瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 疑惑:开机密码和账户名称被改掉~

1   1  /  1  页   跳转

[原创] 疑惑:开机密码和账户名称被改掉~

收藏
techie3000
头像
健康舞勺狮
  • 帖子:239
  • 注册: 2006-02-15
  • 来自:
发表于: 2008-10-14 16:56 | 只看楼主 短消息 资料
字号: 1楼

疑惑:开机密码和账户名称被改掉~

状况:  电脑重启后,发现密码和账户名均不对,
        其它状况,QQ昨天登录后,提示帐号异常,要求更改QQ密码;
                      电脑运行感觉变慢,尤其是打开网页时;
                      前几天,下载过破解QQ加密空间软件,


处理结果:用启动盘修复,重新激活系统管理员帐户;


其它处理方式:用超级巡警清理了垃圾,防火墙禁止了一些访问规则,
最后不放心,传了日志

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; MAXTHON 2.0)

附件附件:

文件名:SREngLOG.log
下载次数:121
文件类型:application/octet-stream
文件大小:
上传时间:2008-10-14 16:55:36
描述:log
分享到:
gototop
 
潘东东
头像
飘泊而立狮
  • 帖子:701
  • 注册: 2008-08-28
  • 来自:北京
发表于: 2008-10-14 17:02 | 短消息 资料
字号: 2楼

回复:疑惑:开机密码和账户名称被改掉~

sreng启动项目 注册表,删除

[HKEY_CURRENT_USER\Control Panel\Desktop]
    <SCRNSAVE.EXE><; C:\WINDOWS\system32\夜光时~1.SCR>  []
sreng启动项目,服务,驱动程序,删除
[Apaidi / Apaidi][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Apaidi.sys><N/A>
[DS1410D / DS1410D][Stopped/Auto Start]
  <SYSTEM32\drivers\DS1410D.SYS><N/A>
[NetrobocopLowLevelService / NPF][Stopped/Manual Start]
  <\??\C:\DOCUME~1\user\LOCALS~1\Temp\nsb\npf.sys><N/A>
[npkcrypt / npkcrypt][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkcrypt.sys><N/A>
[npkycryp / npkycryp][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkycryp.sys><N/A>
[Ntdapi / Ntdapi][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\ntdapi.sys><N/A>

xdelbox删除
[f:\Program Files\WinRAR\rarext.dll]  [N/A, ]

用卡卡修复HOSTS文件
不断的坚持和努力着

杀毒软件升级常见问题解决方法
使用卡卡常见问题
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2008-10-14 17:12 | 短消息 资料
字号: 3楼

回复: 疑惑:开机密码和账户名称被改掉~

注册表
[HKEY_CURRENT_USER\Control Panel\Desktop]
    <SCRNSAVE.EXE><; C:\WINDOWS\system32\夜光时~1.SCR>  []

驱动程序
[npkcrypt / npkcrypt][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkcrypt.sys><N/A>
[npkycryp / npkycryp][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkycryp.sys><N/A>

文件
f:\Program Files\WinRAR\rarext.dll


个人认为以上文件或注册表项目是正常的,建议不要删除。
打酱油的……
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2008-10-14 17:16 | 短消息 资料
字号: 4楼

回复: 疑惑:开机密码和账户名称被改掉~

另:

1、hosts文件正常,不需重置;

2、建议将C:\WINDOWS\system32\ipacc_v2.dll这个文件用WINRAR压缩,上传压缩包;

3、启动文件夹下面这些东西自己看一下,都是什么东西(开始--程序--启动--右键相应菜单项,选择“属性”):
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\8.bat
C:\Documents and Settings\user\「开始」菜单\启动\SolidWorks Task Scheduler 引擎.lnk
D:\PROGRA~1\SOLIDW~1\SWSCHE~1\SWBOEN~1.EXE
最后编辑超级游戏迷 最后编辑于 2008-10-14 17:21:29
打酱油的……
gototop
 
techie3000
头像
健康舞勺狮
  • 帖子:239
  • 注册: 2006-02-15
  • 来自:
发表于: 2008-10-14 18:39 | 只看楼主 短消息 资料
字号: 5楼

回复:疑惑:开机密码和账户名称被改掉~

C:\Documents and Settings\All Users\「开始」菜单\程序\启动\8.bat--------公司服务器设置
C:\Documents and Settings\user\「开始」菜单\启动\SolidWorks Task Scheduler 引擎.lnk ---设计软件启动项
D:\PROGRA~1\SOLIDW~1\SWSCHE~1\SWBOEN~1.EXE ---同上
gototop
 
techie3000
头像
健康舞勺狮
  • 帖子:239
  • 注册: 2006-02-15
  • 来自:
发表于: 2008-10-14 18:40 | 只看楼主 短消息 资料
字号: 6楼

回复:疑惑:开机密码和账户名称被改掉~

C:\WINDOWS\system32\夜光时~1.SCR---这个是屏保,应该没事吧

附件:ipacc_v2

附件附件:

文件名:ipacc_v2.rar
下载次数:217
文件类型:application/octet-stream
文件大小:
上传时间:2008-10-14 18:45:50
描述:rar

最后编辑techie3000 最后编辑于 2008-10-14 18:45:50
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2008-10-14 18:49 | 短消息 资料
字号: 7楼

回复: 疑惑:开机密码和账户名称被改掉~

建议:

1、将C:\WINDOWS\SYSTEM32\drivers\DS1410D.SYS这个文件用WINRAR压缩(如果存在的话),上传压缩包;

2、运行sreng扫描工具,启动项目--服务--驱动程序,删除以下项目:
[Apaidi / Apaidi][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Apaidi.sys><N/A>
[DS1410D / DS1410D][Stopped/Auto Start]
  <SYSTEM32\drivers\DS1410D.SYS><N/A>
[NetrobocopLowLevelService / NPF][Stopped/Manual Start]
  <\??\C:\DOCUME~1\user\LOCALS~1\Temp\nsb\npf.sys><N/A>
[Ntdapi / Ntdapi][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\ntdapi.sys><N/A>

3、重启电脑;

4、在拔掉网线的情况下,清理系统临时文件和IE缓存;

5、用WINRAR压缩工具找到如下文件,删除以下文件:
C:\WINDOWS\system32\drivers\Apaidi.sys
C:\WINDOWS\SYSTEM32\drivers\DS1410D.SYS
C:\DOCUME~1\user\LOCALS~1\Temp\nsb\npf.sys(第4步应该已经灭了这个文件)
C:\WINDOWS\system32\drivers\ntdapi.sys

6、稍后研究你上传的dll文件……
打酱油的……
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2008-10-14 18:54 | 短消息 资料
字号: 8楼

回复: 疑惑:开机密码和账户名称被改掉~

个人认为C:\WINDOWS\system32\ipacc_v2.dll这个文件没有问题。
打酱油的……
gototop
 
techie3000
头像
健康舞勺狮
  • 帖子:239
  • 注册: 2006-02-15
  • 来自:
发表于: 2008-10-14 20:10 | 只看楼主 短消息 资料
字号: 9楼

回复: 疑惑:开机密码和账户名称被改掉~

十分谢谢楼上,
不过那个文件没有发现,(设置了去隐藏和系统安全文件可见)
见附件图:
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT