作者Jason11982 (神留的扑接..orz)
看板AntiVirus
标题Re: [问题] 中了疑似恶意广告的病毒.....@_@
时间Sun Aug 22 18:00:02 2004
※ 引述《eeverywhere (什麽啦 呜呜呜!!!@!)》之铭言:
你该不会是一边开魔兽一边做log档吧?
首页是被about:blank绑架吗?
重开机按F8进入安全模式後,找到以下档案并删除;找不到没关系
(连隐藏档都要找,建议可用搜寻)
按开始功能表-->搜寻-->档案或资料夹-->选"搜寻所有档案和资料"
-->进阶选项-->勾选"搜寻隐藏档案及资料夹"
C:\WINDOWS\System32\vblxjrzh.exe
C:\WINDOWS\System32\ytiyylpp.exe
C:\Documents and Settings\Administrator\Application Data\trsa.exe
C:\WINDOWS\System32\hvkpk.dll
C:\Program Files\NewDotNet\newdotnet6_30.dll
C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL
C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
C:\WINDOWS\System32\nvms.dll
C:\WNDOWS\System32\mscb.dll
C:\WINDOWS\System32\msbe.dll
C:\Program Files\WindUpdates\WinUpdt.exe
C:\WINDOWS\System32\system32.dll
用hijackthis,scan之後,将以下绿色的东西打勾,
按Fix checked,问是否要删除,按yes
: R3 - Default URLSearchHook is missing
: O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WIND
: OWS\mxTarget.dll
: O2 - BHO: (no name) - {3FFF3358-BD1B-09C2-D351-63550FAC296B} - C:\WINDOWS\Syst
: em32\hvkpk.dll
: O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program
: Files\NewDotNet\newdotnet6_30.dll
: O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:
: \Program Files\QuickSearch\QuickSearchBar1_27.dll
: O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
: O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\W
: INDOWS\System32\nvms.dll
: O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WI
: NDOWS\System32\mscb.dll
: O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\W
: INDOWS\System32\msbe.dll
: O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252}
: - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
: O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
: O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL
: ,NewDotNetStartup -s
: O4 - HKLM\..\Run: [fnwldn] C:\WINDOWS\System32\vblxjrzh.exe
: O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
: O4 - HKCU\..\Run: [Cfsrr] C:\WINDOWS\System32\ytiyylpp.exe
: O4 - HKCU\..\Run: [Ehtc] C:\Documents and Settings\Administrator\Application D
: ata\trsa.exe
: O10 - Hijacked Internet access by New.Net
: O10 - Hijacked Internet access by New.Net
: O10 - Hijacked Internet access by New.Net
: O10 - Hijacked Internet access by New.Net
: O10 - Hijacked Internet access by New.Net
: O15 - Trusted Zone: *.clickspring.net
: O15 - Trusted Zone: *.mt-download.com
: O15 - Trusted Zone: *.my-internet.info
: O15 - Trusted Zone: *.searchmeup.cc
: O15 - Trusted Zone: *.searchmiracle.com
: O15 - Trusted Zone: *.skoobidoo.com
: O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nos
: uch.mht!http://213.159.117.133/dl/fox/x.chm::/load.exe
: O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.
: com/get_file.php?bt=ie&p=0c8af29cad1529a0c2f12262efe492244d317f6ab2c86bff7585b
: 7e883263ddf35912dd813dee463c744961d2b31add589650eef4d876c0fc2a2f745d64562:c31e
: 3730b38c174130e1e2729109a237
: O21 - SSODL: System - {5A043B1B-1FC4-4512-919B-E0DBE8D8A80F} - C:\WINDOWS\syst
: em32\system32.dll
以下的档案及资料夹是你装的吗?如果不是,
请你找这些档案(连隐藏档都要找,建议可用搜寻)
对着档案按滑鼠右键-->内容-->版本,如果没有着作权,就把它删除
C:\WINDOWS\System32\services\wmplayer.exe
并用hijackthis,scan之後,将以下绿色的东西打勾,
按Fix checked,问是否要删除,按yes
: O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\wmplayer.exe
如果有首页被绑架的问题,也有装MSN plus ,
建议将MSN plus用 新增/移除程式 将之移除 ,
然後再重装,而且,"不要"勾选外挂程式和什麽赞助厂商的选项。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
以下为更改首页的登录值
http://myweb.hinet.net/home2/nomo/teach/un-web-kidnap.htm
(感谢NOMO大大答应转贴 原网址
http://nomos.24cc.com/)
解决「首页被更改设定」的问题:
首先要执行「登录编辑器」Regedit.exe
01.按「开始」→「执行」
然後在「开启」的空格内输入:regedit
接着会跑出「登录编辑器」
02.分别进入登陆位置:
HKEY_CURRENT_USER\Software\
Microsoft\Internet Explorer\Main
和
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Internet Explorer\Main
然後右边会有一个数值为「Start Page」→这是在修改你的「首页」
也就是每次开启IE浏览器所出现的第一个网页!
你只要在这个「Start Page」的数值上,按滑鼠左键两下
接着输入你想要的网站之网址!
例如:Yahoo!奇摩的网址:
http://tw.yahoo.com/
03.在登录编辑器上的左边视窗选择「我的电脑」,
接着再按键盘上的「Ctrl」+「F」键
或是功能表列的「编辑」→「寻找」
04.在「寻找目标」的空格输入「绑架你的网址」
并在「查看」勾选「资料」再按「找下一个」的按钮来开始寻找!
找到之後,就删除登录值!
接着再按键盘上的F3来继续寻找!
直到找不到任何登录值为止!
另外 建议使用置底文的ad-aware或spybot清除电脑中的广告软体
必做:马上为你使用者设密码(控制台中有一个使用者帐户 找到自己的名称
另外 你的电脑如果有Administrator ,Guest帐户的话 也一并设密码)
做完windows update(重大更新部份, 开始程式集中有) 以上
也请你将你的防毒软体更新到最新病毒码并扫毒过一次
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 61.31.169.63
1F:推 eeverywhere:谢谢 讲的很详细 这些事情 我刚刚也做过了 220.139.61.81 08/22
2F:→ eeverywhere:也解决差不多了 就是首页还没改回来 220.139.61.81 08/22