淘客熙熙

主题:【求助】计算机中招了 -- 高野谪客

共:💬26 🌺25
全看树展主题 · 分页首页 上页
/ 2
下页 末页
家园 【求助】计算机中招了

最近不知道上了哪个坏网站,计算机被装了什么东西,使用 IExplorer 的时候,经常随机自己跳出一个新的 IE 窗口,里边的内容是广告,有卖药的,有新闻频道,等等。这个新窗口和平时用的 IE 窗口不同,上面没有 Address Bar, Tab, 等等常见的零碎。

点看全图

我把 IE - Internet Options - Privacy 调整到最高,拒绝接受任何 cookie,但这个广告窗口还是不断出现,而且每次出现后 IE - Internet Options - Privacy 都会被调到最低,接受任何 cookies。我有正版的 Norton Antivirus & Internet Security,用 full system scan 扫描了好几次,发现了一两个 Trojan 和 tracking cookies,清理后再也扫描不出什么了。

怎么办呢?我基本上是计算机盲。哪位朋友指点一下,这是什么东西,该怎样对付?谢谢了!

家园 检查一下IE插件
家园 不妨试一下hijackthis?

自己可以放狗搜一下, 应该是很小的一个程序

运行之后可以看到添加到自己电脑注册表的各种选项

跟据您所说的, 忘言估计zkhs是navihelper之类的spyware, 在hijack里面直接删掉就行了

不过要小心, 看准了再下手-如果自己不确定的话四处多问问, 河里IT牛人不少

忘言自己是隔一段时间, 或是觉得机器不对劲的时候就检查一次...若有spyware一般很容易发现. 任务管理器也顺便看一下是否有不明进程

另外可以安装一下提前block spyware的程序, 比如spywareblaster

http://www.javacoolsoftware.com/spywareblaster.html 自己觉得有些效果

一家之言, 说错莫怪

祝好运

鲜花已经成功送出。

此次送花为【有效送花赞扬,涨乐善、声望】

FYI: 以前众河友讨论过的关于杀毒软件选择的帖子 http://www.ccthere.com/article/1773695

当中不少是免费版

家园 用microsoft的defender来查找一下

不知道你用不用迅雷,我发现安装迅雷会有可能被安装木马。

家园 不妨试试那些魔法兔子之类的吧

虽然土了点,还是挺管用的

家园 从网上下一个windows清理助手试试看。

从网上下一个windows清理助手试试看。

家园 问题好像不是很大

建议你用360,

现在各类清理软件中,数他升级最快。

功能也比较好,

楼下有建议用兔子的

兔子的功能还好

不过常见有用兔子弄坏系统的。

不安全,不推荐

家园 新进展

1. 在 Windows Task Manager 里发现下述可疑 processes:

v_tr20081008.exe

unistub2.exe

conime.exe

swcript.exe

wmiprvse.exe

其中第一个在 Windows Task Manager 里一闪即逝,再也找不到。在 Explorer 里搜索c:\也搜不到。后面三个似乎是 Windows 自己的程序,但我平时从来在 Windows Task Manager 里看不到它们,现在突然出现,令我疑心。

2. 在 IE add-ons 里发现下述可疑 add-ons:

kptxfu.dll

nnnnNHba.dll

vtUlMEvu.dll

其中 kptxfu.dll 无法 disable。每次 disable 后关闭 IE 再打开,过一会儿,IE 头部的深蓝色边框闪成灰蓝,随即恢复正常,然后我再去检查 add-ons,就发现这个家伙又被 enable 了。同时我的Norton AntiVirus Phishing Protection 也被 disable,IE - Options - Privacy 被改成最低,accept all cookies。我在 Windows\system32\ 下面发现了这三个 .dll 文件,但无法删除。重启计算机,进入 safe mode,也无法删除。

3. 用 HijackThis 扫描,结果如下。其中 bold 部分是我认为可疑的部分。

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\System32\cisvc.exe

C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe

C:\Program Files\D-Link\Air Utility\AirCFG.exe

C:\Program Files\Alpha Networks\ANIWZCS Service\WZCSLDR.exe

C:\Program Files\MUSICMATCH\Musicmatch Jukebox\mmtask.exe

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Documents and Settings\Gang Wang.UNICORN\My Documents\Application source code files\hijackthis\HijackThis.exe

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\CoIEPlg.dll

O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [D-Link Air Utility] C:\Program Files\D-Link\Air Utility\AirCFG.exe

O4 - HKLM\..\Run: [ANIWZCSService] C:\Program Files\Alpha Networks\ANIWZCS Service\WZCSLDR.exe

O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\Ringz Studio\Storm Codec\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\Daemon-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\Musicmatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"

O4 - HKLM\..\Run: [lphc7w3j0e73g] C:\WINDOWS\system32\lphc7w3j0e73g.exe

O4 - HKLM\..\Run: [2023455d] rundll32.exe "C:\WINDOWS\system32\fqovhhon.dll",b

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Download all by Net Transport - C:\PROGRA~1\Xi\NETTRA~1\NTAddList.html

O8 - Extra context menu item: Download by Net Transport - C:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html

O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\QQ\AddPanel.htm

O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\QQ\AddEmotion.htm

O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\QQ\SendMMS.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\QQ\QQ.EXE (file missing)

O9 - Extra 'Tools' menuitem: ìú??QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\QQ\QQ.EXE (file missing)

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} - http://wwws.musicmatch.com/mmz/openWebRadio.html (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0C92900E-4D5A-4F04-ACC9-729E1767BBAE} (Image Uploader Control) - http://pephoto.lifepics.com/net/Uploader/LPUploader45.cab

O16 - DPF: {2E12FB00-546B-4EE3-9CC2-057BF02E1C17} (Webshots Multiple Media Uploader - Container) - http://community.webshots.com/html/atx/wsaxcontrol.cab

O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://photos.walmart.com/WalmartActivia.cab

O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153559423437

O20 - AppInit_DLLs: kptxfu.dll

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe

O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe

O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\ISO Recorder\ImapiHelper.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe

其中那个稀奇古怪的 lphc7w3j0e73g.exe 在 Windows\System32\ 下面找不到。

请朋友们指点迷津。多谢多谢!

家园 登录 ccthere 后总是迅速变成游客

似乎 cookies 有问题,应该是我目前 IE 的问题造成的。暂时不能给各位帮忙的朋友送花。等计算机修好补上。

家园 Symantec norton查毒软件对于木马根本无视

用KAV/NOD看看

家园 千万不要用迅雷啊。。。
家园 建议

1. 在 Windows Task Manager 里发现下述可疑 processes:

v_tr20081008.exe 毒

unistub2.exe 不一定

conime.exe OK

swcript.exe OK

wmiprvse.exe OK

2. 在 IE add-ons 里发现下述可疑 add-ons:

kptxfu.dll 存疑

nnnnNHba.dll 毒

vtUlMEvu.dll 存疑

O4 - HKLM\..\Run: [lphc7w3j0e73g] C:\WINDOWS\system32\lphc7w3j0e73g.exe

O4 - HKLM\..\Run: [2023455d] rundll32.exe "C:\WINDOWS\system32\fqovhhon.dll",b

第一个肯定是毒,乱文件名+开机自启动

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

这个多半是OK 的

家园 别用IE了,筛子似的

firefox跟opera中毒的可能性都小一些。

家园 hijactthis要交钱的$49.95,有没有免费版?
建议
家园 多谢

我一通瞎捣鼓,包括在 IE 里 disable 可疑的 add-on,删除 Windows\System32\ 和 Windows\System32\Temp\ 下面的这几个可疑的 .exe 和 .dll 文件,删不掉就给文件改名,用 HiJackThis 来修理可疑的文件和注册表,又下载了一个软件叫做 Spybot 来反复检查删除带木马的文件。

目前的情况是,有毒的执行程序仍然在,不时的闪一下,企图打开一个新 IE 窗口。但是可能是相关的某些 .dll 文件被我破坏掉了,所以总是打不开。v_tr20081008.exe 和 unistub2.exe 在 C:\ 上找不到。kptxfu.dll 和 vtUlMEvu.dll 被我在 IE add-ons 里 disable 并在 Explorer 里改了名字。nnnnNHba.dll 被我 disable 了,但无法删除或者改名。lphc7w3j0e73g.exe 被我删除掉了。但我怀疑敌人改了个名字又隐藏在别的地方了。

目前主要是两个难点,一是怎样把 nnnnNHba.dll 破坏掉。二是怎样找到病毒或木马的执行程序,把它删掉。

全看树展主题 · 分页首页 上页
/ 2
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河