電腦中毒了 懇請各位大大幫忙
 

這是我用a-squared Free - 版本 3.5

我不太敢刪 怕刪錯重灌...

有爬過文說 a-squared Free 會誤判 風評不太好 我馬上刪掉了 還是有些在意!

謝謝各位大大辛苦閱文 小女感激不盡 !

有時後開會變很慢....開程式會點好幾下都沒反應

以下是 過程
a-squared Free - 版本 3.5
最近更新: 2008/7/27 上午 10:58:34

掃瞄設定:

物件: 記憶體, 追蹤記錄, Cookies, C:\, D:\
掃瞄檔案: 開
啟發式掃瞄: 開
ADS 掃瞄: 開

掃瞄開始於: 2008/7/27 上午 10:59:36

[956] C:\WINDOWS\system32\svchost.exe 已偵測: Trojan.Win32.Agent.twl
[1012] C:\WINDOWS\system32\svchost.exe 已偵測: Trojan.Win32.Agent.twl
[1132] C:\WINDOWS\System32\svchost.exe 已偵測: Trojan.Win32.Agent.twl
[1204] C:\WINDOWS\system32\svchost.exe 已偵測: Trojan.Win32.Agent.twl
[1308] C:\WINDOWS\system32\svchost.exe 已偵測: Trojan.Win32.Agent.twl
c:\windows\ying-uninstall.exe 已偵測: Trace.File.MING Chat Monitor
c:\program files\common files\cpush 已偵測: Trace.Directory.CPush
c:\windows\system32\yinginstall\409.ini 已偵測: Trace.File.MINGChatMonitor
c:\windows\ying-uninstall.exe 已偵測: Trace.File.MINGChatMonitor
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ContentMatch --> DisplayName 已偵測: Trace.Registry.CPush
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ContentMatch --> UninstallString 已偵測: Trace.Registry.CPush
Value: HKEY_LOCAL_MACHINE\SOFTWARE\YingSoft\YingInstall --> LastVersion 已偵測: Trace.Registry.MINGChatMonitor
Value: HKEY_CLASSES_ROOT\CLSID\{142483DF-44BE-4ADE-875F-6B05CCBCE17C}\InprocServer32 --> ThreadingModel 已偵測: Trace.Registry.Spyware Seizer
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{142483DF-44BE-4ADE-875F-6B05CCBCE17C}\InprocServer32 --> ThreadingModel 已偵測: Trace.Registry.Spyware Seizer
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run --> BeatTrojan 已偵測: Trace.Registry.Spyware Seizer
c:\windows\system32\yinginstall 已偵測: Trace.Directory.Ming Chat Monitor 1.5

已掃瞄

檔案: 2287
追蹤記錄: 421858
Cookies: 5
處理程序: 31

已發現

檔案: 0
追蹤記錄: 11
Cookies: 0
處理程序: 5
系統登錄項目: 0

掃瞄結束於: 2008/7/27 上午 11:01:30
掃瞄時間: 0:01:54



這是由木馬清除大師2008發現的 我是要進入線上遊戲畫面他警告我的 但是我到安全模式全面清掃並沒有掃到這個呢 !

發現 c:\windows\system32\nvsvc32.exe
試圖寄生至 c:\windows\system32\rundll32.exe 之內部記憶體，
竊取帳號的木馬通常採用這樣的方式，這是極具風險的行為，請選擇適當的操作。


以下是 LOG

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 下午 04:28:51, on 2008/7/27
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\BeatTrojan2008\BeatTrojanMon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Raxco\PerfectDisk\PDSched.exe
C:\Program Files\BeatTrojan2008\BeatTrojanShields.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX03.047\HijackThis.exe

R3 - URLSearchHook: Yahoo!奇摩捷徑列 - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: Yahoo!奇摩捷徑列 - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CJIMETIPSYNC] C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\CHANGJIE\CINTLCFG.EXE /CJIMETIPSync
O4 - HKLM\..\Run: [PHIMETIPSYNC] C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [BeatTrojan] C:\Program Files\BeatTrojan2008\BeatTrojanMon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user')
O8 - Extra context menu item: 使用影音傳送帶下載 - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 使用影音傳送帶下載全部連結 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: 匯出至 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: 參考資料 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=tw.yahoo.com
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE7088A9-8228-4281-B76C-AC2F4B640740}: NameServer = 168.95.192.1 168.95.1.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: 木馬清除大師即時監控 - Unknown owner - C:\Program Files\BeatTrojan2008\BeatTrojanSvc.exe

--
End of file - 5352 bytes

log 沒問題
開機慢可能是因為同時有兩套防毒軟體監控
有avast! 就夠了, 卸載木馬清除大師吧, 沒必要兩套同時監控

nvsvc32.exe 是 Nvidia 顯示卡驅動服務程式, 當系統啟動nvsvc32.exe 服務時, 會載入其他 Nvidia 的元件, 因此會調用rundll32.exe 來載入其他元件
此行為是正常的, 但因很多木馬也有此行為, 因此容易被誤判成有風險性

Nvidia 的服務及自動執行項目其實不是必要的, 只是方便更改顯示卡設定而已

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
事實上即使沒有載入上述這幾項 Nvidia 程式, 依然可以在桌面按右鍵選擇" Nvidia 控制面板" 來更改設定

那我電腦是 暫時沒有很多的病毒嗎...? 因為我之前掃到的好多...有點怕怕的@@




而且最近 遊覽器 開起來的時候 會只開啟一個視窗 之後就沒反應了...

程式好像也一樣 整個像當機 要重新開機一次才會正常的作業(上網視窗才正常的運作)




請問您說的那個NVIDIA 是 桌面點右鍵的 NAIDIA Contol Panel 嗎 ?

可以交我怎麼設定嗎@@? 不好意思 麻煩你那麼多 我對電腦一竅不通的...謝謝你

我想樓主的問題,重灌是最快的
顯示卡設定跟那些狀況是沒有關係的
.....阿門....:on_10:

:on_72: 蝦密!!!重灌　:on_88:



真的沒辦法　一定選擇重新灌嗎　？　我沒錢！＠＠

我想聽聽上位大大的說法　麻煩您！

我在想想看　:on_80:

可以學著自己重灌啊
相信有很多版友教您重灌的意願
會比解決您中毒後的副作用大

還有防毒軟體有移掉一套了嗎?

log 看起來是沒病毒常駐
不放心的話. 先卸載木馬清除大師, 然後用 avast! 掃描所有硬碟分區
不需要重灌啦 (重灌也不需花錢啊)

顯示卡設定是桌面點右鍵的 NAIDIA Contol Panel 沒錯, 至於怎麼設定.....:on_44:
如果顯示都正常的話, 就不須管其設定
每個人使用情況不同, 設定也就因人而異, 無法三言兩語說清楚
建議你用搜尋引擎搜尋 "NAIDIA 顯示卡 設定" 就能找到很多說明 :on_90:

瀏覽器不正常可能是防毒軟體的網頁監控與 Yahoo!奇摩捷徑列的緣故, 先卸載Yahoo!奇摩捷徑列試試

:on_45:呵呵 ....

我也相信這論壇一定有很多大大樂義幫我的 ^^

說實在我之前有自己"重灌"過...:on_75:

後來叫別人重灌...因為那是很久的光碟片了XD(我現在沒有光碟片)
也不會裝上網......還有後續裝應用程式太少...所以被臭罵了一頓 怕再被刮一頓:on_88:
所以心有於焉:on_85:

是　的！我有移除了　剩下avast!　:on_81:

嗯！我現在再用avast!　全面掃了　不過掃的有點慢　不過為了我的電腦　:on_79:

如果avast!有發現什麼我在跟各大大說！

有的　我有試著　移除　捷徑列　了！

謝謝你們！這論壇真好　馬上就有許多大大幫了　很棒 !

有爬過文 發現論壇這篇文章 ^^ 作者 bounsan http://forum.slime.com.tw/thread231385.html

請問大大這篇 你們也有做過光碟嗎? 附載點那些都下載了 是否要去在下載別的呢(有5個載點)

我有光碟片 80 MIN/700MB 的CD Recordable 是否可以完整安裝呢^^

又麻煩各位大大了 非常感謝您！！！

那程式是根據自己的需求, 對 XP 安裝光碟來增減元件及修改預設設定, 再重新合成新的XP安裝光碟
除非對系統很了解, 否則不建議自訂 XP 安裝光碟

你最需要的是一片原味並集成 SP3 的 XP 安裝光碟:
http://www.dk101.com/index.php/12596...ace-13815.html

嗯　　謝謝您　提供載點　！

是不是音效卡那些都得自己找呢＠＠？:on_90:

可否列出清單讓我尋找呢?

設連線怎麼用 =ˇ= 我之前灌錯 連 連線都搞半天都用不出來!

所以請大大交一下!


不好意思 麻煩你噎 ....>"<

先了解硬體的型號(買電腦時應該有使用手冊吧), 再上其官方網站下載驅動程式

XP 連線設定:
http://www.so-net.net.tw/service/setup/xp_PPPoE.pdf
該文章是以 So-net 為例, 請自行改成 ISP(網路服務提供者) 提供的帳號及密碼

不過有些ISP 並非以 pppoe 撥接上網, 而是以社區寬頻形式, 如此就得以區域網路來設定

不好意思 大大!

那本不知道丟到哪裡去了=_=

不過我找到一個軟體是可以看的 EVEREST Ultimate Edition

我不太會看 英文 雖然有 附網址 @@

我想問 http://www.nvidia.com/Download/index.aspx?lang=en-us

這個網路卡的驅動程式的網頁進去 他會自動尋找你是什麼的 再讓你下載嗎@@?
(怕下錯)

大大 ! 又要大大的 麻煩您了!


主機板
欄位 值
電腦
電腦類型 ACPI Uniprocessor PC
作業系統 Microsoft Windows XP Professional
作業系統 Service Pack [ TRIAL VERSION ]
Internet Explorer 7.0.5730.13 (IE 7.0)
DirectX 4.09.00.0904 (DirectX 9.0c)
電腦名稱 MYCHAT-0F94A49A
用戶名稱 Administrator
登入網域 [ TRIAL VERSION ]
日期 / 時間 2008-07-30 / 06:19

主機板
CPU 類型 AMD Athlon 64, 1800 MHz (9 x 200) 3000+
主機板名稱 Gigabyte GA-M61VME-S2 (2 PCI, 1 PCI-E x1, 1 PCI-E x16, 2 DDR2 DIMM, Audio, Video, LAN)
主機板晶片組 nVIDIA nForce 6100-400, AMD Hammer
系統記憶體 [ TRIAL VERSION ]
DIMM1: 1024636750L 1 GB DDR2-667 DDR2 SDRAM (5-5-5-15 @ 333 MHz) (4-4-4-12 @ 266 MHz) (3-3-3-9 @ 200 MHz)
DIMM2: Kreton 514230120581350000 [ TRIAL VERSION ]
BIOS 類型 Award Modular (12/01/06)
序列和平行埠 通訊連接埠 (COM1)
序列和平行埠 通訊連接埠 (COM2)
序列和平行埠 印表機連接埠 (LPT1)

顯示器
視訊卡 NVIDIA GeForce 7300 GT (256 MB)
3D 加速器 nVIDIA GeForce 7300 GT
顯示器 Chi Mei 19" AD [19" LCD] (0)

多媒體
音訊卡 Realtek ALC883 @ nVIDIA MCP61 - High Definition Audio Controller

儲存
IDE 控制 NVIDIA MCP61 Serial ATA Controller
IDE 控制 標準雙通道 PCI IDE 控制器
軟碟機 軟碟機
磁碟機 ST340016A (40 GB, 7200 RPM, Ultra-ATA/100)
光學磁碟機 DVD-ROM 16X (16x DVD-ROM)
SMART 硬碟狀態 OK

分割區
C: (NTFS) [ TRIAL VERSION ]
D: (FAT32) 13141 MB (4514 MB 可用)
總共大小 [ TRIAL VERSION ]

輸入
鍵盤 標準 101/102 鍵或 Microsoft Natural PS/2 鍵盤
滑鼠 PS/2 相容滑鼠

網路
主 IP 位址 [ TRIAL VERSION ]
主 MAC 位址 00-0F-EA-66-CA-77
網路卡 NVIDIA nForce Networking Controller (192. [ TRIAL VERSION ])
網路卡 WAN (PPP/SLIP) Interface (218. [ TRIAL VERSION ])

週邊
印表機 Microsoft Office Document Image Writer
USB1 控制 nVIDIA MCP61 - OHCI USB 1.1 Controller
USB2 控制 nVIDIA MCP61 - EHCI USB 2.0 Controller

DMI
DMI BIOS 供應商 Award Software International, Inc.
DMI BIOS 版本 F5
DMI 系統製造商
DMI 系統產品
DMI 系統版本
DMI 系統序號 [ TRIAL VERSION ]
DMI 主機板製造商 Gigabyte Technology Co., Ltd.
DMI 主機板產品 M61VME-S2
DMI 主機板版本 x.x
DMI 主機板序號 [ TRIAL VERSION ]
DMI 底架製造商
DMI 底架版本
DMI 底架序號 [ TRIAL VERSION ]
DMI 底架 Asset 標籤 [ TRIAL VERSION ]
DMI 底架類型 Desktop Case
DMI 總共 / 可用記憶體 Sockets 2 / 0


請大大幫忙 :on_03:

Windows XP Professional 但沒有更新SP2或SP3嗎?
如沒有更新Service Pack,在下會建議樓主先更新看看喔
http://www.microsoft.com/downloads/d...playLang=zh-tw

按照主機板型號去技嘉科技找驅動下載，或者去nvidia科技官網下載GF7300GT繪圖晶片與

主機板晶片組 nVIDIA nForce 6100-400的驅動...

音效晶片去瑞昱科技官網找..ALC883驅動

你的電腦很簡單沒裝啥，去技嘉就可以找到主機板所需的全部驅動(只是版本較舊)..

網路設定? 去ISP看客服網頁教學，ADSL使用者就是PPPOE免安裝啥XP本身就支援..

抱歉 現在發現一個問題 @@

http://forum.slime.com.tw/thread231385.html


卡在 安裝第二部 放入檔案 !!!! 直接放在C曹 因為作者好像也放在C曹 !

可是他一直出現 請確定所選定的資料夾或磁碟機包含"i386'或'AMD64目錄
及正確的Windows安裝檔案

可是我下的 是iso檔 難道不對嗎@@? 還是缺少什麼東西呢!?

全部都安排好了 只差這一步 嗚嗚嗚!>"<