主题：【求助】计算机中招了 -- 高野谪客

最近不知道上了哪个坏网站，计算机被装了什么东西，使用 IExplorer 的时候，经常随机自己跳出一个新的 IE 窗口，里边的内容是广告，有卖药的，有新闻频道，等等。这个新窗口和平时用的 IE 窗口不同，上面没有 Address Bar, Tab， 等等常见的零碎。

我把 IE - Internet Options - Privacy 调整到最高，拒绝接受任何 cookie，但这个广告窗口还是不断出现，而且每次出现后 IE - Internet Options - Privacy 都会被调到最低，接受任何 cookies。我有正版的 Norton Antivirus ＆ Internet Security，用 full system scan 扫描了好几次，发现了一两个 Trojan 和 tracking cookies，清理后再也扫描不出什么了。

怎么办呢？我基本上是计算机盲。哪位朋友指点一下，这是什么东西，该怎样对付？谢谢了！

自己可以放狗搜一下, 应该是很小的一个程序

运行之后可以看到添加到自己电脑注册表的各种选项

跟据您所说的, 忘言估计zkhs是navihelper之类的spyware, 在hijack里面直接删掉就行了

不过要小心, 看准了再下手-如果自己不确定的话四处多问问, 河里IT牛人不少

忘言自己是隔一段时间, 或是觉得机器不对劲的时候就检查一次...若有spyware一般很容易发现. 任务管理器也顺便看一下是否有不明进程

另外可以安装一下提前block spyware的程序, 比如spywareblaster

http://www.javacoolsoftware.com/spywareblaster.html 自己觉得有些效果

一家之言, 说错莫怪

祝好运

FYI: 以前众河友讨论过的关于杀毒软件选择的帖子 http://www.ccthere.com/article/1773695

当中不少是免费版

不知道你用不用迅雷，我发现安装迅雷会有可能被安装木马。

虽然土了点，还是挺管用的

从网上下一个windows清理助手试试看。

建议你用360，

现在各类清理软件中，数他升级最快。

功能也比较好，

楼下有建议用兔子的

兔子的功能还好

不过常见有用兔子弄坏系统的。

不安全，不推荐

1. 在 Windows Task Manager 里发现下述可疑 processes:

v_tr20081008.exe

unistub2.exe

conime.exe

swcript.exe

wmiprvse.exe

其中第一个在 Windows Task Manager 里一闪即逝，再也找不到。在 Explorer 里搜索c:\也搜不到。后面三个似乎是 Windows 自己的程序，但我平时从来在 Windows Task Manager 里看不到它们，现在突然出现，令我疑心。

2. 在 IE add-ons 里发现下述可疑 add-ons:

kptxfu.dll

nnnnNHba.dll

vtUlMEvu.dll

其中 kptxfu.dll 无法 disable。每次 disable 后关闭 IE 再打开，过一会儿，IE 头部的深蓝色边框闪成灰蓝，随即恢复正常，然后我再去检查 add-ons，就发现这个家伙又被 enable 了。同时我的Norton AntiVirus Phishing Protection 也被 disable，IE - Options - Privacy 被改成最低，accept all cookies。我在 Windows\system32\ 下面发现了这三个 .dll 文件，但无法删除。重启计算机，进入 safe mode，也无法删除。

3. 用 HijackThis 扫描，结果如下。其中 bold 部分是我认为可疑的部分。

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\System32\cisvc.exe

C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe

C:\Program Files\D-Link\Air Utility\AirCFG.exe

C:\Program Files\Alpha Networks\ANIWZCS Service\WZCSLDR.exe

C:\Program Files\MUSICMATCH\Musicmatch Jukebox\mmtask.exe

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Documents and Settings\Gang Wang.UNICORN\My Documents\Application source code files\hijackthis\HijackThis.exe

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\CoIEPlg.dll

O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [D-Link Air Utility] C:\Program Files\D-Link\Air Utility\AirCFG.exe

O4 - HKLM\..\Run: [ANIWZCSService] C:\Program Files\Alpha Networks\ANIWZCS Service\WZCSLDR.exe

O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\Ringz Studio\Storm Codec\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\Daemon-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\Musicmatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"

O4 - HKLM\..\Run: [lphc7w3j0e73g] C:\WINDOWS\system32\lphc7w3j0e73g.exe

O4 - HKLM\..\Run: [2023455d] rundll32.exe "C:\WINDOWS\system32\fqovhhon.dll",b

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Download all by Net Transport - C:\PROGRA~1\Xi\NETTRA~1\NTAddList.html

O8 - Extra context menu item: Download by Net Transport - C:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html

O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\QQ\AddPanel.htm

O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\QQ\AddEmotion.htm

O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\QQ\SendMMS.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\QQ\QQ.EXE (file missing)

O9 - Extra 'Tools' menuitem: ìú??QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\QQ\QQ.EXE (file missing)

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} - http://wwws.musicmatch.com/mmz/openWebRadio.html (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0C92900E-4D5A-4F04-ACC9-729E1767BBAE} (Image Uploader Control) - http://pephoto.lifepics.com/net/Uploader/LPUploader45.cab

O16 - DPF: {2E12FB00-546B-4EE3-9CC2-057BF02E1C17} (Webshots Multiple Media Uploader - Container) - http://community.webshots.com/html/atx/wsaxcontrol.cab

O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://photos.walmart.com/WalmartActivia.cab

O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153559423437

O20 - AppInit_DLLs: kptxfu.dll

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe

O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe

O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\ISO Recorder\ImapiHelper.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe

其中那个稀奇古怪的 lphc7w3j0e73g.exe 在 Windows\System32\ 下面找不到。

请朋友们指点迷津。多谢多谢！

似乎 cookies 有问题，应该是我目前 IE 的问题造成的。暂时不能给各位帮忙的朋友送花。等计算机修好补上。

用KAV／NOD看看

1. 在 Windows Task Manager 里发现下述可疑 processes:

v_tr20081008.exe 毒

unistub2.exe 不一定

conime.exe OK

swcript.exe OK

wmiprvse.exe OK

2. 在 IE add-ons 里发现下述可疑 add-ons:

kptxfu.dll 存疑

nnnnNHba.dll 毒

vtUlMEvu.dll 存疑

O4 - HKLM\..\Run: [lphc7w3j0e73g] C:\WINDOWS\system32\lphc7w3j0e73g.exe

O4 - HKLM\..\Run: [2023455d] rundll32.exe "C:\WINDOWS\system32\fqovhhon.dll",b

第一个肯定是毒，乱文件名＋开机自启动

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

这个多半是OK 的

firefox跟opera中毒的可能性都小一些。

我一通瞎捣鼓,包括在 IE 里 disable 可疑的 add-on，删除 Windows\System32\ 和 Windows\System32\Temp\ 下面的这几个可疑的 .exe 和 .dll 文件，删不掉就给文件改名，用 HiJackThis 来修理可疑的文件和注册表，又下载了一个软件叫做 Spybot 来反复检查删除带木马的文件。

目前的情况是，有毒的执行程序仍然在，不时的闪一下，企图打开一个新 IE 窗口。但是可能是相关的某些 .dll 文件被我破坏掉了，所以总是打不开。v_tr20081008.exe 和 unistub2.exe 在 C:\ 上找不到。kptxfu.dll 和 vtUlMEvu.dll 被我在 IE add-ons 里 disable 并在 Explorer 里改了名字。nnnnNHba.dll 被我 disable 了，但无法删除或者改名。lphc7w3j0e73g.exe 被我删除掉了。但我怀疑敌人改了个名字又隐藏在别的地方了。

目前主要是两个难点，一是怎样把 nnnnNHba.dll 破坏掉。二是怎样找到病毒或木马的执行程序，把它删掉。