瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 IE被篡改为(www.hahapage.cn),上网需要密码登陆时全是连接超时,要求重新登录!附17:45新的日志!

1   1  /  1  页   跳转

[求助] IE被篡改为(www.hahapage.cn),上网需要密码登陆时全是连接超时,要求重新登录!附17:45新的日志!

收藏
晓茵
头像
拙长孩提狮
  • 帖子:79
  • 注册: 2005-11-23
  • 来自:
发表于: 2008-08-09 16:24 | 只看楼主 短消息 资料
字号: 1楼

IE被篡改为(www.hahapage.cn),上网需要密码登陆时全是连接超时,要求重新登录!附17:45新的日志!

IE被篡改为(www.hahapage.cn),上网需要密码登陆时全是连接超时,要求重新登录!今天在安全模式下杀毒还有两个:RootKit.Win32.RESSDT.CS和AdWARA.win32.ZhongSOU.aj。日志附:

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件附件:

下载次数:170
文件类型:application/octet-stream
文件大小:
上传时间:2008-8-9 16:23:57
描述:log

最后编辑晓茵 最后编辑于 2008-08-09 17:45:59
分享到:
gototop
 
晓茵
头像
拙长孩提狮
  • 帖子:79
  • 注册: 2005-11-23
  • 来自:
发表于: 2008-08-09 16:33 | 只看楼主 短消息 资料
字号: 2楼

回复:IE被篡改为(www.hahapage.cn),上网需要密码登陆时全是连接超时,要求重新登录!

昨天有师傅教我:
删除文件
c:\windows\system32\config\msce001.exe(在安全模式下删除了)
C:\WINDOWS\system32\ea0da.exe(找不到)
C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys(用WinRAR删除)
C:\windows\system32\drivers\h9sd9y.sys(找不到)

C:\windows\system32\drivers\h9sd9y.sys
服务
[Merv / Merv][Running/Auto Start]
  <C:\WINDOWS\system32\ea0da.exe><Microsoft Corporation>
驱动
[apcdli / apcdli][Running/Auto Start]
  <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A>
[e39 / e39y][Running/Boot Start]
  <\SystemRoot\System32\DRI[h9sd9y / h9sd9y][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\h9sd9y.sys><N/A>VERS\e39y.sys><>
[ylnh38qg / ylnh38qg9][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\ylnh38qg9.sys><>
其余的在SRENG中删除了!
还有在SRENG中的启动项目中的AppInit-DLLS中有数据(KMON.DLL)无法编辑为空,我只能描述到这个程度了,请帮忙了哦!谢谢!
最后编辑晓茵 最后编辑于 2008-08-09 16:35:14
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-08-09 16:44 | 短消息 资料
字号: 3楼

回复:IE被篡改为(www.hahapage.cn),上网需要密码登陆时全是连接超时,要求重新登录!附8....

删除文件
C:\WINDOWS\system32\W5nxtQ.dll
C:\windows\System32\DRIVERS\e39y.sys
C:\windows\System32\DRIVERS\e39y.sys
删除驱动
[e39 / e39y][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\e39y.sys><>
[h9sd9y / h9sd9y][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\h9sd9y.sys><N/A>
自己测下文件
http://www.virscan.org/
http://www.virustotal.com/zh-cn/
http://virusscan.jotti.org/

C:\WINDOWS\Player.exe



金山清理专家-安全百宝箱-系统修复工具
修复系统
并清理流氓软件
http://www.duba.net/qing/
gototop
 
晓茵
头像
拙长孩提狮
  • 帖子:79
  • 注册: 2005-11-23
  • 来自:
发表于: 2008-08-09 16:53 | 只看楼主 短消息 资料
字号: 4楼

回复:IE被篡改为(www.hahapage.cn),上网需要密码登陆时全是连接超时,要求重新登录!附8....

师傅请教我一下在哪里删除删除文件
C:\WINDOWS\system32\W5nxtQ.dll
C:\windows\System32\DRIVERS\e39y.sys
C:\windows\System32\DRIVERS\e39y.sys  我全找不到,我在WinRAR找的.
删除驱动
[e39 / e39y][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\e39y.sys><>
[h9sd9y / h9sd9y][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\h9sd9y.sys><N/A>
刚才我已经删了哦,说重启后删除的,但怎么还在?
gototop
 
晓茵
头像
拙长孩提狮
  • 帖子:79
  • 注册: 2005-11-23
  • 来自:
发表于: 2008-08-09 17:22 | 只看楼主 短消息 资料
字号: 5楼

回复:IE被篡改为(www.hahapage.cn),上网需要密码登陆时全是连接超时,要求重新登录!附8....

http://www.virscan.org/测了C:\WINDOWS\Player.exe
说有17%的杀软,但我不知道怎么贴上来!      C:\WINDOWS\system32\W5nxtQ.dll(找了还是找不到)
C:\windows\System32\DRIVERS\e39y.sys
C:\windows\System32\DRIVERS\e39y.sys  (这两个找到了,但不能删,说在使用,但我没用呀)              删除驱动
[e39 / e39y][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\e39y.sys><>
[h9sd9y / h9sd9y][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\h9sd9y.sys><N/A>
重启后看已经没有了.
下了金山清理专家-安全百宝箱-系统修复工具
修复系统
并清理了流氓软件 ,但上网那个网页有出来了!!!
http://www.duba.net/qing/
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-08-09 17:30 | 短消息 资料
字号: 6楼

回复:IE被篡改为(www.hahapage.cn),上网需要密码登陆时全是连接超时,要求重新登录!附8....

弄个新日志
昨天眼花了
没看全
gototop
 
晓茵
头像
拙长孩提狮
  • 帖子:79
  • 注册: 2005-11-23
  • 来自:
发表于: 2008-08-09 17:42 | 只看楼主 短消息 资料
字号: 7楼

回复: IE被篡改为(www.hahapage.cn),上网需要密码登陆时全是连接超时,要求重新登录!附8....

好的,麻烦你了,我现在回去了,有时间帮我看一下哦!

附件附件:

文件名:SREngLOG.log
下载次数:162
文件类型:application/octet-stream
文件大小:
上传时间:2008-8-9 17:42:25
描述:log
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-08-09 17:48 | 短消息 资料
字号: 8楼

回复:IE被篡改为(www.hahapage.cn),上网需要密码登陆时全是连接超时,要求重新登录!附8....

1.建议使用XDelBox删除以下文件:(Xdelbox1.7下载地址:http://www.qispace.com.cn/read.php/1.htm
使用说明:先勾选抑制再生,删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。


c:\windows\system32\wups2.dll
c:\windows\player.exe
c:\windows\system32\ea0da.exe
c:\windows\system32\drivers\rhkxm.sys
c:\documents and settings\all users\application data\microsoft\office\system\ntptdb.sys
c:\windows\system32\drivers\e39y.sys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[N/A]    <C:\WINDOWS\Player.exe>

    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[Merv / Merv]    <C:\WINDOWS\system32\ea0da.exe>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[rhkxm / rhkxm]    <\SystemRoot\system32\drivers\rhkxm.sys>
[ntptdb / ntptdb]    <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\ntptdb.sys>
[e39 / e39y]    <\SystemRoot\System32\DRIVERS\e39y.sys>

金山清理专家-安全百宝箱-系统修复工具修复系统
http://www.duba.net/qing/
清理助手清理系统
http://www.arswp.com/download.html
gototop
 
粉碎星辰
头像
飘泊而立狮
  • 帖子:521
  • 注册: 2008-07-20
  • 来自:
发表于: 2008-08-10 23:17 | 短消息 资料
字号: 9楼

回复:IE被篡改为(www.hahapage.cn),上网需要密码登陆时全是连接超时,要求重新登录!附17...

删:
c:\windows\system32\wups2.dll
c:\windows\player.exe
c:\windows\system32\ea0da.exe
c:\windows\system32\drivers\rhkxm.sys
c:\documents and settings\all users\application data\microsoft\office\system\ntptdb.sys



  启动项目 -- 注册表之如下项删除:
[N/A]    <C:\WINDOWS\Player.exe>

    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[Merv / Merv]    <C:\WINDOWS\system32\ea0da.exe>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[rhkxm / rhkxm]    <\SystemRoot\system32\drivers\rhkxm.sys>
[ntptdb / ntptdb]    <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\ntptdb.sys>
[e39 / e39y]    <\SystemRoot\System32\DRIVERS\e39y.sys>

c:\windows\system32\drivers\e39y.sys
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT