史萊姆論壇

返回   史萊姆論壇 > 專業主討論區 > 一般電腦疑難討論區
刷新本頁 求助 - 電腦疑似被植入惡意程式且無法刪除
忘記密碼?
論壇說明

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


發文 回覆
 
主題工具 顯示模式
舊 2007-04-13, 03:13 PM   #1 (permalink)
長老會員
 
plunderer 的頭像
榮譽勳章
UID - 74024
在線等級: 級別:51 | 在線時長:2853小時 | 升級還需:59小時級別:51 | 在線時長:2853小時 | 升級還需:59小時級別:51 | 在線時長:2853小時 | 升級還需:59小時級別:51 | 在線時長:2853小時 | 升級還需:59小時級別:51 | 在線時長:2853小時 | 升級還需:59小時級別:51 | 在線時長:2853小時 | 升級還需:59小時
註冊日期: 2003-05-31
文章: 1399
精華: 0
現金: 507220 金幣
資產: 608580 金幣
預設
看看這一篇:
http://bbs.52happy.net/read.php?tid=178917
此帖於 2007-04-13 03:24 PM 被 plunderer 編輯.
__________________
刑天舞干戚
plunderer 目前離線  
送花文章: 6, 收花文章: 575 篇, 收花: 1747 次
回覆時引用此帖
舊 2007-04-13, 03:24 PM   #2 (permalink)
註冊會員
榮譽勳章

勳章總數
UID - 266047
在線等級: 級別:1 | 在線時長:7小時 | 升級還需:5小時
註冊日期: 2007-04-12
文章: 17
精華: 0
現金: 17 金幣
資產: 17 金幣
預設
引用:
作者: plunderer 查看文章
你把完整的 HijackThis log 發上來
請幫忙查看,感謝 m (_ _) m (其中的 O10 就是疑似惡意程式項目)

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)


R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATSwpNav] C:\Program Files\Fingerprint Sensor\AtSwpNav.exe -run
O4 - HKLM\..\Run: [OmniPass] C:\Program Files\Softex\OmniPass\scureapp.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\Program Files\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\RunOnce: [KB926239] rundll32.exe apphelp.dll,ShimFlushCache
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RealPlayer] "C:\Program Files\Real\RealPlayer\realplay.exe" /RunUPGToolCommandReBoot
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java 主控台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: 網頁防護 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: ComcastHSI - {669B269B-0D4E-41FB-A3D8-FD67CA94F646} - http://www.comcast.net/ (file missing)
O9 - Extra button: Support - {8828075D-D097-4055-AA02-2DBFA9D85E8A} - http://www.comcastsupport.com/ (file missing)
O9 - Extra button: Help - {97809617-3937-4F84-B335-9BB05EF1A8D4} - http://online.comcast.net/help/ (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\md8media.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\md8media.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.pc-ap.fujitsu.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {3D8C5C3D-35A0-43F7-8813-36902A92766D} (SoftLinkUpdate Class) - https://sol.softitler.com/downloads/SoftLink.exe
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://metronavi.trtc.com.tw/mgaxctrl.cab
O16 - DPF: {A86FEA6F-95C0-4190-A622-C5C02739CBE3} (WebTransfer Control) - https://sol.softitler.com/Downloads/WebTranU.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: OPXPGina - C:\Program Files\Softex\OmniPass\opxpgina.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Program Files\Softex\OmniPass\Omniserv.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe
此帖於 2007-04-14 12:30 AM 被 OceanSky 編輯. 原因: 刪掉不相關訊息
OceanSky 目前離線  
送花文章: 2, 收花文章: 1 篇, 收花: 1 次
回覆時引用此帖
舊 2007-04-13, 03:45 PM   #3 (permalink)
長老會員
 
plunderer 的頭像
榮譽勳章
UID - 74024
在線等級: 級別:51 | 在線時長:2853小時 | 升級還需:59小時級別:51 | 在線時長:2853小時 | 升級還需:59小時級別:51 | 在線時長:2853小時 | 升級還需:59小時級別:51 | 在線時長:2853小時 | 升級還需:59小時級別:51 | 在線時長:2853小時 | 升級還需:59小時級別:51 | 在線時長:2853小時 | 升級還需:59小時
註冊日期: 2003-05-31
文章: 1399
精華: 0
現金: 507220 金幣
資產: 608580 金幣
預設
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O9 - Extra button: ComcastHSI - {669B269B-0D4E-41FB-A3D8-FD67CA94F646} - http://www.comcast.net/ (file missing)
File Missing
When a file is missing, you should always have HijackThis fix the item.

O9 - Extra button: Support - {8828075D-D097-4055-AA02-2DBFA9D85E8A} - http://www.comcastsupport.com/ (file missing)
File Missing
When a file is missing, you should always have HijackThis fix the item.

O9 - Extra button: Help - {97809617-3937-4F84-B335-9BB05EF1A8D4} - http://online.comcast.net/help/ (file missing)
File Missing
When a file is missing, you should always have HijackThis fix the item.

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
File Missing
When a file is missing, you should always have HijackThis fix the item.

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)

這幾項都要修復

之前提到的 010 必需要用專門工具修復
看看這一篇:
http://bbs.52happy.net/read.php?tid=178917
plunderer 目前離線  
送花文章: 6, 收花文章: 575 篇, 收花: 1747 次
回覆時引用此帖
向 plunderer 送花的會員:
zazoo (2007-04-13)
感謝您發表一篇好文章
舊 2007-04-14, 12:29 AM   #4 (permalink)
註冊會員
榮譽勳章

勳章總數
UID - 266047
在線等級: 級別:1 | 在線時長:7小時 | 升級還需:5小時
註冊日期: 2007-04-12
文章: 17
精華: 0
現金: 17 金幣
資產: 17 金幣
預設
引用:
作者: plunderer 查看文章
看看這一篇:
http://bbs.52happy.net/read.php?tid=178917
謝謝
但是我不能進去這個網址呀
我點進去看到的訊息是

您没有登录或者您没有权限访问此页面,可能有如下几个原因:
本版块为正规版块,只有注册会员才能进入

您还不是论坛会员,请先登录论坛
OceanSky 目前離線  
送花文章: 2, 收花文章: 1 篇, 收花: 1 次
回覆時引用此帖
舊 2007-04-14, 12:45 AM   #5 (permalink)
長老會員
 
plunderer 的頭像
榮譽勳章
UID - 74024
在線等級: 級別:51 | 在線時長:2853小時 | 升級還需:59小時級別:51 | 在線時長:2853小時 | 升級還需:59小時級別:51 | 在線時長:2853小時 | 升級還需:59小時級別:51 | 在線時長:2853小時 | 升級還需:59小時級別:51 | 在線時長:2853小時 | 升級還需:59小時級別:51 | 在線時長:2853小時 | 升級還需:59小時
註冊日期: 2003-05-31
文章: 1399
精華: 0
現金: 507220 金幣
資產: 608580 金幣
預設
引用:
作者: OceanSky 查看文章
謝謝
但是我不能進去這個網址呀
我點進去看到的訊息是

您没有登录或者您没有权限访问此页面,可能有如下几个原因:
本版块为正规版块,只有注册会员才能进入

您还不是论坛会员,请先登录论坛
不會吧? 我也沒註冊, 一樣能看啊

【举例】
O10 - Unknown file in Winsock LSP: c:\windows\system32\hbmter.dll

c:\windows\system32\hbmter.dll是C:\Program Files\HBClient\的一个文件
C:\Program Files\HBClient\是很棒小秘书流氓软件
瑞星将之报为AdWare.HBang.e
专业杀软查杀后会导致无法上网

【分析】
010项在HIJACKTHIS日志中是特别的一个项目
O10项代表的Winsock LSP(Layered Service Provider)
简言之就是网络交换与连接
由于LSP的特殊性
如果直接修复010项或直接删除与010项相关的文件
而不恢复LSP的正常状态
很可能会导致无法连通网络

【解决】
遇到O10项需要修复时
建议使用专门工具修复

以c:\windows\system32\hbmter.dll(AdWare.HBang.e)为例
下载:http://www.cexx.org/lspfix.exe
修复c:\windows\system32\hbmter.dll
修复方法参考图片
注意这次应该选中hbmter.dll

http://img168.imageshack.us/img168/5515/36765406ye9.jpg

【温馨提示】
遇到HIJACKTHIS日志中的010项
大家一定要慎重
千万不要直接修复010项或直接删除与010项有关的文件
否则会导致无法上网

【补救措施】
方法1:
使用HIJACKTHIS导出日志
查看日志中可疑的010项
记下010项中的文件
(注意:确信是由该文件导致了无法上网)
用LSP-FIX修复010项中的可疑文件
现以hbmter.dll为例来说明修复方法
因为hbmter.dll已经丢失
所以hbmter.dll文件在出现在LSP-FIX的右边的框中
现在修复的任务就是把hbmter.dll转移到LSP-FIX的左边的框中
修复方法参考图片(修复方向与图片上的修复方向相反,切记!!)
然后重启

方法2:
使用WinsockFix使用一下注册表
建议操作之前备份一下注册表
然后重启

方法3:
使用SP2ConnectivityFix工具(注意本工具只适合于XPSP2系统)
解压后运行其中的WindowsXP-KB884020-x86-enu.exe
然后再双击FixReg.reg将其导入到注册表中
最后再使用WinsockFix修复注册表
重启
如果还不行
在命令行窗口中执行命令“netsh winsock reset”
运行后再重启系统
建议操作之前备份一下注册表

方法4:
使用XP TCP/IP Repair(注意本工具只适用于XP系统)
修复Winsock以及重置TCP/IP
建议操作之前备份一下注册表
然后重启

方法5:
重装TCP/IP协议

方法6:
修复或重装系统

【相关工具下载】
HIJACKTHIS:
http://forum.ikaka.com/topic.asp?board=28&artid=6979213

WinsockFix:
http://www.winsockfix.nl/

LSP-FIX:
http://www.winsockfix.nl/

XP TCP/IP Repair:
http://www.xp-smoker.com/freeware.html

SP2ConnectivityFix:
http://www.pchell.com/downloads/SP2ConnectivityFix.zip
plunderer 目前離線  
送花文章: 6, 收花文章: 575 篇, 收花: 1747 次
回覆時引用此帖
向 plunderer 送花的會員:
OceanSky (2007-04-14)
感謝您發表一篇好文章
舊 2007-04-14, 01:09 AM   #6 (permalink)
註冊會員
榮譽勳章

勳章總數
UID - 266047
在線等級: 級別:1 | 在線時長:7小時 | 升級還需:5小時
註冊日期: 2007-04-12
文章: 17
精華: 0
現金: 17 金幣
資產: 17 金幣
預設
引用:
作者: plunderer 查看文章
不會吧? 我也沒註冊, 一樣能看啊

【举例】
O10 - Unknown file in Winsock LSP: c:\windows\system32\hbmter.dll

c:\windows\system32\hbmter.dll是C:\Program Files\HBClient\的一个文件
C:\Program Files\HBClient\是很棒小秘书流氓软件
瑞星将之报为AdWare.HBang.e
专业杀软查杀后会导致无法上网

【分析】
010项在HIJACKTHIS日志中是特别的一个项目
O10项代表的Winsock LSP(Layered Service Provider)
简言之就是网络交换与连接
由于LSP的特殊性
如果直接修复010项或直接删除与010项相关的文件
而不恢复LSP的正常状态
很可能会导致无法连通网络

【解决】
遇到O10项需要修复时
建议使用专门工具修复

以c:\windows\system32\hbmter.dll(AdWare.HBang.e)为例
下载:http://www.cexx.org/lspfix.exe
修复c:\windows\system32\hbmter.dll
修复方法参考图片
注意这次应该选中hbmter.dll

http://img168.imageshack.us/img168/5515/36765406ye9.jpg

【温馨提示】
遇到HIJACKTHIS日志中的010项
大家一定要慎重
千万不要直接修复010项或直接删除与010项有关的文件
否则会导致无法上网

SP2ConnectivityFix:
http://www.pchell.com/downloads/SP2ConnectivityFix.zip
終於刪除掉了 剛剛上msn.com 又可以看影片了
多謝大大幫忙
可是上微軟下載更新仍有困難:
不過病毒清掉了 再打電話請微軟處理無法上網更新的問題
他們應該沒有理由拒絕了吧
OceanSky 目前離線  
送花文章: 2, 收花文章: 1 篇, 收花: 1 次
回覆時引用此帖
發文 回覆

« 上一主題 | 下一主題 »


發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章
論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 02:54 PM

《 史萊姆的第一個家 》 - 論壇存檔 - 返回頂端

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2025, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1