瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 如何解决QQ5.COM的恶意篡改行为,(未解决 失去希望 很失望)

1   1  /  1  页   跳转

[已关闭] 如何解决QQ5.COM的恶意篡改行为,(未解决 失去希望 很失望)

如何解决QQ5.COM的恶意篡改行为,(未解决 失去希望 很失望)

最近我新下了个游戏
游戏安装完后
经常受到QQ5篡改主页的侵扰
最后实在没办法我就删除了该游戏
然后用瑞星和360杀毒
安全模式下也个杀了一次

后来我为了以防万一,怕瑞星也不篡改而杀不出病毒 就将瑞星也重新修复,升级
再杀了一次
安全模式也再杀了一次
可是现在
仍然还是受到QQ5.COM主页篡改的侵扰
虽然现在一直有防火墙顶
没被篡改过
但是
总是这样提示真的很烦人
而且提示本身也说明了恶意行为还存在
木马还存在

现在恳求各位谁能帮帮忘我


以下是防篡改历史记录

操作                                                            时间                                                            进程名称                                                        数值名称                                                        旧值                                                            新值                                                           
修改                                                            2009-04-24 02:07:51                                            C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE                  HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\                                                                                                                               
修改                                                            2009-04-24 02:07:48                                            C:\WINDOWS\REGEDIT.EXE                                          HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\"C:\Program Files\Internet Explorer\iexplore.exe"              "C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.qq5.com/?s
修改                                                            2009-04-24 02:07:48                                            C:\WINDOWS\REGEDIT.EXE                                          HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\START PAGEhttp://www.hao123.com/                                          http://www.qq5.com/?s                                         
修改                                                            2009-04-24 02:07:27                                            C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE                  HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\                                                                                                                               
修改                                                            2009-04-23 22:05:40                                            C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE                  HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\                                                                                                                               
修改                                                            2009-04-23 22:05:38                                            C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE                  HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\                                                                                                                               
修改                                                            2009-04-23 22:05:38                                            C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE                  HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\                                                                                                                               
修改                                                            2009-04-23 22:05:37                                            F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ                          HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\"C:\Program Files\Internet Explorer\iexplore.exe"              "C:\Program Files\Internet Explorer\IEXPLORE.EXE"             
修改                                                            2009-04-23 21:50:37                                            C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE                  HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\                                                                                                                               
修改                                                            2009-04-23 21:50:36                                            F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ                          HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\"C:\Program Files\Internet Explorer\iexplore.exe"              "C:\Program Files\Internet Explorer\IEXPLORE.EXE"             
修改                                                            2009-04-23 01:59:14                                            C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE                  HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\                                                                                                                               
修改                                                            2009-04-23 01:59:13                                            F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ                          HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\"C:\Program Files\Internet Explorer\iexplore.exe"              "C:\Program Files\Internet Explorer\IEXPLORE.EXE"             
修改                                                            2009-04-23 01:22:55                                            C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXE                  HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\                                                                                                                               
修改                                                            2009-04-23 01:22:47                                            F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJ                          HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\"C:\Program Files\Internet Explorer\iexplore.exe"              "C:\Program Files\Internet Explorer\IEXPLORE.EXE"

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; .NET CLR 2.0.50727)





操作时间进程名称数值名称旧值新值
修改########C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXEHKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\
修改########C:\WINDOWS\REGEDIT.EXEHKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\C:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.qq5.com/?s
修改########C:\WINDOWS\REGEDIT.EXEHKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\START PAGEhttp://www.hao123.com/http://www.qq5.com/?s
修改########C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXEHKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\
修改########C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXEHKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\
修改########C:\WINDOWS\REGEDIT.EXEHKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\C:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.qq5.com/?s
修改########C:\WINDOWS\REGEDIT.EXEHKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\START PAGEhttp://www.hao123.com/http://www.qq5.com/?s
修改########C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXEHKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\
修改########C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXEHKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\
修改########C:\WINDOWS\REGEDIT.EXEHKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\C:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\IEXPLORE.EXE http://www.qq5.com/?s
修改########C:\WINDOWS\REGEDIT.EXEHKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\START PAGEhttp://www.hao123.com/http://www.qq5.com/?s
修改########C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXEHKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\
修改########C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXEHKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\
修改########C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXEHKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\
修改########C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXEHKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\
修改########F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJHKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\C:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\IEXPLORE.EXE
修改########C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXEHKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\
修改########F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJHKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\C:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\IEXPLORE.EXE
修改########C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXEHKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\
修改########F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJHKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\C:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\IEXPLORE.EXE
修改########C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETACL.EXEHKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\
修改########F:\PROGRAM FILES\MAX PAYNE\GAME.RXPRJHKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\C:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Internet Explorer\IEXPLORE.EXE
  
             
最后编辑zlyr 最后编辑于 2009-05-04 00:03:03
分享到:
gototop
 

回复:如何解决QQ5.COM的恶意篡改行为,小弟恳求哪为能帮我解决问题。

就是安装了MAX PAYNE
这个游戏
后来我看出问题了就把游戏卸载了
还有就是2楼的方法已经试过了
可是没效果

还有就是如果我没记错的话
应该是在这个网站下载的
http://www.wanyx.com/game/209.html
gototop
 

回复: 如何解决QQ5.COM的恶意篡改行为,小弟恳求哪为能帮我解决问题。(5楼有新回复)



引用:
原帖由 byxxdrls 于 2009-4-27 7:20:00 发表
虽然你卸载了,但这个文件夹还在,里面的程序照样在发挥作用啊,粉碎整个文件夹吧。


拜托,
我在卸载后连文件夹也删除掉了

而且我设置的显示所有系统和隐藏文件

根本就没看到这文件啊


难道就解决不了这个问题了么
gototop
 

回复: 如何解决QQ5.COM的恶意篡改行为,小弟恳求哪为能帮我解决问题。(7楼有新回复)

不知道有没有用
我先把SREngLOG.log文件附注上吧

希望大哥们帮我解决问题哦

附件附件:

文件名:SREngLOG.log
下载次数:312
文件类型:application/octet-stream
文件大小:
上传时间:2009-4-28 1:22:30
描述:log

gototop
 

回复:如何解决QQ5.COM的恶意篡改行为,小弟恳求哪为能帮我解决问题。(7楼有新回复)

我现在不是要说如何将被篡改的主页改回来
  而是
  如何查杀篡改程序的运行,
  我在上面说了 现在有防火墙顶着 所以每次篡改的时候我都点了阻止,才没被篡改
  但是怎么杀也杀不出木马来,360等那些顽固木马查杀我已经试过了,
  特此补充
gototop
 

回复:如何解决QQ5.COM的恶意篡改行为,小弟恳求哪为能帮我解决问题。(7楼有新回复)

我在天涯论坛上发了篇求救帖
然后有一个人给我的回复如下

============================================
3wareSrv服务是个病毒 干掉它 应该属于你系统安装盘理集成的木马
  DELL CERC SATA 1.5/6ch RAID Miniport Driver不需要 应该是你系统安装盘里胡乱集成的RAID驱动 不需要
  
  你用hijackthis扫描个日志文件贴出来 我习惯看那个
  
  至于你的IE的问题 可以试试黄山IE修复软件
  
  


作者:paikemm 回复日期:2009-04-28 22:45:40  
  [rr172x / rr172x][Stopped/Boot Start]
   <\SystemRoot\system32\DRIVERS\rr172x.sys><HighPoint Technologies, Inc.>
  [rr174x / rr174x][Stopped/Boot Start]
   <\SystemRoot\system32\DRIVERS\rr174x.sys><HighPoint Technologies, Inc.>
  [rr2340 / rr2340][Stopped/Boot Start]
   <\SystemRoot\system32\DRIVERS\rr2340.sys><HighPoint Technologies, Inc.>
  [rsfwdrv / rsfwdrv][Running/System Start]
  
  这三个驱动都是病毒 瑞星视而不见
  
  楼主的个案再次证明我的观点:
  
  国内杀毒软件市场占用率第一的是瑞星
  世界中毒机器排第一的是中国


作者:paikemm 回复日期:2009-04-28 22:47:21  
  hptmv6.sys 这项也是病毒

==========================================
请问他说的是正确的么?

要是对的话具体操作应该怎么做
gototop
 

回复:如何解决QQ5.COM的恶意篡改行为,小弟恳求哪为能帮我解决问题。(13楼有新回复)

改注册表HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command就可以了,可以看到数据值"C:\Program Files\Internet Explorer\IEXPLORE.EXE"

着是正常的


运行“regedit”,然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:\Program Files\registry.exe,
没有这个东西


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
这个也是正常的
gototop
 

回复:如何解决QQ5.COM的恶意篡改行为,小弟恳求哪为能帮我解决问题。(13楼有新回复)

难道没人能帮我么?
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT