史萊姆論壇 - 奇怪的廣告網頁

史萊姆論壇 (http://forum.slime.com.tw/)

- 一般電腦疑難討論區 (http://forum.slime.com.tw/f17.html)

- - 奇怪的廣告網頁 (http://forum.slime.com.tw/thread199146.html)

奇怪的廣告網頁

各位大大:on_51:
拜託幫幫小弟的忙
小弟的電腦只要開啟C: D:硬碟內容
工作列桌面就會出現廣告IE:on_22:
刪了只要在開硬碟就會再出現,怎麼刪就是刪不完
電腦重灌後也是會再出現!!
請各位先進幫幫小弟:on_28:

引用:

作者: ktlly (文章 1671625)

拍張圖來看看...

還有我想知道廣告檔的檔案全名(含副檔名)

很確定你是中木馬了...但我需要一些資料才能更精準的提供你答案...

先去午睡了=.=

http://myweb.hinet.net/home7/killy/Downloads/orz3.jpg

引用:

作者: superxboy (文章 1671631)

拍張圖來看看...

還有我想知道廣告檔的檔案全名(含副檔名)

很確定你是中木馬了...但我需要一些資料才能更精準的提供你答案...

先去午睡了=.=

"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://***.d766.com/veer.php?entry=993&mac=000EA6A90B67
↑廣告IE的內容網址

但是我不知道他的檔案放在哪耶,無法拍出檔案全名(含副檔名):on_22:
「開始」功能表裡面也有耶

真的中木馬了嗎?? avast! v4.7 沒抓到耶

引用:

作者: ktlly (文章 1671645)

"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.d766.com/veer.php?entry=993&mac=000EA6A90B67
↑廣告IE的內容網址
但是我不知道他的檔案放在哪耶,無法拍出檔案全名(含副檔名):on_22:
「開始」功能表裡面也有耶

真的中木馬了嗎?? avast! v4.7 沒抓到耶

你中了d766的綁架病毒...具體的解決辦法...要找一下...這隻很麻煩...這跟中木馬一樣慘啊

安全模式下用powerrmv刪除以下文件.
C:\WINDOWS\SYSTEM32\RUNDLLFROMWIN2000.EXE C:\WINDOWS\SYSTEM32\WBEM\ZBKRG.DLL
C:\WINDOWS\system32\ldnxx.dll
C:\DOCUME~1\lyf\APPLIC~1\MICROS~1\INTERN~1\QUICKL~1\啟動IN~1.LNK - http://www.d766.com/veer.php?entry=993&mac=001676CBE9C2
C:\DOCUME~1\lyf\「開始~1\INTERN~1.LNK - http://www.d766.com/veer.php?entry=993&mac=001676CBE9C2
C:\DOCUME~1\lyf\「開始~1\程序\INTERN~1.LNK - http://www.d766.com/veer.php?entry=993&mac=001676CBE9C2
C:\DOCUME~1\lyf\桌面\INTERN~1.LNK - http://www.d766.com/veer.php?entry=993&mac=001676CBE9C2
C:\WINDOWS\system32\ngick.dll
C:\WINDOWS\system32\anlyhxx.dll
C:\WINDOWS\system32\drivers\anlyhxx.sys
C:\WINDOWS\system32\drivers\gaqgp.sys
C:\WINDOWS\system32\drivers\dsktstv.sys
C:\WINDOWS\system32\drivers\ig_ble.sys
C:\WINDOWS\system32\drivers\msqmx.sys

powerrmv20下載網址
http://www.badongo.com/file/2376271

引用:

作者: superxboy (文章 1671678)

superxboy大大
我找不到檔案可以刪的說~
上述的位置多找不到:on_22:

我裝了費爾托斯特安全防毒軟體只要開硬碟無論哪一磁碟
會出現

http://myweb.hinet.net/home7/killy/Downloads/orz4.jpg

引用:

作者: ktlly (文章 1671742)

superxboy大大
我找不到檔案可以刪的說~
上述的位置多找不到:on_22:

還有一種方法是用卡巴斯基去掃...掃到後可能殺不掉...但你可以紀錄掃到的檔案位置...
然後再去安全模式下用Powerrmv20(費爾木馬清除助手)...去進行清除

avast...我不知道和卡巴會不會衝到...所以建議你安裝時...要移除avast再安裝...=.=

另外你說你有重灌系統過...重灌時格式化硬碟...你是否選擇快速格式化...有的病毒使用快速格式化也刪不掉...建議使用完整格式化

引用:

作者: superxboy (文章 1671762)

使用HijackThis掃一下...把掃瞄完成的紀錄貼上來
http://www.spywareinfo.com/~merijn/programs.php

花了一點時間...找到最棒的方法...已有多人試過

一個reg檔...下載後...執行它...並匯入
http://www.badongo.com/file/2377352

原文作者寒湘素
原文http://hanxiangsu.blog.163.com/blog/...0702352045468/

主要行為：

　　修改註冊表，使得桌面不顯示IE，並使自定義桌面的Internet Explorer無法選中。
　　桌面點擊右鍵 >> 屬性 >> 桌面 >> 自定義桌面 >> Internet Explorer是灰色的，不能選中。
　　修復自定義桌面IE不能選中的註冊表導入（XP SP2）

　　放出IE快捷方式到桌面，屬性為"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.d766.com/veer.php?entry=993&mac=00142A9595FD。
　　有趣的是，它連遨遊的快捷方式也改了……

　　複製自身到每個分區根目錄，文件名為pagefile.exe，建立autorun.inf指向pagefile.exe。

最終結果：很多IE修復軟件的修復，對此木馬無效。

　　看來寫木馬要達到一定目的，不一定要很高超的技術- -

解決方法：改回所有瀏覽器快捷方式……修復註冊表(參考修復導入)……

列部分改動的註冊表位置（具體見修復的導入- -）：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CrashControl

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

------------------------------------------------------------------------------

另外你可以在C和D的根目錄刪除autorun.inf,pagefile.exe這兩個檔案

HijackThis掃瞄完成的紀錄

Logfile of HijackThis v1.99.1
Scan saved at 下午 10:17:38, on 2007/3/4
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\cFosSpeed\cFosSpeed.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\cFosSpeed\spd.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\TechSmith\SnagIt 8\SnagIt32.exe
C:\Program Files\TechSmith\SnagIt 8\TSCHelp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrator\桌面\HijackThis\HijackThis.exe
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ALiBaBar - {0A1375E1-56C2-11D6-8E45-8933A0FB5235} - C:\PROGRA~1\ALiBaBar\ALiBaBar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O8 - Extra context menu item: 匯出至 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yaho...st20040510.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Program Files\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

謝謝大大的幫助:on_28:
我想我再重灌一次好了
還有問題再過來問
謝謝!!
順便看是哪個軟體或網頁害我中毒的:on_61:

這隻病毒使用HijackThis是看不出異狀的...在我幫你找資料時發現很多人使用HijackThis都掃不到什麼東西

小弟目前用kv2007掃過一次後,防毒軟體有抓到
已經刪除了~目前還沒有再發生觀察中
我想大陸病毒還是由大陸防毒來殺比較快

引用:

作者: ktlly (文章 1672185)

小弟目前用kv2007掃過一次後,防毒軟體有抓到
已經刪除了~目前還沒有再發生觀察中
我想大陸病毒還是由大陸防毒來殺比較快

嗯...也沒錯啦...=.=

引用:

作者: superxboy (文章 1672296)

也有其他的網友解決了
http://www.slime2.com.tw/forums/showthread.php?t=199226

文章內的方法我有試過唷!!
還是不行因為病毒入侵到我所有的硬碟而且還抓不出來
所以會一直重複的循環:on_22: