瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】不时跳出个铃声下载的网站,internet的首页也被改成了hao123

1   1  /  1  页   跳转

【求助】不时跳出个铃声下载的网站,internet的首页也被改成了hao123

收藏
aju11
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2007-07-29
  • 来自:
发表于: 2007-07-29 11:28 | 只看楼主 短消息 资料
字号: 1楼

【求助】不时跳出个铃声下载的网站,internet的首页也被改成了hao123

各位大虾,我的瑞星监控小绿伞变成了红伞是怎么回事呢?隔个把小时就有个音乐铃声下载的网页跳出来,用瑞星杀又啥都没有,internet的首页也被改成了hao123,想改成别的都不行,该怎么办呢?

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
最后编辑2007-07-29 11:59:11
分享到:
gototop
 
Enao2005
头像
版主
  • 帖子:2112
  • 注册: 2004-12-02
  • 来自:
发表于: 2007-07-29 11:31 | 短消息 资料
字号: 2楼

下载Sreng(http://www.kztechs.com/sreng/download.html)

打开Sreng.exe==>智能扫描==>勾选 检查进程模块的数字签名==>点 扫描==>扫描完成后按下“保存报告”按钮保存报告日志文件(SREng.LOG),把保存的报告日志文件内容复制-粘贴上来,日志一次粘不完,分次粘完,请不要修改

要是Sreng.exe不能运行,直接重命名为123.bat运行
gototop
 
aju11
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2007-07-29
  • 来自:
发表于: 2007-07-29 11:45 | 只看楼主 短消息 资料
字号: 3楼

1
gototop
 
aju11
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2007-07-29
  • 来自:
发表于: 2007-07-29 11:46 | 只看楼主 短消息 资料
字号: 4楼

2
gototop
 
aju11
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2007-07-29
  • 来自:
发表于: 2007-07-29 11:47 | 只看楼主 短消息 资料
字号: 5楼

3
gototop
 
aju11
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2007-07-29
  • 来自:
发表于: 2007-07-29 11:50 | 只看楼主 短消息 资料
字号: 6楼

4
gototop
 
aju11
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2007-07-29
  • 来自:
发表于: 2007-07-29 11:51 | 只看楼主 短消息 资料
字号: 7楼

5
gototop
 
aju11
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2007-07-29
  • 来自:
发表于: 2007-07-29 11:51 | 只看楼主 短消息 资料
字号: 8楼

6
gototop
 
aju11
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2007-07-29
  • 来自:
发表于: 2007-07-29 11:53 | 只看楼主 短消息 资料
字号: 9楼

好长啊,头大,看不懂,请问是中毒了吗?
gototop
 
Enao2005
头像
版主
  • 帖子:2112
  • 注册: 2004-12-02
  • 来自:
发表于: 2007-07-29 12:09 | 短消息 资料
字号: 10楼

找到下面的文件复制到桌面,用RAR压缩,传给我 QQ:510704033或enao@people.com.cn 麻烦你了
c:\niu.exe
d:\PegeFile.pif

用XDelBox1.3一次性删除下面这些文件(enao.ys168.com 下载)
打开XDelBox1.3==>在 文件路径 填上文件具体路径==>点 添加==>勾选上 抑制再生==>选中 列表中的文件 点 右键(若要一次性删除多个文件,可以按住键盘的Ctrl,进行多选)==>立刻重启执行删除
C:\WINDOWS\system32\ztjpri.dll
C:\WINDOWS\system32\qjepri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\WINDOWS\system32\wgdpri.dll
C:\WINDOWS\system32\jhapri.dll
C:\WINDOWS\system32\ztkpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\jzepri.dll
C:\WINDOWS\system32\mycpri.dll
C:\WINDOWS\system32\jzdpri.dll
C:\WINDOWS\system32\zxepri.dll
C:\WINDOWS\system32\xyfpri.dll
C:\WINDOWS\system32\wdbpri.dll
C:\WINDOWS\system32\mybpri.dll

安全模式下操作如下

编辑<AppInit_DLLs>内容为空 即删除ztjpri.dll

删除注册表项目
<Shell><"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32\shell32.dll",Control_RunDLL "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat6.tmp"> [N/A]
<3f28c8mq><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\explorei.exe> []
<svc><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sysphong.exe> [N/A]
mppds><C:\WINDOWS\mppds.exe> []
<ztsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ztso.exe> []
<rxsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rxso.exe> []
<wlsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wlso.exe> []
<wgsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wgso.exe> []
<tlsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tlso.exe> []
<wdsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wdso.exe> []
<zxsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zxso.exe> [N/A]
<qjsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qjso.exe> []
<crsss><C:\WINDOWS\system32\crsss.exe> []
<?{D157330A-9EF3-49F8-9A67-4141AC41ADD4}><> [N/A]
<?{AC2DC2EF-5165-40A3-8CDF-41DCA1B0901A}><Ras Shell Execute Hook> [N/A]
<?{014A26F5-FBAD-4549-9CA1-C38210704BD1}><> [N/A]
<{1182C1EB-375C-573D-1F5E-234552345211}><C:\WINDOWS\system32\wldpri.dll> []
<?{40117B96-998D-4D80-8F89-5E9DBD9F3460}><> [N/A]
<?{C5E87A05-F463-4841-B19E-DD3EC3862368}><> [N/A]
<?{EE12D60D-AD9A-4095-B839-3BE6862679FD}><> [N/A]
<?{A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E}><> [N/A]
<?{0EA66AD2-CF26-2E23-532B-B292E22F3266}><> [N/A]
<{54123FF1-8371-9834-9021-184518451FA5}><C:\WINDOWS\system32\qjepri.dll> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:\WINDOWS\system32\dhbpri.dll> []
<{425AB2F3-234A-7469-2F43-E341713ABFA4}><C:\WINDOWS\system32\wgdpri.dll> []
<{252D2432-37A2-324F-2A54-21BF5CF2F1A2}><C:\WINDOWS\system32\jhapri.dll> []
<{A1351752-5628-1547-FFAB-BADC13512AFA}><C:\WINDOWS\system32\ztjpri.dll> []
<{B1351752-5628-1547-FFAB-BADC13512AFB}><C:\WINDOWS\system32\ztkpri.dll> []
<{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:\WINDOWS\system32\qhbpri.dll> []
<{559AFD5B-159F-ACD8-954C-ACD545FA6585}><C:\WINDOWS\system32\jzepri.dll> []
<{3562452F-FA36-BA4F-892A-FF5FBBAC5313}><C:\WINDOWS\system32\mycpri.dll> []
<{459AFD5B-159F-ACD8-954C-ACD545FA6584}><C:\WINDOWS\system32\jzdpri.dll> []
<{5A65498A-7653-9801-1647-987114AB7F45}><C:\WINDOWS\system32\zxepri.dll> []
<{713AF41A-21B1-131B-1BFC-D2A90DF4A2B7}><C:\WINDOWS\system32\xyfpri.dll> []
<{2F12545B-1212-1314-5679-4512ACEF8902}><C:\WINDOWS\system32\wdbpri.dll> []
<{2562452F-FA36-BA4F-892A-FF5FBBAC5312}><C:\WINDOWS\system32\mybpri.dll> []
<?{E25C29AB-12B9-4523-A53C-324B5FBA648C}><> [N/A]
<{EE12D60D-AD9A-4095-B839-3BE6862679FD}><C:\Program Files\Internet Explorer\IEXPLORE32.Dat> []
<{A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E}><C:\Program Files\Internet Explorer\IEXPLORE32.win> []
<{C5E87A05-F463-4841-B19E-DD3EC3862368}><C:\Program Files\Internet Explorer\IEXPLORE32.Sys> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]

删除服务
[B302EC43 / B302EC43][Stopped/Auto Start]
<C:\WINDOWS\system32\75D23BE4.EXE -d><Microsoft Corporation>
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe windhcp.ocx,input><Microsoft Corporation

删除
上面所说的注册表项目所指向的文件
C:\WINDOWS\system32\F0D78D11.DLL
C:\WINDOWS\system32\windhcp.ocx
C:\WINDOWS\system32\75D23BE4.EXE
清空C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\下所有文件

用WINRAR删除各盘根目录下的niu.exe,PegeFile.pif,Autorun.inf
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT