查看: 3644|回复: 7
收起左侧

[已解决] hosts被劫持 系统时间被改为2005年

[复制链接]
linuxmmx
发表于 2007-6-15 22:47:46 | 显示全部楼层 |阅读模式
一台电脑,hosts不能修改,卡巴斯基不能正常启动,改为2007年后可以正常启动,但是改为2007年后,系统时间每次重新启动后都被改为2005年。ie浏览器主页被设为:www.hao123.net/?a30?,可以将主页设置为空白页,但是重新启动后,ie浏览器主页依然是:www.hao123.net/?a30?
请高手帮忙会诊一下,谢谢关注!!
下面是SRG的检测报告:
  1. 2007-06-15,20:32:18

  2. System Repair Engineer 2.4.12.806
  3. Smallfrogs (http://www.KZTechs.com)

  4. Windows 2000 Professional Service Pack 4 (Build 2195) - 管理权限用户 - 完整功能

  5. 以下内容被选中:
  6.     所有的启动项目(包括注册表、启动文件夹、服务等)
  7.     浏览器加载项
  8.     正在运行的进程(包括进程模块信息)
  9.     文件关联
  10.     Winsock 提供者
  11.     Autorun.inf
  12.     HOSTS 文件


  13. 启动项目
  14. 注册表
  15. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  16.     <Internat.exe><internat.exe>  [(Verified)Microsoft Windows 2000 Publisher]
  17. [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  18.     <load><>  [N/A]
  19. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  20.     <Synchronization Manager><mobsync.exe /logon>  [(Verified)Microsoft Windows 2000 Publisher]
  21.     <AVP><"C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe">  [Kaspersky Lab]
  22. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  23.     <shell><Explorer.exe>  [(Verified)Microsoft Windows 2000 Publisher]
  24.     <Userinit><C:\WINNT\system32\UserInit.exe,>  [(Verified)Microsoft Windows 2000 Publisher]
  25. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
  26.     <WinlogonNotify: klogon><C:\WINNT\system32\klogon.dll>  [Kaspersky Lab]

  27. ==================================
  28. 启动文件夹
  29. N/A

  30. ==================================
  31. 服务
  32. [241A6771 / 241A6771][Stopped/Auto Start]
  33.   <C:\WINNT\system32\3FFE3A0B.EXE -d><Microsoft Corporation>
  34. [Kaspersky Internet Security 6.0 / AVP][Running/Auto Start]
  35.   <C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe -r><Kaspersky Lab>
  36. [Logical Disk Manager Administrative Service / dmadmin][Stopped/Manual Start]
  37.   <C:\WINNT\System32\dmadmin.exe /com><VERITAS Software Corp.>
  38. [Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
  39.   <C:\WINNT\system32\rundll32.exe windhcp.ocx,input><Microsoft Corporation>
  40. [Portable Media Serial Number Service / WmdmPmSN][Stopped/Manual Start]
  41.   <C:\WINNT\System32\svchost.exe -k netsvcs-->C:\WINNT\system32\mspmsnsv.dll><Microsoft Corporation>

  42. ==================================
  43. 驱动程序
  44. N/A

  45. ==================================
  46. 浏览器加载项
  47. [网页]
  48.   {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} <C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll, Kaspersky Lab>
  49. [Shockwave Flash Object]
  50.   {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINNT\system32\Macromed\Flash\Flash9c.ocx, Adobe Systems, Inc.>
  51. [使用迅雷下载]
  52.   <C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm, N/A>
  53. [使用迅雷下载全部链接]
  54.   <C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm, N/A>
  55. [添加到反]
  56.   <C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm, N/A>

  57. ==================================
  58. 正在运行的进程
  59. [PID: 180][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.00.2195.6601]
  60. [PID: 208][\??\C:\WINNT\system32\csrss.exe]  [Microsoft Corporation, 5.00.2195.6601]
  61. [PID: 228][\??\C:\WINNT\system32\winlogon.exe]  [Microsoft Corporation, 5.00.2195.6898]
  62.     [C:\WINNT\system32\wdmaud.drv]  [Microsoft Corporation, 5.00.2195.6673]
  63.     [C:\WINNT\system32\klogon.dll]  [Kaspersky Lab, 6.0.1.411]
  64.     [C:\WINNT\system32\UNISPIM5.IME]  [北京紫光华宇软件股份有限公司, 5.0.0.5091]
  65.     [C:\WINNT\system32\msacm32.drv]  [Microsoft Corporation, 5.00.2134.1]
  66.     [C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\adialhk.dll]  [Kaspersky Lab, 6.0.1.411]
  67. [PID: 256][C:\WINNT\system32\services.exe]  [Microsoft Corporation, 5.00.2195.6700]
  68.     [C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\adialhk.dll]  [Kaspersky Lab, 6.0.1.411]
  69.     [C:\WINNT\system32\dmserver.dll]  [VERITAS Software Corp., 2195.6605.297.3]
  70. [PID: 580][C:\WINNT\Explorer.EXE]  [Microsoft Corporation, 5.00.3700.6690]
  71.     [C:\WINNT\AppPatch\AcLayers.DLL]  [Microsoft Corporation, 5.00.2195.6717]
  72.     [C:\WINNT\system32\UNISPIM5.IME]  [北京紫光华宇软件股份有限公司, 5.0.0.5091]
  73.     [C:\WINNT\system32\gqwprs.dll]  [N/A, ]
  74.     [C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scrchpg.dll]  [Kaspersky Lab, 1.0.6.411]
  75.     [C:\WINNT\system32\MSVCP60.dll]  [Microsoft Corporation, 6.00.8168.0]
  76.     [C:\WINNT\system32\wdmaud.drv]  [Microsoft Corporation, 5.00.2195.6673]
  77.     [C:\WINNT\system32\msacm32.drv]  [Microsoft Corporation, 5.00.2134.1]
  78.     [C:\WINNT\system32\cmdbcs.dll]  [N/A, ]
  79.     [C:\WINNT\system32\msccrt.dll]  [N/A, ]
  80.     [C:\WINNT\system32\msadp32.acm]  [Microsoft Corporation, 5.00.2134.1]
  81.     [C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
  82.     [C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ShellEx.dll]  [Kaspersky Lab, 6.0.1.411]
  83.     [D:\Program Files\Microsoft Office\OFFICE11\msohev.dll]  [Microsoft Corporation, 11.0.5510]
  84.     [C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\adialhk.dll]  [Kaspersky Lab, 6.0.1.411]
  85. [PID: 692][C:\WINNT\system32\internat.exe]  [Microsoft Corporation, 5.00.2920.0000]
  86.     [C:\WINNT\system32\UNISPIM5.IME]  [北京紫光华宇软件股份有限公司, 5.0.0.5091]
  87. [PID: 1412][E:\恶意软件工具\sreng2\SREng.EXE]  [Smallfrogs Studio, 2.4.12.806]
  88.     [C:\WINNT\system32\windhcp.ocx]  [N/A, ]
  89.     [C:\WINNT\system32\UNISPIM5.IME]  [北京紫光华宇软件股份有限公司, 5.0.0.5091]
  90.     [C:\WINNT\system32\msccrt.dll]  [N/A, ]
  91.     [C:\WINNT\system32\cmdbcs.dll]  [N/A, ]

  92. ==================================
  93. 文件关联
  94. .TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
  95. .EXE  OK. ["%1" %*]
  96. .COM  OK. ["%1" %*]
  97. .PIF  OK. ["%1" %*]
  98. .REG  OK. [regedit.exe "%1"]
  99. .BAT  OK. ["%1" %*]
  100. .SCR  OK. ["%1" /S]
  101. .CHM  OK. ["C:\WINNT\hh.exe" %1]
  102. .HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
  103. .INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
  104. .INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
  105. .VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
  106. .JS   OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
  107. .LNK  OK. [{00021401-0000-0000-C000-000000000046}]

  108. ==================================
  109. Winsock 提供者
  110. N/A

  111. ==================================
  112. Autorun.inf
  113. N/A

  114. ==================================
  115. HOSTS 文件
  116. N/A

  117. ==================================
  118. API HOOK
  119. RVA  错误: LoadLibraryA (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0xBEAF1B25)
  120. RVA  错误: LoadLibraryExA (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0xBEAF1D67)
  121. RVA  错误: LoadLibraryExW (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0xBEAF1F0B)
  122. RVA  错误: LoadLibraryW (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0xBEAF1C49)
  123. RVA  错误: GetProcAddress (危险等级: 高,  被下面模块所HOOK: Dest Addr: 0xBEAF1E8F)

  124. ==================================
  125. 隐藏进程
  126. N/A

  127. ==================================
复制代码

[ 本帖最后由 linuxmmx 于 2007-6-16 21:45 编辑 ]
Giggs
发表于 2007-6-15 23:33:57 | 显示全部楼层
看这里http://bbs.kafan.cn/viewthread.php?tid=91929&extra=page%3D2
还有,你这个帖子应该发到电脑答疑区的
wangjay1980
发表于 2007-6-16 08:42:54 | 显示全部楼层
C:\WINNT\system32\3FFE3A0B.EXE
C:\WINNT\system32\gqwprs.dll
C:\WINNT\system32\cmdbcs.dll
C:\WINNT\system32\msccrt.dll
C:\WINNT\system32\windhcp.ocx

删除以上文件
linuxmmx
 楼主| 发表于 2007-6-16 09:34:27 | 显示全部楼层

有个问题

3FFE3A0B。exe不是显示stop了吗 ?
还需要删除掉吗?
zhaonimm
发表于 2007-6-16 10:52:44 | 显示全部楼层
删除是必须的 不用管是不是停止了!!!
最好用冰刃强制删除!!
linuxmmx
 楼主| 发表于 2007-6-16 11:17:50 | 显示全部楼层

领教了。
mhj144007
发表于 2007-6-16 20:37:56 | 显示全部楼层
這個IE問題可以推薦首頁綁架剋星HijackThis
linuxmmx
 楼主| 发表于 2007-6-16 21:44:26 | 显示全部楼层

问题解决

用icesword删除不掉,用powerrmv删除并禁止生成上述文件就好了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 15:59 , Processed in 0.136584 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表