收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 原创工具区 hosts被劫持 系统时间被改为2005年
返回列表 发新帖
查看: 3559|回复: 7
收起左侧

[已解决] hosts被劫持 系统时间被改为2005年

[复制链接]
linuxmmx
发表于 2007-6-15 22:47:46 | 显示全部楼层 |阅读模式
一台电脑,hosts不能修改,卡巴斯基不能正常启动,改为2007年后可以正常启动,但是改为2007年后,系统时间每次重新启动后都被改为2005年。ie浏览器主页被设为:www.hao123.net/?a30?,可以将主页设置为空白页,但是重新启动后,ie浏览器主页依然是:www.hao123.net/?a30?
请高手帮忙会诊一下,谢谢关注!!
下面是SRG的检测报告:
  1. 2007-06-15,20:32:18

  3. System Repair Engineer 2.4.12.806
  4. Smallfrogs (http://www.KZTechs.com)

  6. Windows 2000 Professional Service Pack 4 (Build 2195) - 管理权限用户 - 完整功能

  8. 以下内容被选中:
  9.     所有的启动项目(包括注册表、启动文件夹、服务等)
  10.     浏览器加载项
  11.     正在运行的进程(包括进程模块信息)
  12.     文件关联
  13.     Winsock 提供者
  14.     Autorun.inf
  15.     HOSTS 文件


  18. 启动项目
  19. 注册表
  20. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  21.     <Internat.exe><internat.exe>  [(Verified)Microsoft Windows 2000 Publisher]
  22. [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  23.     <load><>  [N/A]
  24. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  25.     <Synchronization Manager><mobsync.exe /logon>  [(Verified)Microsoft Windows 2000 Publisher]
  26.     <AVP><"C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe">  [Kaspersky Lab]
  27. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  28.     <shell><Explorer.exe>  [(Verified)Microsoft Windows 2000 Publisher]
  29.     <Userinit><C:\WINNT\system32\UserInit.exe,>  [(Verified)Microsoft Windows 2000 Publisher]
  30. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
  31.     <WinlogonNotify: klogon><C:\WINNT\system32\klogon.dll>  [Kaspersky Lab]

  33. ==================================
  34. 启动文件夹
  35. N/A

  37. ==================================
  38. 服务
  39. [241A6771 / 241A6771][Stopped/Auto Start]
  40.   <C:\WINNT\system32\3FFE3A0B.EXE -d><Microsoft Corporation>
  41. [Kaspersky Internet Security 6.0 / AVP][Running/Auto Start]
  42.   <C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe -r><Kaspersky Lab>
  43. [Logical Disk Manager Administrative Service / dmadmin][Stopped/Manual Start]
  44.   <C:\WINNT\System32\dmadmin.exe /com><VERITAS Software Corp.>
  45. [Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
  46.   <C:\WINNT\system32\rundll32.exe windhcp.ocx,input><Microsoft Corporation>
  47. [Portable Media Serial Number Service / WmdmPmSN][Stopped/Manual Start]
  48.   <C:\WINNT\System32\svchost.exe -k netsvcs-->C:\WINNT\system32\mspmsnsv.dll><Microsoft Corporation>

  50. ==================================
  51. 驱动程序
  52. N/A

  54. ==================================
  55. 浏览器加载项
  56. [网页]
  57.   {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} <C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll, Kaspersky Lab>
  58. [Shockwave Flash Object]
  59.   {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINNT\system32\Macromed\Flash\Flash9c.ocx, Adobe Systems, Inc.>
  60. [使用迅雷下载]
  61.   <C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm, N/A>
  62. [使用迅雷下载全部链接]
  63.   <C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm, N/A>
  64. [添加到反]
  65.   <C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm, N/A>

  67. ==================================
  68. 正在运行的进程
  69. [PID: 180][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.00.2195.6601]
  70. [PID: 208][\??\C:\WINNT\system32\csrss.exe]  [Microsoft Corporation, 5.00.2195.6601]
  71. [PID: 228][\??\C:\WINNT\system32\winlogon.exe]  [Microsoft Corporation, 5.00.2195.6898]
  72.     [C:\WINNT\system32\wdmaud.drv]  [Microsoft Corporation, 5.00.2195.6673]
  73.     [C:\WINNT\system32\klogon.dll]  [Kaspersky Lab, 6.0.1.411]
  74.     [C:\WINNT\system32\UNISPIM5.IME]  [北京紫光华宇软件股份有限公司, 5.0.0.5091]
  75.     [C:\WINNT\system32\msacm32.drv]  [Microsoft Corporation, 5.00.2134.1]
  76.     [C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\adialhk.dll]  [Kaspersky Lab, 6.0.1.411]
  77. [PID: 256][C:\WINNT\system32\services.exe]  [Microsoft Corporation, 5.00.2195.6700]
  78.     [C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\adialhk.dll]  [Kaspersky Lab, 6.0.1.411]
  79.     [C:\WINNT\system32\dmserver.dll]  [VERITAS Software Corp., 2195.6605.297.3]
  80. [PID: 580][C:\WINNT\Explorer.EXE]  [Microsoft Corporation, 5.00.3700.6690]
  81.     [C:\WINNT\AppPatch\AcLayers.DLL]  [Microsoft Corporation, 5.00.2195.6717]
  82.     [C:\WINNT\system32\UNISPIM5.IME]  [北京紫光华宇软件股份有限公司, 5.0.0.5091]
  83.     [C:\WINNT\system32\gqwprs.dll]  [N/A, ]
  84.     [C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scrchpg.dll]  [Kaspersky Lab, 1.0.6.411]
  85.     [C:\WINNT\system32\MSVCP60.dll]  [Microsoft Corporation, 6.00.8168.0]
  86.     [C:\WINNT\system32\wdmaud.drv]  [Microsoft Corporation, 5.00.2195.6673]
  87.     [C:\WINNT\system32\msacm32.drv]  [Microsoft Corporation, 5.00.2134.1]
  88.     [C:\WINNT\system32\cmdbcs.dll]  [N/A, ]
  89.     [C:\WINNT\system32\msccrt.dll]  [N/A, ]
  90.     [C:\WINNT\system32\msadp32.acm]  [Microsoft Corporation, 5.00.2134.1]
  91.     [C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
  92.     [C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ShellEx.dll]  [Kaspersky Lab, 6.0.1.411]
  93.     [D:\Program Files\Microsoft Office\OFFICE11\msohev.dll]  [Microsoft Corporation, 11.0.5510]
  94.     [C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\adialhk.dll]  [Kaspersky Lab, 6.0.1.411]
  95. [PID: 692][C:\WINNT\system32\internat.exe]  [Microsoft Corporation, 5.00.2920.0000]
  96.     [C:\WINNT\system32\UNISPIM5.IME]  [北京紫光华宇软件股份有限公司, 5.0.0.5091]
  97. [PID: 1412][E:\恶意软件工具\sreng2\SREng.EXE]  [Smallfrogs Studio, 2.4.12.806]
  98.     [C:\WINNT\system32\windhcp.ocx]  [N/A, ]
  99.     [C:\WINNT\system32\UNISPIM5.IME]  [北京紫光华宇软件股份有限公司, 5.0.0.5091]
  100.     [C:\WINNT\system32\msccrt.dll]  [N/A, ]
  101.     [C:\WINNT\system32\cmdbcs.dll]  [N/A, ]

  103. ==================================
  104. 文件关联
  105. .TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
  106. .EXE  OK. ["%1" %*]
  107. .COM  OK. ["%1" %*]
  108. .PIF  OK. ["%1" %*]
  109. .REG  OK. [regedit.exe "%1"]
  110. .BAT  OK. ["%1" %*]
  111. .SCR  OK. ["%1" /S]
  112. .CHM  OK. ["C:\WINNT\hh.exe" %1]
  113. .HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
  114. .INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
  115. .INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
  116. .VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
  117. .JS   OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
  118. .LNK  OK. [{00021401-0000-0000-C000-000000000046}]

  120. ==================================
  121. Winsock 提供者
  122. N/A

  124. ==================================
  125. Autorun.inf
  126. N/A

  128. ==================================
  129. HOSTS 文件
  130. N/A

  132. ==================================
  133. API HOOK
  134. RVA  错误: LoadLibraryA (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0xBEAF1B25)
  135. RVA  错误: LoadLibraryExA (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0xBEAF1D67)
  136. RVA  错误: LoadLibraryExW (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0xBEAF1F0B)
  137. RVA  错误: LoadLibraryW (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0xBEAF1C49)
  138. RVA  错误: GetProcAddress (危险等级: 高,  被下面模块所HOOK: Dest Addr: 0xBEAF1E8F)

  140. ==================================
  141. 隐藏进程
  142. N/A

  144. ==================================
复制代码

[ 本帖最后由 linuxmmx 于 2007-6-16 21:45 编辑 ]
回复

举报

Giggs
发表于 2007-6-15 23:33:57 | 显示全部楼层
看这里http://bbs.kafan.cn/viewthread.php?tid=91929&extra=page%3D2
还有,你这个帖子应该发到电脑答疑区的
回复

举报

wangjay1980
发表于 2007-6-16 08:42:54 | 显示全部楼层
C:\WINNT\system32\3FFE3A0B.EXE
C:\WINNT\system32\gqwprs.dll
C:\WINNT\system32\cmdbcs.dll
C:\WINNT\system32\msccrt.dll
C:\WINNT\system32\windhcp.ocx

删除以上文件
回复

举报

linuxmmx
 楼主| 发表于 2007-6-16 09:34:27 | 显示全部楼层

有个问题

3FFE3A0B。exe不是显示stop了吗 ?
还需要删除掉吗?
回复

举报

zhaonimm
发表于 2007-6-16 10:52:44 | 显示全部楼层
删除是必须的 不用管是不是停止了!!!
最好用冰刃强制删除!!
回复

举报

linuxmmx
 楼主| 发表于 2007-6-16 11:17:50 | 显示全部楼层

领教了。
回复

举报

mhj144007
发表于 2007-6-16 20:37:56 | 显示全部楼层
這個IE問題可以推薦首頁綁架剋星HijackThis
回复

举报

linuxmmx
 楼主| 发表于 2007-6-16 21:44:26 | 显示全部楼层

问题解决

用icesword删除不掉,用powerrmv删除并禁止生成上述文件就好了。
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-23 16:25 , Processed in 0.130872 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表