【求助】关于奇怪的www.6781.com,IE首页～～

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【求助】关于奇怪的www.6781.com,IE首页～～

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

moles 拙长孩提狮帖子:115 注册: 2006-03-23 来自:	发表于： 2006-06-17 07:30 \| 显示全部短消息资料字号：小中大 1楼【求助】关于奇怪的www.6781.com,IE首页～～近来IE首页老是莫名其妙被改成“www.6781.com”，以下是瑞星“注册表监控”： D:\Tencent\QQ\QQ.exe HCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN Start Page http://www.6781.com/ 2006-06-17 00:37 修改拒绝修改 C:\WINDOWS\system32\rundll32.exe HCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN Start Page about:blank 2006-06-17 06:16 修改同意修改为何是通过QQ.exe修改IE首页？？？用瑞星杀毒又杀不出来，真是百般不解。附HIJACKTHIS日志： Logfile of HijackThis v1.99.1 Scan saved at 6:45:17, on 2006-6-17 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Rising\Rav\CCenter.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Rising\Rav\Ravmond.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Rising\Rav\RavStub.exe C:\Program Files\UPHClean\uphclean.exe C:\WINDOWS\SOUNDMAN.EXE D:\XDeskWeather-v3.9\XDeskWeather.exe C:\Program Files\Rising\Rav\RavTask.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Rising\Rav\Ravmon.exe C:\Program Files\Internet Explorer\iexplore.exe D:\Tencent\QQ\QQ.exe D:\Tencent\QQ\TIMPlatform.exe E:\Downloads\hijackthis\HijackThis.exe O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll O2 - BHO: TeachingHandler - {31EBA2E2-58B2-4980-9C41-F12F5F1422C5} - C:\WINDOWS\system32\TPHANDLE.dll O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\Tencent\QQ\QQIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: NXIECatcher Class - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - D:\Xi\NetXfer\NXIEHelper.dll O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - D:\Xi\NetXfer\NXToolBar.dll O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload O4 - HKLM\..\Run: [XDeskWeather] D:\XDeskWeather-v3.9\XDeskWeather.exe O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system O4 - HKLM\..\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: &使用迅雷下载 - D:\Thunder Network\Thunder\geturl.htm O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\Thunder Network\Thunder\getallurl.htm O8 - Extra context menu item: 使用网络传送带下载 - D:\Xi\NetXfer\NXAddLink.html O8 - Extra context menu item: 使用网络传送带下载全部链接 - D:\Xi\NetXfer\NXAddList.html O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://www.sz1.cmbchina.com/download/CMBEdit.cab O16 - DPF: {C661F36D-DF85-4EF4-83C7-E107B83D04B1} (WebActivater Control) - http://dl_dir.qq.com/3dshow/3DShowVM.cab O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22E0} (CPrivacyEditCtrl Object) - https://account.qq.com/tenedit.cab O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe 求助各位，谢谢！！！ 2006-11-17 10:41:49.200000000
moles 拙长孩提狮帖子:115 注册: 2006-03-23 来自:	分享到：

拙长孩提狮

帖子:115
注册: 2006-03-23
来自:

发表于： 2006-06-17 17:14 | 显示全部 短消息资料

字号：小中大 2楼

引用:

【qiuniu的贴子】我也遇到了这个问题。根据你的Hijackthis的报告的提示，尝试重装QQ，再重装的过程中，安装程序提示不能覆盖QQIEhelper.dll，这个问题。怀疑就是这个问题。安全模式下删除，然后回到正常启动下，重装QQ，到目前还没有再出现问题。
估计是QQIEhelper.dll这个文件被改动。
请尝试一下，也许可以解决。
...........................

多谢兄弟了。想来想去，重装QQ后，问题也就没了。

拙长孩提狮

帖子:115
注册: 2006-03-23
来自:

发表于： 2006-06-19 19:06 | 显示全部 短消息资料

字号：小中大 3楼

引用:

【我无邪的贴子】运行System Repair Engineer，点“启动项目，服务，点“Win32服务应用程序”勾选“隐藏微软服务”选中病毒服务Registry Protector，选择“删除服务”点“设置”选择“否”最后重启
关闭所有浏览窗口以及一些不必要的程序
运行System Repair Engineer，使用“系统修复，浏览器加载项”来删除以下选项
IEHlprObj Class]
{CE7C3CF0-4B15-11D1-ABED-709549C10000} <C:\WINDOWS\system32\IEHelper.dll, N/
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹"清除"隐藏受保护的操作系统文件（推荐）"复选框。在提示确定更改时，单击“是”，清除“隐藏已知文件类型的扩展名
删除
C:\WINDOWS\system32\IEHelper.dll
C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL
如果还有异常，请重启后，再扫个报告粘上来。
...........................

谢谢“我无邪”。6781这个垃圾程序生成系统服务具有一定的隐蔽性，第一次扫描怎么也看不出多了一个系统服务。今天看你的帖子，再次扫才出现，现在问题已解决。再次感谢“我无邪”。

<<上一主题|下一主题>>

1 / 1 页

跳转页

moles 拙长孩提狮帖子:115 注册: 2006-03-23 来自:	发表于： 2006-06-17 07:30 \| 显示全部短消息资料字号：小中大 1楼【求助】关于奇怪的www.6781.com,IE首页～～近来IE首页老是莫名其妙被改成“www.6781.com”，以下是瑞星“注册表监控”： D:\Tencent\QQ\QQ.exe HCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN Start Page http://www.6781.com/ 2006-06-17 00:37 修改拒绝修改 C:\WINDOWS\system32\rundll32.exe HCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN Start Page about:blank 2006-06-17 06:16 修改同意修改为何是通过QQ.exe修改IE首页？？？用瑞星杀毒又杀不出来，真是百般不解。附HIJACKTHIS日志： Logfile of HijackThis v1.99.1 Scan saved at 6:45:17, on 2006-6-17 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Rising\Rav\CCenter.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Rising\Rav\Ravmond.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Rising\Rav\RavStub.exe C:\Program Files\UPHClean\uphclean.exe C:\WINDOWS\SOUNDMAN.EXE D:\XDeskWeather-v3.9\XDeskWeather.exe C:\Program Files\Rising\Rav\RavTask.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Rising\Rav\Ravmon.exe C:\Program Files\Internet Explorer\iexplore.exe D:\Tencent\QQ\QQ.exe D:\Tencent\QQ\TIMPlatform.exe E:\Downloads\hijackthis\HijackThis.exe O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll O2 - BHO: TeachingHandler - {31EBA2E2-58B2-4980-9C41-F12F5F1422C5} - C:\WINDOWS\system32\TPHANDLE.dll O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\Tencent\QQ\QQIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: NXIECatcher Class - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - D:\Xi\NetXfer\NXIEHelper.dll O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - D:\Xi\NetXfer\NXToolBar.dll O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload O4 - HKLM\..\Run: [XDeskWeather] D:\XDeskWeather-v3.9\XDeskWeather.exe O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system O4 - HKLM\..\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: &使用迅雷下载 - D:\Thunder Network\Thunder\geturl.htm O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\Thunder Network\Thunder\getallurl.htm O8 - Extra context menu item: 使用网络传送带下载 - D:\Xi\NetXfer\NXAddLink.html O8 - Extra context menu item: 使用网络传送带下载全部链接 - D:\Xi\NetXfer\NXAddList.html O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://www.sz1.cmbchina.com/download/CMBEdit.cab O16 - DPF: {C661F36D-DF85-4EF4-83C7-E107B83D04B1} (WebActivater Control) - http://dl_dir.qq.com/3dshow/3DShowVM.cab O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22E0} (CPrivacyEditCtrl Object) - https://account.qq.com/tenedit.cab O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe 求助各位，谢谢！！！ 2006-11-17 10:41:49.200000000
moles 拙长孩提狮帖子:115 注册: 2006-03-23 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】关于奇怪的www.6781.com,IE首页～～

【求助】关于奇怪的www.6781.com,IE首页～～

【求助】关于奇怪的www.6781.com,IE首页～～

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【求助】关于奇怪的www.6781.com,IE首页～～