瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 IE给恶意绑架为http://www.9348.cn/?205446

1   1  /  1  页   跳转

[求助] IE给恶意绑架为http://www.9348.cn/?205446

收藏
menglian1987
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2009-07-08
  • 来自:
发表于: 2009-07-08 12:54 | 只看楼主 短消息 资料
字号: 1楼

IE给恶意绑架为http://www.9348.cn/?205446

IE给恶意绑架为http://www.9348.cn/?205446    尝试用多种恢复软件都不能解决,请求各位高手帮帮忙,谢谢!

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)

附件附件:

下载次数:186
文件类型:text/plain
文件大小:
上传时间:2009-7-8 12:54:20
描述:txt
分享到:
gototop
 
帅哥阿福
头像
雄霸杖朝狮
  • 帖子:21071
  • 注册: 2006-03-29
  • 来自:米兰
论坛8周年活动礼物祖国六十华诞09欢乐圣诞
发表于: 2009-07-08 13:05 | 短消息 资料
字号: 2楼

回复:IE给恶意绑架为http://www.9348.cn/?205446

下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266
system32\drivers\puojzws.sys
system32\drivers\gnvmt.sys
C:\WINDOWS\system32\scqn.dll

上传病毒样本到可疑文件交流区,地址为:http://bbs.ikaka.com/showforum-20002.aspx
或者直接发送给瑞星的邮件服务中心【病毒样本】地址为:http://mailcenter.rising.com.cn/uploadnew.aspx
╭∩╮(︶︿︶)╭∩╮
gototop
 
天月来了
头像
版主
  • 帖子:76897
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-07-08 15:03 | 短消息 资料
字号: 3楼

回复:IE给恶意绑架为http://www.9348.cn/?205446

尽量进安全模式下
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除,或将启动类型改为“Disabled”
==================================
驱动程序
[saww / saww][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\puojzws.sys><N/A>

[uods / uods][Running/Boot Start]
  <\SystemRoot\system32\drivers\gnvmt.sys><N/A>

SRENG工具的各项操作看这里:http://bbs.ikaka.com/showtopic-8545446.aspx

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
附件: 费 尔.rar(内附说明)(右键选择“目标另存为”下载)本链接不支持迅雷等下载工具下载

删除:
C:\WINDOWS\system32\scqn.dll

不论删除结果如何立即重启电脑,看情况如何。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
menglian1987
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2009-07-08
  • 来自:
发表于: 2009-07-08 16:17 | 只看楼主 短消息 资料
字号: 4楼

回复: IE给恶意绑架为http://www.9348.cn/?205446



引用:
原帖由 天月来了 于 2009-7-8 15:03:00 发表
尽量进安全模式下
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除,或将启动类型改为“Disabled”
==================================
驱动程序
[saww / saww][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\puojzws.sys><N/A&


对不起,版主,我刚发贴时把附件发错了,导致你所看到的内容不是我这台电脑的真实情况,给你带来的不便,尽请谅解
我重新发一下我这台电脑的扫描内容,您帮忙给分析解决下,先谢谢了

附件附件:

文件名:SREngLOG.log
下载次数:145
文件类型:application/octet-stream
文件大小:
上传时间:2009-7-8 16:16:52
描述:log
gototop
 
天月来了
头像
版主
  • 帖子:76897
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-07-08 16:37 | 短消息 资料
字号: 5楼

回复:IE给恶意绑架为http://www.9348.cn/?205446

这也能发错????

尽量进安全模式下
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除,或将启动类型改为“Disabled”
==================================
驱动程序
[ghaio / ghaio][Running/Auto Start]
  <\??\C:\Program Files\ASUS\NB Probe\SPM\ghaio.sys><N/A>

[owjpvj / owjpvj][Running/Boot Start]
  <\SystemRoot\system32\drivers\towhw.sys><N/A>

SRENG工具的各项操作看这里:http://bbs.ikaka.com/showtopic-8545446.aspx
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
menglian1987
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2009-07-08
  • 来自:
发表于: 2009-07-08 17:05 | 只看楼主 短消息 资料
字号: 6楼

回复: IE给恶意绑架为http://www.9348.cn/?205446



引用:
原帖由 天月来了 于 2009-7-8 16:37:00 发表
这也能发错????

尽量进安全模式下
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除,或将启动类型改为“Disabled”
==================================
驱动程序
[ghaio / ghaio][Running/Auto Start]
  <\??\C:\Program Files\ASUS\NB Probe\SP


版主,按照你的建议, 我成功的将 [ghaio / ghaio][Running/Auto Start]
  <\??\C:\Program Files\ASUS\NB Probe\SPM\ghaio.sys><N/A>  改成了 Disabled    但 [owjpvj / owjpvj][Running/Boot Start]
  <\SystemRoot\system32\drivers\towhw.sys><N/A>  改也改不了,删也删不了   

我重起了下电脑,再检查  owjpv  这项没有了

打开IE,可以将首页设置成 about:blank  而且关闭IE重新打开,设置里面仍然是 about:blank  ,但是每次打开IE 都会自动开启 http://www.9348.cn/?q  这个网站

附件附件:

文件名:SREngLOG.log
下载次数:134
文件类型:application/octet-stream
文件大小:
上传时间:2009-7-8 17:04:57
描述:log
gototop
 
天月来了
头像
版主
  • 帖子:76897
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-07-08 17:36 | 短消息 资料
字号: 7楼

回复:IE给恶意绑架为http://www.9348.cn/?205446

日志显示驱动还在,继续操作一遍,删除或修改去。
==================================
驱动程序
[towh / owjpvj][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\towhw.syse><N/A>

完成后,重启电脑不从桌面上打开IE浏览器,直接去浏览器主程序位置去打开浏览器主程序C:\Program Files\Internet Explorer\IEXPLORE.EXE看情况怎样。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT