【求助】DNS被劫持，救命呀！

luerong

今天突然发现：DNS由原来学校的DNS被强行改为85.255.116.88; 85.255.112.189（这个是备用的在注册表中发现），自己在注册表中全部改回，也没有用，打开firfox 或IE后再看IP设置，还是被强行改为了85.255.116.88。同时，不定期跳出popup.***.net的广告。

上网搜索发现，这一状态出现时别人都有启动项kd***.exe，位于system32下。我的没有搜索到。

另外，表现为360安全卫士无法自动升级。

请帮忙！

luerong

紧急求助！！！！

luerong

没有人知道吗？

luerong

症状：点击浏览器内链接会弹出popup.adv.net这样的广告页面，无论你是在firefox，IE，还是谷歌浏览器。
你的DNS被修改85.255.*.*类型，无法自己填写或是自动获取。
你的启动项内（msconfig可以看到）会有kd***.exe的自动启动项（我的是kdawe.exe）。
安全模式下你找不到kd***.exe文件。
解决：找安装盘，进入系统恢复模式下，del kdawe.exe 。
到安全模式下，删除注册表内所有包还kdawe的键值。
重启，进系统就好了。

这是google到的，可是，无论如何搜索，我也找不到kd*.exe

大家帮忙想想办法。

nova2000

直接恢复系统吧．

luerong

不能这样恢复系统呀
要装太多的软件，大家帮忙。

这个可恶的DNS劫持，不知其exe文件的文件名大概是什么样的，应该在system32下面，可惜，msconfig看看都是安全的启动项。

luerong

问问高手，DNS劫持会不会在路由器水平？

我的路由是有线的，TPlink

手动指定了DNS

刚才看了WAN设置，DNS没有被修改。

是不是要恢复路由到工厂设置？

malcolm0278

用360专杀工具杀后，再装ARP防火墙

luerong

呵呵，没用呀，怎么办？

luerong

有人在吗？还是没办法解决。

Drifter

用木马猎手过一下就可以了.

luerong

呵呵，可恶的西伯利亚渔夫变种
终于自己解决了。

共享一下。

冰刃，没有发现异常。
任何杀毒软件与查木马软件都无法查杀。
自动屏蔽360的升级。
安全模式下还加载。

呵呵，驱动级。

NND，KsBinSword，终于发现msqpdxmqltoiqh.sys异动。

启动早于杀毒软件。

咋办？winpe光盘启动，在system32\drivers下面找到msqpdxmqltoiqh.sys，删除之。

重启，修改DNS，终于，NND，改回来了。该死的弹窗也没有了。

avast!扫描，system32下面，同名的dll，删除。

regedit 删除相应的注册表项，世界清静了，我也上床睡觉了。

附上病毒样本，感兴趣的兄弟，玩玩。

修改文件名为msqpdxmqltoiqh.sys，放回system32\drivers，然后,嘿嘿！！！！