請幫助我 謝謝"首頁被綁架"被 http://www.qq5.com/?91綁架

Home Home
引用 | 編輯 hl1015ya
2010-08-26 01:09
樓主
推文 x0
     表情 我的首頁...被綁架了...被這個網站" http://www.qq5.com/?91"綁走了表情
猜測是昨天瀏覽大陸的網站 下載連自己都不懂的檔案
被汙染了表情....

一開始有嘗試過更改登錄編輯
可是沒用表情

再來我有用板上推薦的程式"Comodo"
因為不太知道到底怎麼用
外加亂按一通...  也沒有用....表情

我看過板上有人也有提過類似的問題
無奈小妹不是很懂電腦..怎麼拯救都沒辦法表情

最後  我去下載了" EFix"
 
電腦是使用"windows 7"
是內建顯示器
用小紅傘..防毒..

貼上我用"EFix"弄出來的記事本檔案@@
希望有能力的大大能幫助我...Q.Q

EFix的LOG.TXT檔下載

麻煩懂得電腦的各位幫忙
先感謝>"<表情(拜託><)

獻花 x0
引用 | 編輯 LostDream
2010-08-26 04:36
1樓
  
您確定系統是Win7?我這邊看到的資料是「Windows Vista (TM) Ultimate - Administrator」唷…
不過LOG整體看起來有點奇怪,請在以下條件下重新掃描一次LOG文件。
1.重新下載EFix主程式
2.關閉防毒軟件

之後將LOG文件上傳至指定空間,等待分析:http://star000star.myweb.hinet.net/2009/sendspace.htm

獻花 x0
引用 | 編輯 hl1015ya
2010-08-26 10:02
2樓
  
 感謝大大這麼快回復~~~!!!

先來貼我的log.txt檔  在這裡~(    http://www.sendspace.com/file/b22ywg   )

至於作業程式= 口=
我也不知道= 口=....
為啥是vista的表情...

貼個圖= 口= 
證明我沒眼花= 口=
按這裡檢視圖片,登入論壇可以直接觀看

(有貼上去嗎??@@)

先謝謝大大^ ˇ^

獻花 x0
引用 | 編輯 LostDream
2010-08-28 04:17
3樓
  
請問您是不是有使用什麼「相容精靈」還是「相容性設置」將其設置為Vista呢?
如果有的話請您做取消的動作之後重跑EFix,如果沒有的話就得慢慢手動來了…會很耗時間。

獻花 x0
引用 | 編輯 hl1015ya
2010-08-28 15:23
4樓
  
我的msn和skype有改相容性
不知道是不是大大說的  但我後來改掉
但是重新開機重新  也重新下載efix
重新跑
但仍然是寫vista...

給大大看一下我重新跑出來的...   http://www.sendspace.com/file/5nzuyg
如果太麻煩的話... 那是否只能走上重灌了...囧

再度感謝..大大>"<

獻花 x0
引用 | 編輯 LostDream
2010-08-29 03:09
5樓
  
您是不會太麻煩啦,是我要想怎尋找出問題會比較麻煩,如果您有耐心的話就慢慢來吧。

一、下載●SREng http://star000star.myweb.hinet.net/2009/sre.ng2.zip

二、執行SREng主程式,左下角選擇「智慧掃描」,不要更動任何設置開始掃描,掃描結束後將Log存檔。

三、下載●SystemLook http://star000star.myweb.hinet.net/2009/SystemLook.zip

四、執行SystemLook主程式,複製以下代碼輸入,按下「Look」,將SystemLook跳出的記事本存檔,並且將其保存好。
複製程式
:Reg
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace] /s
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] /s

:Filefind
*.lnk
*Internet*

五、請問您平常IE開啟的習慣是?左下角快速啟動、桌面IE、或者是開始工具列的IE? ((回答問題

六、再來改前往「C:\Program Files\Internet Explorer」執行IE檢查是否還有被綁架? ((回答問題

七、請問這時IE的工具欄 => 網際網路選項 =>「首頁」部份顯示的是? ((回答問題

八、將SREng、SystemLook兩個LOG壓縮一起上傳上來,SystemLook Log中可能會有些私人訊息,你先自己看看不方便的話用站內信傳遞。

獻花 x0
引用 | 編輯 hl1015ya
2010-08-29 16:35
6樓
  
我程式跑完也壓縮上傳了
也寄信到您的站內信了~
麻煩看看!!!!>"<
謝謝~~^^

獻花 x0
引用 | 編輯 LostDream
2010-08-30 05:34
7樓
  
這樣做一次處理看看後續好了。

一、請準備以下幾款安全工具。
●SREng http://star000star.myweb.hinet.net/2009/sre.ng2.zip
●catchme http://www2.gmer.net/catchme.exe
●修復註冊表 http://sylovanas.myweb.hinet.net/Temp/IEX64.reg

二、開啟SREng=>左邊點選「啟動專案」=>「服務」=>「Win32服務應用程式」=> 找到以下項目。
=>勾選「修改啟動類型」=> 按下「啟動類型」之選單=>選擇「Disabled」=>按下「設置」 提示視窗,按下「是」。

[Kingsoft Antivirus WebShield Service / Kingsoft Antivirus WebShield Service][Running/Auto Start]

三、執行catchme,上方選單選擇「Script」。

四、在空白處貼上以下文字腳本。
複製程式
Files to kill:
C:\ProgramData\wd\KSWebShield.exe
C:\ProgramData\wd\kwsui.dll
C:\ProgramData\wd\kswebshield.dll

五、按下Run,之後應該會跳出視窗,點確認之後回到catchme介面,點選「Restar…」會強制重啟系統。

六、回到Windows後,左邊點選「啟動專案」=>「服務」=>「驅動程式」=> 找到以下項目。
=>勾選「刪除服務」=> 按下「設置」=> 提示視窗,按下「否」<注意選擇否>

[Kingsoft Antivirus WebShield Service / Kingsoft Antivirus WebShield Service][Running/Auto Start]

七、之後滑鼠點對「IEX64.reg」點兩下左鍵,匯入系統中;如果匯入過程出現錯誤視窗,請紀錄起來並且詳細說明。

八、重啟系統,看還有沒有被綁架?如果還有繼續以下步驟。

九、改前往「C:\Program Files\Internet Explorer」執行IE檢查是否還有被綁架?被綁架的網址又是?首頁設置部份顯示又是?

十、重新掃描一份SREng Log文件,並且上傳上來。

獻花 x0
引用 | 編輯 hl1015ya
2010-08-30 16:49
8樓
  
大大
我執行SREng這個程式到按下"設置"
按下去以後沒有出現"是"的視窗
而且一點反應都沒有
給大大看一下

按這裡檢視圖片,登入論壇可以直接觀看
我就不知道接下來該怎麼辦了@@?
要繼續嗎?

謝謝^^

獻花 x0
引用 | 編輯 LostDream
2010-08-30 18:59
9樓
  
你確定你針對的Services是「Kingsoft Antivirus WebShield Service」嗎?
如果是的話那就直接繼續以下步驟,差別在於重開機之後會跳出一次「錯誤訊息」,最終在用SREng刪除一次重啟就沒了。
若還是有奇怪的錯誤訊息不用慌張,上來說明錯誤訊息內容我在教您如何處理。

獻花 x0
引用 | 編輯 hl1015ya
2010-08-30 21:34
10樓
  
大大
SREng的程式跑成功了
但是要按"catchme.exe"這個程式的時候
發現它並沒有跑出程式  反而只有跑出一個黑色視窗
如下

按這裡檢視圖片,登入論壇可以直接觀看

然後就跑出一個記事本檔

已上傳  http://www.sendspace.com/file/y4u4pl
麻煩大大看一下
要跳過嗎?

謝謝^  ^

獻花 x0
引用 | 編輯 LostDream
2010-08-31 02:02
11樓
  
…Orz,Win7不熟真是有夠多問題,雜七雜八的都會出錯。
改這樣處理一次好了,希望EFix不會葛屁。

一、準備以下安全工具。
●SREng http://star000star.myweb.hinet.net/2009/sre.ng2.zip
●Efix http://reinfors.blogspot.com/
●修復註冊表 http://sylovanas.myweb.hinet.net/Temp/IEX64.reg

二、開啟SREng=>左邊點選「啟動專案」=>「服務」=>「Win32服務應用程式」=> 找到以下項目。
=>勾選「修改啟動類型」=> 按下「啟動類型」之選單=>選擇「Disabled」=>按下「設置」 提示視窗,按下「是」。

[Kingsoft Antivirus WebShield Service / Kingsoft Antivirus WebShield Service][Running/Auto Start]


三、重新啟動一次系統,如果第二步驟無法執行此步驟也直接跳過。

四、執行Efix,並且確保網路通順;待EF圖形化介面出來後,點選「自訂腳本」。

五、將以下文字腳本「完整複製」貼到EF空白輸入處,後按下「開始」,EF將全自動運行,請遵守程式指示、不要中斷,除非超過60分鐘。
複製程式
PENDING FILE::
C:\ProgramData\wd\KSWebShield.exe
C:\ProgramData\wd\kwsui.dll
C:\ProgramData\wd\kswebshield.dll

del Driver::
Kingsoft Antivirus WebShield Service

.
六、自動重開之後滑鼠點對「IEX64.reg」點兩下左鍵,匯入系統中;如果匯入過程出現錯誤視窗,請紀錄起來並且詳細說明。

七、重啟系統,看還有沒有被綁架?如果還有繼續以下步驟。

八、改前往「C:\Program Files\Internet Explorer」執行IE檢查是否還有被綁架?被綁架的網址又是?首頁設置部份顯示又是?

九、重新掃描一份SREng Log文件,並且上傳上來。

十、將本次產生的EFix Log文件也上傳上來。

獻花 x1
引用 | 編輯 hl1015ya
2010-08-31 22:56
12樓
  
感謝大大
現在已經會復正常了^^

執行了三個程式以後就都正常了
沒有被綁架了!!

今天下午我用四個防毒程式掃毒
分別是
1.小紅傘Avira Antivir Persona
沒有掃出來
2.ad-aware
也沒掃出毒
3.spybot-search&destroy
也沒掃出毒
4.spyware terminator center 2.7.2.125
這個就有掃出一個毒
 
第四個程式我是設定自動掃到就先隔離
還在掃的過程中
我開ie首頁回復到"google"@@
我就傻眼了

可是後來還是怕是什麼鬼程式讓我的電腦自動恢復..囧
第四個程式掃完我就把掃到的那個毒刪掉了@@
就繼續用大大給我的建議步驟@@

最後也是回復正常
但是我有點害怕到底是我的防毒軟體讓我的首頁變正常
還是他突然莫名其妙就好了((我最怕這點 有人在偷窺我的電腦幫我修好嗎?   囧
還是大大講的方法  讓我的首頁回家了~

最後還是非常感謝大大的幫忙
^^我終於可以自由使用google了

獻花 x0
引用 | 編輯 LostDream
2010-09-01 04:53
13樓
  
照理說前面將Serivece Disable後重啟系統就會禁用了,這時候IE也恢復正常。不過過程中斷斷續續看到霧撒撒…原先想說是Kingsoft出產的安全軟件,又建立了API Hook才搞了一堆卸載措施,看來多疑了。
雖然說在問題處理過程中又使用其他軟件干擾是大忌,不過您運氣好最終結果可以接受就好囉。

獻花 x0
引用 | 編輯 sito
2010-09-11 22:48
14樓
  
我也常去阿6網.又白常綁架.看.之前登入檔不能修改.我都用360掃一下.砍掉使用者.重創一個帳號.就好了
不過看了這篇就就不用砍使用者.也不用備份文件.不錯 .不錯挺快的

獻花 x0