg=11改不了

IE启动强制到http://www.5566dh.cn/?tg=11改不了.求高手帮助!!!

用户系统信息:Mozilla/4.0 (compatible;ak; MSIE 6.0; Windows NT 5.1; SV1)
分享到:
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-12-17 15:36 | 短消息 资料
字号: 2楼

回复:IE启动强制到http://www.5566dh.cn/?tg=11改不了

扫SRENG日志发这论坛来

下载最新版本的SRENG工具:http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼:http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包,必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的:智能扫描=》扫描=》保存报告
4 把报告保存后,将日志文件发这论坛来。

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
请不要开新贴发日志,就原贴接贴发日志即可。
gototop
 
时光珍惜
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2008-12-17
  • 来自:
发表于: 2008-12-17 16:04 | 只看楼主 短消息 资料
字号: 3楼

回复: IE启动强制到http://www.5566dh.cn/?tg=11改不了



引用:
原帖由 天月来了 于 2008-12-17 15:36:00 发表
扫SRENG日志发这论坛来

下载最新版本的SRENG工具:http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼:http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包,必须解压缩后再运行。
2 运行SREng***.EXE
3 选

附件附件:

文件名:SREngLOG.log
下载次数:119
文件类型:application/octet-stream
文件大小:
上传时间:2008-12-17 16:04:06
描述:log
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-12-17 16:15 | 短消息 资料
字号: 4楼

回复:IE启动强制到http://www.5566dh.cn/?tg=11改不了

Yahoo!这个东西对你来说真的很重要么???

这里官网下载冰刃,在“文件”中找下面文件选择“复制”出来备份,并“强制删除”原文件:
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

删除:
C:\WINDOWS\system32\drivers\wgjpfn.sys
————————————————————————————————————————
去找相同系统里的ctfmon.exe文件。
先复制到C:\WINDOWS\system32\dllcache文件夹里替换。
再复制到C:\WINDOWS\system32文件夹里替换。

可以这贴里找相关文件下载。
http://bbs.ikaka.com/showtopic-8417665.aspx

可以按照这贴进行相关文件替换,建议使用4楼工具操作替换
http://bbs.ikaka.com/showtopic-8561436.aspx
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除,
==================================
驱动程序
[HBKernel32 Driver / HBKernel32][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\HBKernel32.sys><N/A>

[wgjpfn / wgjpfn][Running/Boot Start]
  <\SystemRoot\system32\drivers\wgjpfn.sys><N/A>

重启电脑,看主页是否能改了
gototop
 
古梦潭
头像
飘泊而立狮
  • 帖子:657
  • 注册: 2008-08-26
  • 来自:洛杉矶湖人
论坛8周年活动礼物
发表于: 2008-12-17 16:15 | 短消息 资料
字号: 5楼

回复: IE启动强制到http://www.5566dh.cn/?tg=11改不了

愿意的话用清理助手清理下系统
地址:http://www.arswp.com/
然后删除这些驱动
<\SystemRoot\system32\drivers\HBKernel32.sys
<\??\C:\Program Files\QQ2005\npkcrypt.sys
\SystemRoot\system32\drivers\wgjpfn.sys

雅虎的东西建议删除
gototop
 
时光珍惜
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2008-12-17
  • 来自:
发表于: 2008-12-17 16:21 | 只看楼主 短消息 资料
字号: 6楼

回复: IE启动强制到http://www.5566dh.cn/?tg=11改不了

干掉了,你老人家上伟压缩的QQ.EXE文件,谢谢呵!!!!

附件附件:

文件名:QQ.rar
下载次数:182
文件类型:application/octet-stream
文件大小:
上传时间:2008-12-17 16:21:01
描述:rar
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-12-17 16:26 | 短消息 资料
字号: 7楼

回复 6F 时光珍惜 的帖子

???????

哪个位置下的?
gototop
 
古梦潭
头像
飘泊而立狮
  • 帖子:657
  • 注册: 2008-08-26
  • 来自:洛杉矶湖人
论坛8周年活动礼物
发表于: 2008-12-17 16:34 | 短消息 资料
字号: 8楼

回复: IE启动强制到http://www.5566dh.cn/?tg=11改不了



引用:
原帖由 时光珍惜 于 2008-12-17 16:21:00 发表
干掉了,你老人家上伟压缩的QQ.EXE文件,谢谢呵!!!!





抱歉了,刚才我的回复我发错了,还没改好,楼主就操作了



貌似QQ没问题

刚才回复错了

我已经把回复给改了
gototop
 
古梦潭
头像
飘泊而立狮
  • 帖子:657
  • 注册: 2008-08-26
  • 来自:洛杉矶湖人
论坛8周年活动礼物
发表于: 2008-12-17 16:37 | 短消息 资料
字号: 9楼

回复: IE启动强制到http://www.5566dh.cn/?tg=11改不了



引用:
原帖由 天月来了 于 2008-12-17 16:15:00 发表
去找相同系统里的ctfmon.exe文件。
先复制到C:\WINDOWS\system32\dllcache文件夹里替换。
再复制到C:\WINDOWS\system32文件夹里替换。

可以这贴里找相关文件下载。
http://bbs.ikaka.com/showtopic-8417665.aspx

可以按照这贴进行相关文件替换,建议使用4楼工具操作替换
http://bbs.ikaka.com/showtopic-8561436.aspx



请教 天月 版主

那个替换的系统文件在哪里发现的?  怎么看出来的

麻烦指教一下,谢谢
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-12-17 16:45 | 短消息 资料
字号: 10楼

回复 9F 古梦潭 的帖子

他的日志下面这项可以看到:
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Infected) Microsoft Corporation]

后面签名那变成  (Infected)  了

正确的应该是  (Verified)
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT