淘客熙熙

主题:【求助】计算机中招了 -- 高野谪客

共:💬26 🌺25
分页树展主题 · 全看首页 上页
/ 2
下页 末页
  • 家园 【求助】计算机中招了

    最近不知道上了哪个坏网站,计算机被装了什么东西,使用 IExplorer 的时候,经常随机自己跳出一个新的 IE 窗口,里边的内容是广告,有卖药的,有新闻频道,等等。这个新窗口和平时用的 IE 窗口不同,上面没有 Address Bar, Tab, 等等常见的零碎。

    点看全图

    我把 IE - Internet Options - Privacy 调整到最高,拒绝接受任何 cookie,但这个广告窗口还是不断出现,而且每次出现后 IE - Internet Options - Privacy 都会被调到最低,接受任何 cookies。我有正版的 Norton Antivirus & Internet Security,用 full system scan 扫描了好几次,发现了一两个 Trojan 和 tracking cookies,清理后再也扫描不出什么了。

    怎么办呢?我基本上是计算机盲。哪位朋友指点一下,这是什么东西,该怎样对付?谢谢了!

    • 家园 这个应该是流氓软件所为.

      估计是写到REGISTRY里了.

      需要找到REGISTRY, 来手动删了.

    • 家园 逐篇送花,感谢支持

      终于可以正常登陆和送花了。在ctrlz 河友的回复帖子里还炸出一枚给作者的通宝来。

      感谢各位三老四少的支持帮助。

    • 家园 世界清净了

      一通折腾,最后系统找不到硬盘了。估计是硬盘坏了。正在上网买硬盘。另外还需要找 Window XP 的操作系统。我的机器是 Dell 的,本来自带操作系统恢复盘,但。。。。。。搬家搞丢了。打算打电话问问 Dell 能不能给我再寄一份,估计没戏,已经过了保修期了。

      谁知道哪里可以找到 Windows XP 的操作系统,告我一声。买个正版的太贵了,还不如重新买个 Dell 电脑。

      • 家园 down一个阿
        • 家园 正在用 emule 下载

          但是对这个版本不太托底。以前有河友提示过 emule 上的有些 .exe 文件不太安全。昨天企图从番茄花园找一个,还没开始 download,就被防病毒和防木马软件一连串提示危险,吓得我赶紧把番茄花园的网页关掉。国内网站往往很不安全,我后怕得说。不地道。

    • 家园 360+清理助手

      lz先去www.360.cn下一个360安全助手扫一遍插件,再用高级工具看看有没有底层协议绑架

      再去www.arswp.com下清理助手彻底查杀

    • 家园 用autoruns把可疑的先不加载

      我的计算机是不加杀毒软件的,靠着autoruns及冰刀,多年下来也还没啥事。

      Norton在杀木马方面就是0.

      前几天靠着冰刀发现正版的daemon-tool-lite-4竟然带有一个十分可疑的东西。在SSDT中发现一个可疑挂钩,文件名为SP??.SYS,每次重启名字还不同。

      点看全图

    • 家园 try 卡卡安全助手。
    • 家园 Symantec norton查毒软件对于木马根本无视

      用KAV/NOD看看

    • 家园 登录 ccthere 后总是迅速变成游客

      似乎 cookies 有问题,应该是我目前 IE 的问题造成的。暂时不能给各位帮忙的朋友送花。等计算机修好补上。

    • 家园 新进展

      1. 在 Windows Task Manager 里发现下述可疑 processes:

      v_tr20081008.exe

      unistub2.exe

      conime.exe

      swcript.exe

      wmiprvse.exe

      其中第一个在 Windows Task Manager 里一闪即逝,再也找不到。在 Explorer 里搜索c:\也搜不到。后面三个似乎是 Windows 自己的程序,但我平时从来在 Windows Task Manager 里看不到它们,现在突然出现,令我疑心。

      2. 在 IE add-ons 里发现下述可疑 add-ons:

      kptxfu.dll

      nnnnNHba.dll

      vtUlMEvu.dll

      其中 kptxfu.dll 无法 disable。每次 disable 后关闭 IE 再打开,过一会儿,IE 头部的深蓝色边框闪成灰蓝,随即恢复正常,然后我再去检查 add-ons,就发现这个家伙又被 enable 了。同时我的Norton AntiVirus Phishing Protection 也被 disable,IE - Options - Privacy 被改成最低,accept all cookies。我在 Windows\system32\ 下面发现了这三个 .dll 文件,但无法删除。重启计算机,进入 safe mode,也无法删除。

      3. 用 HijackThis 扫描,结果如下。其中 bold 部分是我认为可疑的部分。

      Running processes:

      C:\WINDOWS\System32\smss.exe

      C:\WINDOWS\system32\winlogon.exe

      C:\WINDOWS\system32\services.exe

      C:\WINDOWS\system32\lsass.exe

      C:\WINDOWS\system32\svchost.exe

      C:\WINDOWS\System32\svchost.exe

      C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

      C:\WINDOWS\Explorer.EXE

      C:\WINDOWS\system32\spoolsv.exe

      C:\WINDOWS\system32\ctfmon.exe

      C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

      C:\WINDOWS\System32\cisvc.exe

      C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe

      C:\WINDOWS\System32\snmp.exe

      C:\WINDOWS\System32\svchost.exe

      C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe

      C:\Program Files\D-Link\Air Utility\AirCFG.exe

      C:\Program Files\Alpha Networks\ANIWZCS Service\WZCSLDR.exe

      C:\Program Files\MUSICMATCH\Musicmatch Jukebox\mmtask.exe

      C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

      C:\WINDOWS\system32\rundll32.exe

      C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

      C:\Documents and Settings\Gang Wang.UNICORN\My Documents\Application source code files\hijackthis\HijackThis.exe

      O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

      O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\CoIEPlg.dll

      O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe

      O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe

      O4 - HKLM\..\Run: [D-Link Air Utility] C:\Program Files\D-Link\Air Utility\AirCFG.exe

      O4 - HKLM\..\Run: [ANIWZCSService] C:\Program Files\Alpha Networks\ANIWZCS Service\WZCSLDR.exe

      O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti

      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\Ringz Studio\Storm Codec\qttask.exe" -atboottime

      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

      O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\Daemon-Tools\daemon.exe" -lang 1033

      O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\Musicmatch Jukebox\mmtask.exe

      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

      O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"

      O4 - HKLM\..\Run: [lphc7w3j0e73g] C:\WINDOWS\system32\lphc7w3j0e73g.exe

      O4 - HKLM\..\Run: [2023455d] rundll32.exe "C:\WINDOWS\system32\fqovhhon.dll",b

      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

      O4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe

      O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

      O8 - Extra context menu item: Download all by Net Transport - C:\PROGRA~1\Xi\NETTRA~1\NTAddList.html

      O8 - Extra context menu item: Download by Net Transport - C:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html

      O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm

      O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm

      O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\QQ\AddPanel.htm

      O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\QQ\AddEmotion.htm

      O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\QQ\SendMMS.htm

      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

      O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

      O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\QQ\QQ.EXE (file missing)

      O9 - Extra 'Tools' menuitem: ìú??QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\QQ\QQ.EXE (file missing)

      O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

      O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

      O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

      O9 - Extra button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} - http://wwws.musicmatch.com/mmz/openWebRadio.html (file missing)

      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

      O11 - Options group: [INTERNATIONAL] International*

      O16 - DPF: {0C92900E-4D5A-4F04-ACC9-729E1767BBAE} (Image Uploader Control) - http://pephoto.lifepics.com/net/Uploader/LPUploader45.cab

      O16 - DPF: {2E12FB00-546B-4EE3-9CC2-057BF02E1C17} (Webshots Multiple Media Uploader - Container) - http://community.webshots.com/html/atx/wsaxcontrol.cab

      O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://photos.walmart.com/WalmartActivia.cab

      O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab

      O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153559423437

      O20 - AppInit_DLLs: kptxfu.dll

      O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

      O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

      O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

      O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

      O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe

      O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe

      O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\ISO Recorder\ImapiHelper.exe

      O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

      O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

      O23 - Service: LiveUpdate Notice - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

      O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe

      其中那个稀奇古怪的 lphc7w3j0e73g.exe 在 Windows\System32\ 下面找不到。

      请朋友们指点迷津。多谢多谢!

      • 家园 试图做些补充

        提出的问题jet兄基本都回答了, 剩下一个

        O20 - AppInit_DLLs: kptxfu.dll

        不好说, 请兄台想一想是否有安装的软件可能和这个有关联

        (忘言机器上有 020 – appinit_dlls: avgrsstx.dll, 原因显然是因为自己装了AVG 8.0)

        上次忘了说了, 兄台有空不妨试一下Ad Aware Free, 看看是不是能先去除一些间谍软件

        http://www.lavasoft.com/products/ad_aware_free.php

        不行的话再想办法

        删不掉的dll之类文件如果名字路径是固定的, 可以试试改CMOS用光盘启动进dos然后手动删了丫

        可变的忘言就不知道了

        最后胡说一句: 本轮风波过后, 兄台的系统似乎该清理一下了

        兄台也不要灰心, 慢慢来

        鲜花已经成功送出。

        此次送花为【有效送花赞扬,涨乐善、声望】

        PS: JT回一下sweeter兄: hijack应该有很多版本, 忘言用的是一个比较早的汉化版(好像是v 1.99)是免费的, 兄台不妨自己多找找, 应该能找到免费版

分页树展主题 · 全看首页 上页
/ 2
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河