求助 - 奇怪的廣告網頁

ktlly · 2007-03-04, 07:32 PM

引用:

作者: superxboy

安全模式下用powerrmv刪除以下文件.
C:\WINDOWS\SYSTEM32\RUNDLLFROMWIN2000.EXE C:\WINDOWS\SYSTEM32\WBEM\ZBKRG.DLL
C:\WINDOWS\system32\ldnxx.dll
C:\DOCUME~1\lyf\APPLIC~1\MICROS~1\INTERN~1\QUICKL~1\啟動IN~1.LNK - http://www.d766.com/veer.php?entry=993&mac=001676CBE9C2
C:\DOCUME~1\lyf\「開始~1\INTERN~1.LNK - http://www.d766.com/veer.php?entry=993&mac=001676CBE9C2
C:\DOCUME~1\lyf\「開始~1\程序\INTERN~1.LNK - http://www.d766.com/veer.php?entry=993&mac=001676CBE9C2
C:\DOCUME~1\lyf\桌面\INTERN~1.LNK - http://www.d766.com/veer.php?entry=993&mac=001676CBE9C2
C:\WINDOWS\system32\ngick.dll
C:\WINDOWS\system32\anlyhxx.dll
C:\WINDOWS\system32\drivers\anlyhxx.sys
C:\WINDOWS\system32\drivers\gaqgp.sys
C:\WINDOWS\system32\drivers\dsktstv.sys
C:\WINDOWS\system32\drivers\ig_ble.sys
C:\WINDOWS\system32\drivers\msqmx.sys

powerrmv20下載網址
http://www.badongo.com/file/2376271

superxboy大大
我找不到檔案可以刪的說~
上述的位置多找不到

我裝了費爾托斯特安全防毒軟體只要開硬碟無論哪一磁碟
會出現

http://myweb.hinet.net/home7/killy/Downloads/orz4.jpg

superxboy · 2007-03-04, 07:58 PM

引用:

作者: ktlly

superxboy大大
我找不到檔案可以刪的說~
上述的位置多找不到

還有一種方法是用卡巴斯基去掃...掃到後可能殺不掉...但你可以紀錄掃到的檔案位置...
然後再去安全模式下用Powerrmv20(費爾木馬清除助手)...去進行清除

avast...我不知道和卡巴會不會衝到...所以建議你安裝時...要移除avast再安裝...=.=

另外你說你有重灌系統過...重灌時格式化硬碟...你是否選擇快速格式化...有的病毒使用快速格式化也刪不掉...建議使用完整格式化

superxboy · 2007-03-04, 08:04 PM

引用:

作者: superxboy

還有一種方法是用卡巴斯基去掃...掃到後可能殺不掉...但你可以紀錄掃到的檔案位置...
然後再去安全模式下用Powerrmv20(費爾木馬清除助手)...去進行清除

avast...我不知道和卡巴會不會衝到...所以建議你安裝時...要移除avast再安裝...=.=

另外你說你有重灌系統過...重灌時格式化硬碟...你是否選擇快速格式化...有的病毒使用快速格式化也刪不掉...建議使用完整格式化

使用HijackThis掃一下...把掃瞄完成的紀錄貼上來
http://www.spywareinfo.com/~merijn/programs.php

superxboy · 2007-03-04, 08:24 PM

花了一點時間...找到最棒的方法...已有多人試過

一個reg檔...下載後...執行它...並匯入
http://www.badongo.com/file/2377352

原文作者寒湘素
原文http://hanxiangsu.blog.163.com/blog/...0702352045468/

主要行為：

　　修改註冊表，使得桌面不顯示IE，並使自定義桌面的Internet Explorer無法選中。
　　桌面點擊右鍵 >> 屬性 >> 桌面 >> 自定義桌面 >> Internet Explorer是灰色的，不能選中。
　　修復自定義桌面IE不能選中的註冊表導入（XP SP2）

　　放出IE快捷方式到桌面，屬性為"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.d766.com/veer.php?entry=993&mac=00142A9595FD。
　　有趣的是，它連遨遊的快捷方式也改了……

　　複製自身到每個分區根目錄，文件名為pagefile.exe，建立autorun.inf指向pagefile.exe。

最終結果：很多IE修復軟件的修復，對此木馬無效。

　　看來寫木馬要達到一定目的，不一定要很高超的技術- -

解決方法：改回所有瀏覽器快捷方式……修復註冊表(參考修復導入)……

列部分改動的註冊表位置（具體見修復的導入- -）：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CrashControl

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

------------------------------------------------------------------------------

另外你可以在C和D的根目錄刪除autorun.inf,pagefile.exe這兩個檔案

ktlly · 2007-03-04, 10:13 PM

HijackThis掃瞄完成的紀錄

Logfile of HijackThis v1.99.1
Scan saved at 下午 10:17:38, on 2007/3/4
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\cFosSpeed\cFosSpeed.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\cFosSpeed\spd.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\TechSmith\SnagIt 8\SnagIt32.exe
C:\Program Files\TechSmith\SnagIt 8\TSCHelp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrator\桌面\HijackThis\HijackThis.exe
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ALiBaBar - {0A1375E1-56C2-11D6-8E45-8933A0FB5235} - C:\PROGRA~1\ALiBaBar\ALiBaBar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O8 - Extra context menu item: 匯出至 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yaho...st20040510.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Program Files\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

謝謝大大的幫助

我想我再重灌一次好了
還有問題再過來問
謝謝!!
順便看是哪個軟體或網頁害我中毒的

superxboy · 2007-03-05, 09:14 AM

這隻病毒使用HijackThis是看不出異狀的...在我幫你找資料時發現很多人使用HijackThis都掃不到什麼東西

2007-03-04, 08:24 PM	#4 (permalink)
superxboy 管理版主榮譽勳章勳章總數16 UID - 21259 在線等級: 註冊日期: 2003-01-02 住址: 北極文章: 10335 精華: 6 現金: 130 金幣資產: 844182589 金幣	花了一點時間...找到最棒的方法...已有多人試過一個reg檔...下載後...執行它...並匯入 http://www.badongo.com/file/2377352 原文作者寒湘素原文http://hanxiangsu.blog.163.com/blog/...0702352045468/ 主要行為：　　修改註冊表，使得桌面不顯示IE，並使自定義桌面的Internet Explorer無法選中。　　桌面點擊右鍵 >> 屬性 >> 桌面 >> 自定義桌面 >> Internet Explorer是灰色的，不能選中。　　修復自定義桌面IE不能選中的註冊表導入（XP SP2）　　放出IE快捷方式到桌面，屬性為"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.d766.com/veer.php?entry=993&mac=00142A9595FD。　　有趣的是，它連遨遊的快捷方式也改了…… 　　複製自身到每個分區根目錄，文件名為pagefile.exe，建立autorun.inf指向pagefile.exe。最終結果：很多IE修復軟件的修復，對此木馬無效。　　看來寫木馬要達到一定目的，不一定要很高超的技術- - 解決方法：改回所有瀏覽器快捷方式……修復註冊表(參考修復導入)…… 列部分改動的註冊表位置（具體見修復的導入- -）： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CrashControl HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl ------------------------------------------------------------------------------ 另外你可以在C和D的根目錄刪除autorun.inf,pagefile.exe這兩個檔案

	送花文章: 3254, 收花文章: 4835 篇, 收花: 21651 次

2007-03-04, 10:13 PM	#5 (permalink)
ktlly 註冊會員榮譽勳章勳章總數4 UID - 39590 在線等級: 註冊日期: 2003-02-17 VIP期限: 2010-05 住址: 地球的一個小角落文章: 447 精華: 0 現金: 693 金幣資產: 497017 金幣	HijackThis掃瞄完成的紀錄 Logfile of HijackThis v1.99.1 Scan saved at 下午 10:17:38, on 2007/3/4 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\cFosSpeed\cFosSpeed.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\cFosSpeed\spd.exe C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Program Files\UPHClean\uphclean.exe C:\Program Files\TechSmith\SnagIt 8\SnagIt32.exe C:\Program Files\TechSmith\SnagIt 8\TSCHelp.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Administrator\桌面\HijackThis\HijackThis.exe R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: ALiBaBar - {0A1375E1-56C2-11D6-8E45-8933A0FB5235} - C:\PROGRA~1\ALiBaBar\ALiBaBar.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet O8 - Extra context menu item: 匯出至 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yaho...st20040510.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Program Files\cFosSpeed\spd.exe" -service (file missing) O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe 謝謝大大的幫助我想我再重灌一次好了還有問題再過來問謝謝!! 順便看是哪個軟體或網頁害我中毒的

	送花文章: 299, 收花文章: 81 篇, 收花: 172 次

2007-03-05, 09:14 AM	#6 (permalink)
superxboy 管理版主榮譽勳章勳章總數16 UID - 21259 在線等級: 註冊日期: 2003-01-02 住址: 北極文章: 10335 精華: 6 現金: 130 金幣資產: 844182589 金幣	這隻病毒使用HijackThis是看不出異狀的...在我幫你找資料時發現很多人使用HijackThis都掃不到什麼東西

	送花文章: 3254, 收花文章: 4835 篇, 收花: 21651 次

Google 提供的廣告