|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2007-04-12, 11:46 PM | #1 |
註冊會員
|
求助 - 電腦疑似被植入惡意程式且無法刪除
請教各位大大,我的電腦前幾天突然無法流覽有影音檔的網頁,如蕃薯藤的新聞影音,或 msn.com 的vedio highlights,前者是只要一點影音畫面,網頁就當掉,後者是影音播放器一片空白。還有到微軟網頁下載更新,進入網頁按下載後,就會當機。電腦螢幕下方的工具列會出現一個內含驚嘆號黃色盾牌圖示,將滑鼠放在上面,出現「正在下載更新33%」,無論開機多久,永遠是「正在下載更新33%」。
我以 Hijack This 掃瞄電腦,發現裡面有兩隻可疑的惡意檔 O10 Unknown file in Winsock LSP: c:\windows\system32\md8media.dll O10 Unknown file in Winsock LSP: c:\windows\system32\md8media.dll 勾選後按 [fix checked] 卻無法刪除,且有訊息應用LSPFix,並建議到http://www.cexx.org/lspfix.htm if O10 item belongs to WebHancer, New.Net or CommonName, Spybot S&D can remove it automatically, Spybot S&D is available from http://www.spybot.info/. 請問該怎麼處理,才能除去病毒並恢復可流覽音影網頁? (我有用過卡巴斯基和 Ad Aware 等掃毒軟體掃過,這兩種列出的病毒名單都未列出上述奇怪檔案) 此帖於 2007-04-12 11:49 PM 被 OceanSky 編輯. 原因: 補充 |
送花文章: 2,
|
2007-04-13, 01:04 AM | #2 (permalink) |
超級版主
|
其實您的狀況看起來似乎跟病毒無關 倒是像您某個程式(很可能是音效卡或其他播放程式)在試圖下載但不成功 剛剛也幫您在google yahoo等各網站查過 這個檔案都搜索不出任何相關資料
請您回憶一下在聲音出問題前的那兩天您是否有安裝過什麼跟音效有關的程式 如果有的話請您先移除它們 另外再不行 就請您去TASK MANAGER(好像叫"工作管理員")裡去把這個檔案關掉 看能不能恢復 |
__________________ 經驗分享是學習的一種 請多珍惜這片學習的園地 史版啞甘部主任 |
|
送花文章: 52690,
|
向 Living 送花的會員:
|
OceanSky (2007-04-14)
感謝您發表一篇好文章 |
2007-04-13, 03:19 PM | #5 (permalink) | |
註冊會員
|
引用:
原本以為是下載更新的問題,我打電話到微軟問,他們的工程師用遠端分享桌面的方式幫我查看電腦,找到兩隻惡意程式 (好像是叫 fake program,也就是看起來像是一般程式,其實是假冒的,而且會造成問題),位於O10 c:\Windows\system32\od2meida.dll,因為程式名有meida,所以應該是會對media 方面造成問題,移除掉這兩隻檔案後便沒問題了,可以看影片也可以下載微軟的更新。 可是第二天又發生問題,我用掃毒軟體再掃一次,掃掉一些木馬程式和病毒,唯獨這兩隻新跑出來的掃不掉,而微軟那邊認為無法下載更新是因為病毒的關係,我必需自己先解決病毒問題,他們才能再度幫我查看下載更新的問題。 → 所以,我想這兩隻應該就是難以刪除的惡意程式,如果沒辦法移除的話,問題還是會存在‧‧‧ |
|
送花文章: 2,
|
2007-04-13, 03:24 PM | #6 (permalink) |
註冊會員
|
請幫忙查看,感謝 m (_ _) m (其中的 O10 就是疑似惡意程式項目)
Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATSwpNav] C:\Program Files\Fingerprint Sensor\AtSwpNav.exe -run O4 - HKLM\..\Run: [OmniPass] C:\Program Files\Softex\OmniPass\scureapp.exe O4 - HKLM\..\Run: [IndicatorUtility] C:\Program Files\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKLM\..\RunOnce: [KB926239] rundll32.exe apphelp.dll,ShimFlushCache O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RealPlayer] "C:\Program Files\Real\RealPlayer\realplay.exe" /RunUPGToolCommandReBoot O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java 主控台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: 網頁防護 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: ComcastHSI - {669B269B-0D4E-41FB-A3D8-FD67CA94F646} - http://www.comcast.net/ (file missing) O9 - Extra button: Support - {8828075D-D097-4055-AA02-2DBFA9D85E8A} - http://www.comcastsupport.com/ (file missing) O9 - Extra button: Help - {97809617-3937-4F84-B335-9BB05EF1A8D4} - http://online.comcast.net/help/ (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\md8media.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\md8media.dll O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=http://www.pc-ap.fujitsu.com/ O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {3D8C5C3D-35A0-43F7-8813-36902A92766D} (SoftLinkUpdate Class) - https://sol.softitler.com/downloads/SoftLink.exe O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://metronavi.trtc.com.tw/mgaxctrl.cab O16 - DPF: {A86FEA6F-95C0-4190-A622-C5C02739CBE3} (WebTransfer Control) - https://sol.softitler.com/Downloads/WebTranU.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: OPXPGina - C:\Program Files\Softex\OmniPass\opxpgina.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing) O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Program Files\Softex\OmniPass\Omniserv.exe O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe 此帖於 2007-04-14 12:30 AM 被 OceanSky 編輯. 原因: 刪掉不相關訊息 |
送花文章: 2,
|
2007-04-13, 03:45 PM | #7 (permalink) |
長老會員
|
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: ComcastHSI - {669B269B-0D4E-41FB-A3D8-FD67CA94F646} - http://www.comcast.net/ (file missing) File Missing When a file is missing, you should always have HijackThis fix the item. O9 - Extra button: Support - {8828075D-D097-4055-AA02-2DBFA9D85E8A} - http://www.comcastsupport.com/ (file missing) File Missing When a file is missing, you should always have HijackThis fix the item. O9 - Extra button: Help - {97809617-3937-4F84-B335-9BB05EF1A8D4} - http://online.comcast.net/help/ (file missing) File Missing When a file is missing, you should always have HijackThis fix the item. O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) File Missing When a file is missing, you should always have HijackThis fix the item. O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing) 這幾項都要修復 之前提到的 010 必需要用專門工具修復 看看這一篇: http://bbs.52happy.net/read.php?tid=178917 |
送花文章: 6,
|
向 plunderer 送花的會員:
|
zazoo (2007-04-13)
感謝您發表一篇好文章 |
2007-04-14, 12:45 AM | #9 (permalink) | |
長老會員
|
引用:
【举例】 O10 - Unknown file in Winsock LSP: c:\windows\system32\hbmter.dll c:\windows\system32\hbmter.dll是C:\Program Files\HBClient\的一个文件 C:\Program Files\HBClient\是很棒小秘书流氓软件 瑞星将之报为AdWare.HBang.e 专业杀软查杀后会导致无法上网 【分析】 010项在HIJACKTHIS日志中是特别的一个项目 O10项代表的Winsock LSP(Layered Service Provider) 简言之就是网络交换与连接 由于LSP的特殊性 如果直接修复010项或直接删除与010项相关的文件 而不恢复LSP的正常状态 很可能会导致无法连通网络 【解决】 遇到O10项需要修复时 建议使用专门工具修复 以c:\windows\system32\hbmter.dll(AdWare.HBang.e)为例 下载:http://www.cexx.org/lspfix.exe 修复c:\windows\system32\hbmter.dll 修复方法参考图片 注意这次应该选中hbmter.dll 【温馨提示】 遇到HIJACKTHIS日志中的010项 大家一定要慎重 千万不要直接修复010项或直接删除与010项有关的文件 否则会导致无法上网 【补救措施】 方法1: 使用HIJACKTHIS导出日志 查看日志中可疑的010项 记下010项中的文件 (注意:确信是由该文件导致了无法上网) 用LSP-FIX修复010项中的可疑文件 现以hbmter.dll为例来说明修复方法 因为hbmter.dll已经丢失 所以hbmter.dll文件在出现在LSP-FIX的右边的框中 现在修复的任务就是把hbmter.dll转移到LSP-FIX的左边的框中 修复方法参考图片(修复方向与图片上的修复方向相反,切记!!) 然后重启 方法2: 使用WinsockFix使用一下注册表 建议操作之前备份一下注册表 然后重启 方法3: 使用SP2ConnectivityFix工具(注意本工具只适合于XPSP2系统) 解压后运行其中的WindowsXP-KB884020-x86-enu.exe 然后再双击FixReg.reg将其导入到注册表中 最后再使用WinsockFix修复注册表 重启 如果还不行 在命令行窗口中执行命令“netsh winsock reset” 运行后再重启系统 建议操作之前备份一下注册表 方法4: 使用XP TCP/IP Repair(注意本工具只适用于XP系统) 修复Winsock以及重置TCP/IP 建议操作之前备份一下注册表 然后重启 方法5: 重装TCP/IP协议 方法6: 修复或重装系统 【相关工具下载】 HIJACKTHIS: http://forum.ikaka.com/topic.asp?board=28&artid=6979213 WinsockFix: http://www.winsockfix.nl/ LSP-FIX: http://www.winsockfix.nl/ XP TCP/IP Repair: http://www.xp-smoker.com/freeware.html SP2ConnectivityFix: http://www.pchell.com/downloads/SP2ConnectivityFix.zip |
|
送花文章: 6,
|
向 plunderer 送花的會員:
|
OceanSky (2007-04-14)
感謝您發表一篇好文章 |
2007-04-14, 01:09 AM | #10 (permalink) | |
註冊會員
|
引用:
多謝大大幫忙 可是上微軟下載更新仍有困難: 不過病毒清掉了 再打電話請微軟處理無法上網更新的問題 他們應該沒有理由拒絕了吧 |
|
送花文章: 2,
|