莫名其妙的第三方IE toolbar(seach)工作列

psac · 2004-08-18, 01:55 AM

Q:莫名其妙的第三方IE toolbar(seach)工作列

如上說，不知道怎麼去掉，不想用工具，哪位朋友知道麼
好像是一個什麼棋牌網站強加的……在增加刪除程式裡可以弄掉一部分，剩下的一個兩個刪不掉，可以通過在註冊表搜尋關鍵詞DEL
手動殺行程 ..ctrl+a;t+del..這些東西，我從根本找不到源頭。
這類東西應該不可能不在行程裡面 ..

A:

有著和你一摸一樣的問題。嘗試很多次了，感覺不好刪。
我記得我的是在msn plus的網站上下載時染上的，大家小心...
久練成精....後備有工具..並也更加小心...
也可能安裝軟體也給一起裝上去.....
光移除那個toolbar沒用，過一會兒有個叫lop的程序又會把它加上，更改首頁並在桌面上增加一些網站的建立捷逕。
後台總是有可能以幾個iexpoler程序在執行run。

好心的...有自我提供卸解工具與方法....
一般都有相關的卸載程序的.
比如原來也有一個Search for的toolbar
怎麼弄也不好弄掉,實際上那個網站本身就有卸載程序.
在哪裡安裝的,在哪裡移除就是了!譬如....本來那個toolbar就是與lop.com相關的 .........
然後用lop.com提供的uninstall來卸載就是了.

還有最簡單事....用第三方工具的

首頁移除：http://lop.com/new_uninstall.exe
工作列移除：http://lop.com/toolbar_uninstall.exe
惡性的....現在網上出來的這類東西很多都不在行程裡面，也不在服務裡面載入
比如樓主碰到的這個，應該是用了什麼dll，加到IE的行程裡面了，使用工作管理器根本看不出來的 !也不其路徑

有幾種方法....
第一種是以HijackThis 工具的使用....
1.Add and Remove 裡頭移除
2.HijackThis
/http://www.snapfiles.com/dlnow/dlnow.dll?Inc=No&ID=106738

使用 HijackThis 開啟之後 SCAN 之候選那個不要的 TOOLBAR
然後 FIX Checked.
HijackThis

http://images.webattack.com/screenfiles/hijackthis.gif

HijackThis is a tool, that lists all installed browser add-on, buttons, startup items and allows you to inspect, and optionally remove selected items. The program can create a backup of your original settings and also ignore selected items. Additional features include a simple list of all startup items, default start page, online updates and more. Intended for advanced users
軟體介紹：
首頁綁架剋星 - HijackThis，它能夠將綁架您瀏覽器的程序揪出來！並且移除之！或許您只是瀏覽某個網站、安裝了某個軟體，就發現瀏覽器設定已經被綁架了，一般一般的綁架方式莫過於強制竄改您的瀏覽器首頁設定、搜尋頁設定，現在有了這個工具，可以將所有可疑的程序全抓出來，再讓您判斷哪個程序是肇禍者！把它給殺了！

教學:
　一、檢測並修復系統中的可疑項目

　　不過，只要有了這款名為HijackThis的免費軟體，就相當於請到了一位免費的家庭醫生，這位醫生會盡心盡責地找出啟動中所有可疑的項目，包括自啟動程序和共享軟體中的廣告傳送程序，如果你的IE預設設定被更改（例如主頁、搜尋頁、右鍵表單），那麼這裡同樣會顯示出來。

　　HijackThis不需要安裝，解壓縮後即可使用。

點擊「Scan」按鈕，它會自動對系統進行全方位的安全檢測，很快就會將系統中所有可疑的項目列出來，每個可疑項目的前面都有一個編號，這些編號代表了不同的類別，選某個項目然後點擊下面的「Info on selected item」按鈕可以檢視到更詳細的資訊。

有惡意行程正在執行的，請先終止其行程
（關閉所有視窗，同時按下CTRL+ALT+DELETE，在開啟的視窗中選要終止的行程，然後按下「結束工作」或者「結束行程」，最後關閉該視窗。）

選你認為確實屬於可疑的項目，然後點擊「Fix checked」按鈕進行修復即可。

　　如果重新啟動系統後出現錯誤，可以點擊「Config」按鈕，切換到「Backups」標籤頁，在這裡選項「Restore」按鈕進行恢復；假如一切正常，那麼就可以選項「Delete」或「Delete all」將此項目徹底清除。

　　二、如何識別有害資訊

　　剛才提到，每個可疑項目的前面都有一個編號，事實上這些編號分別代表了不同的含義，如果你希望檢視相應的說明資訊，請點擊主視窗中的「Info」按鈕，此時會開啟一個說明視窗，向下拖曳右側的捲軸，找到「The different sections of hijacking possibilties have been separated into these groups:」這一段，

http://www.it.com.cn/f/edu/047/13/fenfeie1.gif

如圖所顯示，這裡分別介紹了各個編號的含義，用滑鼠選相應行，然後點擊下面的「More info on this item」按鈕，此時會彈出一個對話視窗顯示更詳細的資訊。

http://www.pconline.com.cn/pcedu/tuijian/network/other/0406/pic/20040614-05.jpg

圖 info視窗

　　為了方便起見，我們可以通過「Save log」按鈕將檢測到的可疑項目資訊匯出為日誌文件，這樣分析起來可能更為方便。這裡筆者結合可疑項目列表，介紹如下：

　　F0, F1：通過INI文件自動載入的程序

　　F0 - system.ini: Shell=Explorer.exe Openme.exe

　　F1 - win.ini: run=hpfsched

　　雖然都代表自動載入程序（system.ini和win.ini文件中的啟動項目），但兩者的作用卻不同，F0項目始終是有害的，因此毫無疑問都應該選項修復；至於F1項目，則通常是一些比較陳舊的應用程式文件，必須尋找更多的資訊才能進一步驗證。

　　O1：主機文件重轉發IP

　　O1 - Hosts: 216.177.73.139 auto.search.msn.com

　　這裡所說的重轉發IP是什麼意思呢？筆者可以舉一個極簡單的例子來加以說明：當我們在IE位址欄中按鍵輸入www.sohu.com，原來應該連接到搜狐頁面，卻被重轉發IP到另一個網站，這就是重轉發IP錯誤。

　　一般情況下，遇到這種錯誤，我們都應該使用HijackThis進行修復，除非你是故意將某些行放到HOST文件中，例如目前比較普遍的重置HOST文件以遮閉新浪點點通等常用IE插件。

　　O3：IE工作列

　　O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FLASHGET\

　　fgiebar.dll

　　如果你的IE安裝了某些工作列，那麼就會出現編號為03的項目，當然我們也並不一定就可以斷定這些項目是有害的，可以根據前面的方法通過類ID進行尋找，同樣「L」代表安全無害，「X」代表間諜軟體，假如這個項目在列表中無法找到，而且它的檔案名是由一些隨機的字母組成而且文件存在於APPLICATION DATA目錄下，那麼基本上可以斷定是有害的，將其直接移除完事。

　　O4：通過註冊表項自啟動的程序

　　O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime

　　這些都是系統中的自啟動程序，需要綜合多種因素進行判斷，不能簡單處理。

　　O5：Internet選項在控制台列表中不可見

　　O5 - control.ini: inetcpl.cpl=no

　　這種情況表示在控制台中螢幕IE選項的圖示出現，除非你是特意將其隱藏，否則應該進行修復。

　　07：註冊表訪問被管理員所限制

　　如果你已經是管理員級用戶，那麼毫無疑問應該選項修復。

參考另一篇使用..
http://it.sohu.com/20040809/n221440934.shtml

第二種工具...
ToolbarCop
這個也不錯，80kb，freeware。功能沒有 HijackThis 那麼多，但用起來更簡單。
http://www.mvps.org/sramehttp://www....toolbarcop.htm

http://www.mvps.org/sramesh2k/images/toolbarcop.JPG

BHO:BROWSER HELPER OBJECTS

CLSID Comparison at:
For BHOs : http://www.spywareinfo.com/bhos
For Toolbars: http://www.spywareinfo.com/toolbars

再加一個，如果你發現主頁經常被改，而又找不到可疑行程的話，試試附件的這個工具，Hijackthis作者的又一作品 cwshredder

參考：
http://www.spywareinfo.com/~merijn/downloads.html

還有這些都是..........
又或者在Regedit裡面被作為services載入了，仔細看看都會有
這類東西不可能不在行程裡面 ...開機就run載入

http://searchx.cc/
下面有一個紅色的uninstall software 連接,點一下就移除了.

Q:
ie主頁被修改，各種工具修復無效
被改成下面的位址
http://s5.th.msie.cc/index.php

我用spant，regfix等等工具試過完全沒有用，即使有用過一會就自動恢復了，鬱悶，有沒有辦法？？
查看行程..無效，沒有發現可疑工作

A:
View -> Select Columns

勾選 Command Line

再看看，肯定有可疑工作在

Q:

nvsvc32.exe

這是什麼？
應該是我自己n卡的驅動
------------------------------
IMJPMIG8.1 …… "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
PHIME2002ASync …… D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A …… D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
NvCplDaemon …… RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
ccApp …… "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"
nwiz …… nwiz.exe /install
NvMediaCenter …… RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

好像沒有這個,是不是這個有問題?

另，用RegFix的「基本功能->匯出啟動組內容」，看看有沒這個

Q:
沒問題，偶也用的n卡，也有這文件

那可能是別的原因了，比如像以前的拼音加加，不註冊的話就會修改IE的主頁

另外，用HiJackThis再診斷一下：
http://www.spychecker.com/program/hijackthis.html

A:

如下資訊,實在看不出來,還請指點,謝謝~!
Logfile of HijackThis v1.97.7
Scan saved at 14:58:24, on 2004-4-17
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\WINDOWS\System32\ctfmon.exe
E:\net\MyIE2\MyIE.exe
D:\Program Files\Common Files\Symantec Shared\ccProxy.exe
D:\WINDOWS\System32\nvsvc32.exe
E:\net\ffxp\FlashFXP.exe
D:\WINDOWS\system32\ntvdm.exe
D:\MU\mu\QMacro.exe
D:\MU\mu2.exe
D:\MU\winmu1.exe
E:\downloads\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - D:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: ????? - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - D:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Startup: ~
O8 - Extra context menu item: 使用網際快車下載 - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用網際快車下載全部連接 - D:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {2EA6D939-4445-43F1-A12B-8CB3DDA8B855} (V2 Control) - http://202.96.140.88/vchat/v27.cab
O16 - DPF: {59CCB4A0-727D-11CF-AC36-00AA00A47DD2} (Timer Object) - http://vod.czinfo.net/tools/ietimer.cab
O16 - DPF: {6F101641-AFFE-4E1F-9BF1-E8976A646549} (AlbumP Control) - http://album.tom.com/object/AlbumPProj1.ocx
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perb...feControls.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...020.1572685185
O16 - DPF: {BA0F088C-72C1-475A-92F8-42391DEF6961} (BlueskyAudio Class) - http://202.96.140.88/vchat/blueskyvoice.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAF71051-DAA6-4F7A-B44C-2938F481B60A}: NameServer = 202.102.3.141 202.102.15.162

Q:

工作沒有問題

其他啟動組項目呢？
我的RegFix匯出的內容不止這些啊

不排除病毒使用了DLL嵌入技術（使用這個技術的病毒啟動組檢視和工作檢視是無效的）

A:

regfix就是這些,其他的都是空的,所以我沒帖.

Ps:朋友的,你讓我用3721?那不更下一層地獄...

Q:

try this,hijackthis的作者又一作品,一般system下有system.css，這個一定要刪，註冊表裡也得弄弄，麻煩，用這傢伙好，快，省事
CWShredder
http://www.spywareinfo.com/~merijn/files/CWShredder.exe
軟體介紹

來自開發者：CoolWebSearch程序其實是一種病毒，它包括aka CoolWwwSearch, YouFindAll, White-Pages.ws等更多名稱。本工具就是為去除它而設計的，小巧實用！

前為止沒有發現再次修改的跡象,應該是完全修復了,超強工具,強烈推薦.

A:
試過了,目前還沒有問題,可能修復了,好工具啊,收藏

等下看看會不會自己恢復.

如果不會就太好了,超強工具

========================================
Q:
今天下午幫人修復主頁，算是開了眼界
先在system32下放個mxconfig.exe——當然是假的，正常的不在這個資料夾下，連hosts文件也被修改花了我半個鐘頭才發現

A:

碰過一次，不過很容易發現，執行msconfig後跳不出界面，就知道有問題，查，果然msconfig被替換成另一個程序。
唉，現在的網站太變態了。

================================
另一範例:

Q:
ie主頁被修改，各種工具修復無效。
被改成下面的位址
http://vod.aogo.net/

我用spant和其它工具試過完全沒有用，就是移除註冊表項，一重新整理又有了，鬱悶，有沒有辦
法？？又用RegFix1210及CWShredder這兩個，還是沒有修復。不會真的要我重新裝吧，那會裝死人的，東西太多了

A:

絕對不是單獨的註冊表問題

匯出你的啟動組看看

Q:
=============== 2004-08-22,20:37:26 =============
[RegFix 1.2.1.0 Final Build 20040408]
Windows 2000 Server Service Pack 4

謝謝使用 RegFix 的功能之一：輸出啟動組的內容

下面是你電腦上啟動組的結果（需要注意的是：本
版本的 RegFix 僅支持註冊表裡面的啟動組，開始——
程序——啟動裡面的內容暫時不被支持。一些配置文件
（如：Win.ini、System.ini）裡面的載入項內容也暫時
不被支持。
後續版本的 RegFix 將逐漸解決這些問題。
Smallfrogs
2004-4
-------------------------------------------------
------------------------------------------------------------
1：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
------------------------------------------------------------
NvMediaCenter …… RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
ctfmon.exe …… ctfmon.exe
------------------------------------------------------------
2：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
------------------------------------------------------------
------------------------------------------------------------
3：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
------------------------------------------------------------
------------------------------------------------------------
4：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
------------------------------------------------------------
------------------------------------------------------------
5：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
------------------------------------------------------------
------------------------------------------------------------
6：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 鍵值名稱:load
------------------------------------------------------------
load ……
------------------------------------------------------------
7：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 鍵值名稱:run
------------------------------------------------------------
------------------------------------------------------------
8：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 鍵值名稱:Shell
------------------------------------------------------------
------------------------------------------------------------
9：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
------------------------------------------------------------
------------------------------------------------------------
10：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
------------------------------------------------------------
Smapp …… C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
NvCplDaemon …… RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
nwiz …… nwiz.exe /install
KvMonXP …… C:\KV2004\KVMonXP.kxp /auto
SKYNET Personal FireWall …… C:\Program Files\SkyNet\FireWall\PFWmain.exe
Microsoft Update …… C:\WINNT\system32\webupdate.exe
------------------------------------------------------------
11：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
------------------------------------------------------------
------------------------------------------------------------
12：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
------------------------------------------------------------
------------------------------------------------------------
13：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService
------------------------------------------------------------
------------------------------------------------------------
14：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServiceOnce
------------------------------------------------------------
------------------------------------------------------------
15：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
------------------------------------------------------------
------------------------------------------------------------
16：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 鍵值名稱:Shell
------------------------------------------------------------
Shell …… Explorer.exe
------------------------------------------------------------
17：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 鍵值名稱:Userinit
------------------------------------------------------------
Userinit …… C:\WINNT\system32\userinit.exe,

又用HijackThis這個也沒有修復好。暈呀。

A:

HijackThis對這個網站7sese.com也沒用，我還是用KV2004修復的IE，不知道KV2004能否解決你的問題。
另法是用anti－spy工具
其實這東西也不必用什麼軟體，仔細分析一下註冊表和啟動項、服務中有無異常
各個硬碟分區下面有沒有autorun.inf之類的文件，手動移除就可以。

Q:

就是沒有這些東西才難搞。要是有的話早搞定了。

A:

10：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Update …… C:\WINNT\system32\webupdate.exe

沒有這個
移除這個

Q:謝樓上各位，機器搞好了，做事去了，各位繼續。

哇蛙.............
系統內可能還有一些東西沒有清除了，

KV提示，webupdate.exe要作為啟動程序。被我停用。不知是那個東西在做怪

A:
呵呵，看來樓主還是沒有徹底清除呀，先在RUN裡移除了，然後再到資料夾裡把這個文件移除掉，然後再試著把註冊表搜尋一遍看看。

系統內可能還有一些東西沒有清除了，

KV提示，webupdate.exe要作為啟動程序。被我停用。不知是那個東西在做怪。

Q:
註冊表內是移除了，那個文件我沒有移除
現在的問題是什麼程序會把這個加到RUN內的？？？

A:

這個不錯用!

Startup Sentry
http://www.digitalwidget.net/

下面這些情況足以讓人精神緊張了：系統的執行速度突然下降，突然出現很多無法解釋的Internet資料傳輸，系統托盤中突然出現了一些不認識的程序... 出什麼事情了? 病毒? 木馬?
　　Startup Sentry 就是解決方案，它可以檢查所有的隨系統一起啟動的程序，當新增加這樣的程序的時候，它會發出警報。同時使用這個程序可以防止一些木馬程序或者廣告程序進入你的系統。
gpedit.msc 也看些端妮!!

k2hungss · 2004-08-18, 11:18 AM

遇過如此經驗
感謝提供教學

2004-08-18, 01:55 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	莫名其妙的第三方IE toolbar(seach)工作列 Q:莫名其妙的第三方IE toolbar(seach)工作列如上說，不知道怎麼去掉，不想用工具，哪位朋友知道麼好像是一個什麼棋牌網站強加的……在增加刪除程式裡可以弄掉一部分，剩下的一個兩個刪不掉，可以通過在註冊表搜尋關鍵詞DEL 手動殺行程 ..ctrl+a;t+del..這些東西，我從根本找不到源頭。這類東西應該不可能不在行程裡面 .. A: 有著和你一摸一樣的問題。嘗試很多次了，感覺不好刪。我記得我的是在msn plus的網站上下載時染上的，大家小心... 久練成精....後備有工具..並也更加小心... 也可能安裝軟體也給一起裝上去..... 光移除那個toolbar沒用，過一會兒有個叫lop的程序又會把它加上，更改首頁並在桌面上增加一些網站的建立捷逕。後台總是有可能以幾個iexpoler程序在執行run。好心的...有自我提供卸解工具與方法.... 一般都有相關的卸載程序的. 比如原來也有一個Search for的toolbar 怎麼弄也不好弄掉,實際上那個網站本身就有卸載程序. 在哪裡安裝的,在哪裡移除就是了!譬如....本來那個toolbar就是與lop.com相關的 ......... 然後用lop.com提供的uninstall來卸載就是了. 還有最簡單事....用第三方工具的首頁移除：http://lop.com/new_uninstall.exe 工作列移除：http://lop.com/toolbar_uninstall.exe 惡性的....現在網上出來的這類東西很多都不在行程裡面，也不在服務裡面載入比如樓主碰到的這個，應該是用了什麼dll，加到IE的行程裡面了，使用工作管理器根本看不出來的 !也不其路徑有幾種方法.... 第一種是以HijackThis 工具的使用.... 1.Add and Remove 裡頭移除 2.HijackThis /http://www.snapfiles.com/dlnow/dlnow.dll?Inc=No&ID=106738 使用 HijackThis 開啟之後 SCAN 之候選那個不要的 TOOLBAR 然後 FIX Checked. HijackThis HijackThis is a tool, that lists all installed browser add-on, buttons, startup items and allows you to inspect, and optionally remove selected items. The program can create a backup of your original settings and also ignore selected items. Additional features include a simple list of all startup items, default start page, online updates and more. Intended for advanced users 軟體介紹：首頁綁架剋星 - HijackThis，它能夠將綁架您瀏覽器的程序揪出來！並且移除之！或許您只是瀏覽某個網站、安裝了某個軟體，就發現瀏覽器設定已經被綁架了，一般一般的綁架方式莫過於強制竄改您的瀏覽器首頁設定、搜尋頁設定，現在有了這個工具，可以將所有可疑的程序全抓出來，再讓您判斷哪個程序是肇禍者！把它給殺了！教學: 　一、檢測並修復系統中的可疑項目　　不過，只要有了這款名為HijackThis的免費軟體，就相當於請到了一位免費的家庭醫生，這位醫生會盡心盡責地找出啟動中所有可疑的項目，包括自啟動程序和共享軟體中的廣告傳送程序，如果你的IE預設設定被更改（例如主頁、搜尋頁、右鍵表單），那麼這裡同樣會顯示出來。　　HijackThis不需要安裝，解壓縮後即可使用。點擊「Scan」按鈕，它會自動對系統進行全方位的安全檢測，很快就會將系統中所有可疑的項目列出來，每個可疑項目的前面都有一個編號，這些編號代表了不同的類別，選某個項目然後點擊下面的「Info on selected item」按鈕可以檢視到更詳細的資訊。有惡意行程正在執行的，請先終止其行程（關閉所有視窗，同時按下CTRL+ALT+DELETE，在開啟的視窗中選要終止的行程，然後按下「結束工作」或者「結束行程」，最後關閉該視窗。）選你認為確實屬於可疑的項目，然後點擊「Fix checked」按鈕進行修復即可。　　如果重新啟動系統後出現錯誤，可以點擊「Config」按鈕，切換到「Backups」標籤頁，在這裡選項「Restore」按鈕進行恢復；假如一切正常，那麼就可以選項「Delete」或「Delete all」將此項目徹底清除。　　二、如何識別有害資訊　　剛才提到，每個可疑項目的前面都有一個編號，事實上這些編號分別代表了不同的含義，如果你希望檢視相應的說明資訊，請點擊主視窗中的「Info」按鈕，此時會開啟一個說明視窗，向下拖曳右側的捲軸，找到「The different sections of hijacking possibilties have been separated into these groups:」這一段，如圖所顯示，這裡分別介紹了各個編號的含義，用滑鼠選相應行，然後點擊下面的「More info on this item」按鈕，此時會彈出一個對話視窗顯示更詳細的資訊。圖 info視窗　　為了方便起見，我們可以通過「Save log」按鈕將檢測到的可疑項目資訊匯出為日誌文件，這樣分析起來可能更為方便。這裡筆者結合可疑項目列表，介紹如下：　　F0, F1：通過INI文件自動載入的程序　　F0 - system.ini: Shell=Explorer.exe Openme.exe 　　F1 - win.ini: run=hpfsched 　　雖然都代表自動載入程序（system.ini和win.ini文件中的啟動項目），但兩者的作用卻不同，F0項目始終是有害的，因此毫無疑問都應該選項修復；至於F1項目，則通常是一些比較陳舊的應用程式文件，必須尋找更多的資訊才能進一步驗證。　　O1：主機文件重轉發IP 　　O1 - Hosts: 216.177.73.139 auto.search.msn.com 　　這裡所說的重轉發IP是什麼意思呢？筆者可以舉一個極簡單的例子來加以說明：當我們在IE位址欄中按鍵輸入www.sohu.com，原來應該連接到搜狐頁面，卻被重轉發IP到另一個網站，這就是重轉發IP錯誤。　　一般情況下，遇到這種錯誤，我們都應該使用HijackThis進行修復，除非你是故意將某些行放到HOST文件中，例如目前比較普遍的重置HOST文件以遮閉新浪點點通等常用IE插件。　　O3：IE工作列　　O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FLASHGET\ 　　fgiebar.dll 　　如果你的IE安裝了某些工作列，那麼就會出現編號為03的項目，當然我們也並不一定就可以斷定這些項目是有害的，可以根據前面的方法通過類ID進行尋找，同樣「L」代表安全無害，「X」代表間諜軟體，假如這個項目在列表中無法找到，而且它的檔案名是由一些隨機的字母組成而且文件存在於APPLICATION DATA目錄下，那麼基本上可以斷定是有害的，將其直接移除完事。　　O4：通過註冊表項自啟動的程序　　O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime 　　這些都是系統中的自啟動程序，需要綜合多種因素進行判斷，不能簡單處理。　　O5：Internet選項在控制台列表中不可見　　O5 - control.ini: inetcpl.cpl=no 　　這種情況表示在控制台中螢幕IE選項的圖示出現，除非你是特意將其隱藏，否則應該進行修復。　　07：註冊表訪問被管理員所限制　　如果你已經是管理員級用戶，那麼毫無疑問應該選項修復。參考另一篇使用.. http://it.sohu.com/20040809/n221440934.shtml 第二種工具... ToolbarCop 這個也不錯，80kb，freeware。功能沒有 HijackThis 那麼多，但用起來更簡單。 http://www.mvps.org/sramehttp://www....toolbarcop.htm BHO:BROWSER HELPER OBJECTS CLSID Comparison at: For BHOs : http://www.spywareinfo.com/bhos For Toolbars: http://www.spywareinfo.com/toolbars 再加一個，如果你發現主頁經常被改，而又找不到可疑行程的話，試試附件的這個工具，Hijackthis作者的又一作品 cwshredder 參考： http://www.spywareinfo.com/~merijn/downloads.html 還有這些都是.......... 又或者在Regedit裡面被作為services載入了，仔細看看都會有這類東西不可能不在行程裡面 ...開機就run載入 http://searchx.cc/ 下面有一個紅色的uninstall software 連接,點一下就移除了. Q: ie主頁被修改，各種工具修復無效被改成下面的位址 http://s5.th.msie.cc/index.php 我用spant，regfix等等工具試過完全沒有用，即使有用過一會就自動恢復了，鬱悶，有沒有辦法？？查看行程..無效，沒有發現可疑工作 A: View -> Select Columns 勾選 Command Line 再看看，肯定有可疑工作在 Q: nvsvc32.exe 這是什麼？應該是我自己n卡的驅動 ------------------------------ IMJPMIG8.1 …… "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 PHIME2002ASync …… D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC PHIME2002A …… D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName NvCplDaemon …… RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup ccApp …… "D:\Program Files\Common Files\Symantec Shared\ccApp.exe" nwiz …… nwiz.exe /install NvMediaCenter …… RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit 好像沒有這個,是不是這個有問題? 另，用RegFix的「基本功能->匯出啟動組內容」，看看有沒這個 Q: 沒問題，偶也用的n卡，也有這文件那可能是別的原因了，比如像以前的拼音加加，不註冊的話就會修改IE的主頁另外，用HiJackThis再診斷一下： http://www.spychecker.com/program/hijackthis.html A: 如下資訊,實在看不出來,還請指點,謝謝~! Logfile of HijackThis v1.97.7 Scan saved at 14:58:24, on 2004-4-17 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE D:\Program Files\Common Files\Symantec Shared\ccApp.exe D:\WINDOWS\System32\ctfmon.exe E:\net\MyIE2\MyIE.exe D:\Program Files\Common Files\Symantec Shared\ccProxy.exe D:\WINDOWS\System32\nvsvc32.exe E:\net\ffxp\FlashFXP.exe D:\WINDOWS\system32\ntvdm.exe D:\MU\mu\QMacro.exe D:\MU\mu2.exe D:\MU\winmu1.exe E:\downloads\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - D:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\jccatch.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll O3 - Toolbar: ????? - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - D:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe O4 - Startup: NTUSER.DAT O4 - Startup: ntuser.dat.LOG O4 - Startup: ntuser.ini O4 - Startup: ~ O8 - Extra context menu item: 使用網際快車下載 - D:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: 使用網際快車下載全部連接 - D:\Program Files\FlashGet\jc_all.htm O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O16 - DPF: {2EA6D939-4445-43F1-A12B-8CB3DDA8B855} (V2 Control) - http://202.96.140.88/vchat/v27.cab O16 - DPF: {59CCB4A0-727D-11CF-AC36-00AA00A47DD2} (Timer Object) - http://vod.czinfo.net/tools/ietimer.cab O16 - DPF: {6F101641-AFFE-4E1F-9BF1-E8976A646549} (AlbumP Control) - http://album.tom.com/object/AlbumPProj1.ocx O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perb...feControls.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...020.1572685185 O16 - DPF: {BA0F088C-72C1-475A-92F8-42391DEF6961} (BlueskyAudio Class) - http://202.96.140.88/vchat/blueskyvoice.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{CAF71051-DAA6-4F7A-B44C-2938F481B60A}: NameServer = 202.102.3.141 202.102.15.162 Q: 工作沒有問題其他啟動組項目呢？我的RegFix匯出的內容不止這些啊不排除病毒使用了DLL嵌入技術（使用這個技術的病毒啟動組檢視和工作檢視是無效的） A: regfix就是這些,其他的都是空的,所以我沒帖. Ps:朋友的,你讓我用3721?那不更下一層地獄... Q: try this,hijackthis的作者又一作品,一般system下有system.css，這個一定要刪，註冊表裡也得弄弄，麻煩，用這傢伙好，快，省事 CWShredder http://www.spywareinfo.com/~merijn/files/CWShredder.exe 軟體介紹來自開發者：CoolWebSearch程序其實是一種病毒，它包括aka CoolWwwSearch, YouFindAll, White-Pages.ws等更多名稱。本工具就是為去除它而設計的，小巧實用！前為止沒有發現再次修改的跡象,應該是完全修復了,超強工具,強烈推薦. A: 試過了,目前還沒有問題,可能修復了,好工具啊,收藏等下看看會不會自己恢復. 如果不會就太好了,超強工具 ======================================== Q: 今天下午幫人修復主頁，算是開了眼界先在system32下放個mxconfig.exe——當然是假的，正常的不在這個資料夾下，連hosts文件也被修改花了我半個鐘頭才發現 A: 碰過一次，不過很容易發現，執行msconfig後跳不出界面，就知道有問題，查，果然msconfig被替換成另一個程序。唉，現在的網站太變態了。 ================================ 另一範例: Q: ie主頁被修改，各種工具修復無效。被改成下面的位址 http://vod.aogo.net/ 我用spant和其它工具試過完全沒有用，就是移除註冊表項，一重新整理又有了，鬱悶，有沒有辦法？？又用RegFix1210及CWShredder這兩個，還是沒有修復。不會真的要我重新裝吧，那會裝死人的，東西太多了 A: 絕對不是單獨的註冊表問題匯出你的啟動組看看 Q: =============== 2004-08-22,20:37:26 ============= [RegFix 1.2.1.0 Final Build 20040408] Windows 2000 Server Service Pack 4 謝謝使用 RegFix 的功能之一：輸出啟動組的內容下面是你電腦上啟動組的結果（需要注意的是：本版本的 RegFix 僅支持註冊表裡面的啟動組，開始—— 程序——啟動裡面的內容暫時不被支持。一些配置文件（如：Win.ini、System.ini）裡面的載入項內容也暫時不被支持。後續版本的 RegFix 將逐漸解決這些問題。 Smallfrogs 2004-4 ------------------------------------------------- ------------------------------------------------------------ 1：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ------------------------------------------------------------ NvMediaCenter …… RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit ctfmon.exe …… ctfmon.exe ------------------------------------------------------------ 2：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce ------------------------------------------------------------ ------------------------------------------------------------ 3：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx ------------------------------------------------------------ ------------------------------------------------------------ 4：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices ------------------------------------------------------------ ------------------------------------------------------------ 5：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce ------------------------------------------------------------ ------------------------------------------------------------ 6：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 鍵值名稱:load ------------------------------------------------------------ load …… ------------------------------------------------------------ 7：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 鍵值名稱:run ------------------------------------------------------------ ------------------------------------------------------------ 8：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 鍵值名稱:Shell ------------------------------------------------------------ ------------------------------------------------------------ 9：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run ------------------------------------------------------------ ------------------------------------------------------------ 10：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ------------------------------------------------------------ Smapp …… C:\Program Files\Analog Devices\SoundMAX\SMTray.exe NvCplDaemon …… RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup nwiz …… nwiz.exe /install KvMonXP …… C:\KV2004\KVMonXP.kxp /auto SKYNET Personal FireWall …… C:\Program Files\SkyNet\FireWall\PFWmain.exe Microsoft Update …… C:\WINNT\system32\webupdate.exe ------------------------------------------------------------ 11：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce ------------------------------------------------------------ ------------------------------------------------------------ 12：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx ------------------------------------------------------------ ------------------------------------------------------------ 13：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService ------------------------------------------------------------ ------------------------------------------------------------ 14：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServiceOnce ------------------------------------------------------------ ------------------------------------------------------------ 15：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run ------------------------------------------------------------ ------------------------------------------------------------ 16：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 鍵值名稱:Shell ------------------------------------------------------------ Shell …… Explorer.exe ------------------------------------------------------------ 17：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 鍵值名稱:Userinit ------------------------------------------------------------ Userinit …… C:\WINNT\system32\userinit.exe, 又用HijackThis這個也沒有修復好。暈呀。 A: HijackThis對這個網站7sese.com也沒用，我還是用KV2004修復的IE，不知道KV2004能否解決你的問題。另法是用anti－spy工具其實這東西也不必用什麼軟體，仔細分析一下註冊表和啟動項、服務中有無異常各個硬碟分區下面有沒有autorun.inf之類的文件，手動移除就可以。 Q: 就是沒有這些東西才難搞。要是有的話早搞定了。 A: 10：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Microsoft Update …… C:\WINNT\system32\webupdate.exe 沒有這個移除這個 Q:謝樓上各位，機器搞好了，做事去了，各位繼續。哇蛙............. 系統內可能還有一些東西沒有清除了， KV提示，webupdate.exe要作為啟動程序。被我停用。不知是那個東西在做怪 A: 呵呵，看來樓主還是沒有徹底清除呀，先在RUN裡移除了，然後再到資料夾裡把這個文件移除掉，然後再試著把註冊表搜尋一遍看看。系統內可能還有一些東西沒有清除了， KV提示，webupdate.exe要作為啟動程序。被我停用。不知是那個東西在做怪。 Q: 註冊表內是移除了，那個文件我沒有移除現在的問題是什麼程序會把這個加到RUN內的？？？ A: 這個不錯用! Startup Sentry http://www.digitalwidget.net/ 下面這些情況足以讓人精神緊張了：系統的執行速度突然下降，突然出現很多無法解釋的Internet資料傳輸，系統托盤中突然出現了一些不認識的程序... 出什麼事情了? 病毒? 木馬? 　　Startup Sentry 就是解決方案，它可以檢查所有的隨系統一起啟動的程序，當新增加這樣的程序的時候，它會發出警報。同時使用這個程序可以防止一些木馬程序或者廣告程序進入你的系統。 gpedit.msc 也看些端妮!!

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2004-08-18, 11:18 AM	#2 (permalink)
k2hungss 長老會員榮譽勳章勳章總數14 UID - 9489 在線等級: 註冊日期: 2002-12-11 住址: 高雄文章: 13429 精華: 0 現金: 1669094 金幣資產: 1838923 金幣	遇過如此經驗感謝提供教學

	送花文章: 5067, 收花文章: 1120 篇, 收花: 1465 次

Google 提供的廣告