作者Jason11982 (神留的撲接..orz)
看板AntiVirus
標題Re: [問題] 中了疑似惡意廣告的病毒.....@_@
時間Sun Aug 22 18:00:02 2004
※ 引述《eeverywhere (什麼啦 嗚嗚嗚!!!@!)》之銘言:
你該不會是一邊開魔獸一邊做log檔吧?
首頁是被about:blank綁架嗎?
重開機按F8進入安全模式後,找到以下檔案並刪除;找不到沒關係
(連隱藏檔都要找,建議可用搜尋)
按開始功能表-->搜尋-->檔案或資料夾-->選"搜尋所有檔案和資料"
-->進階選項-->勾選"搜尋隱藏檔案及資料夾"
C:\WINDOWS\System32\vblxjrzh.exe
C:\WINDOWS\System32\ytiyylpp.exe
C:\Documents and Settings\Administrator\Application Data\trsa.exe
C:\WINDOWS\System32\hvkpk.dll
C:\Program Files\NewDotNet\newdotnet6_30.dll
C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL
C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
C:\WINDOWS\System32\nvms.dll
C:\WNDOWS\System32\mscb.dll
C:\WINDOWS\System32\msbe.dll
C:\Program Files\WindUpdates\WinUpdt.exe
C:\WINDOWS\System32\system32.dll
用hijackthis,scan之後,將以下綠色的東西打勾,
按Fix checked,問是否要刪除,按yes
: R3 - Default URLSearchHook is missing
: O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WIND
: OWS\mxTarget.dll
: O2 - BHO: (no name) - {3FFF3358-BD1B-09C2-D351-63550FAC296B} - C:\WINDOWS\Syst
: em32\hvkpk.dll
: O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program
: Files\NewDotNet\newdotnet6_30.dll
: O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:
: \Program Files\QuickSearch\QuickSearchBar1_27.dll
: O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
: O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\W
: INDOWS\System32\nvms.dll
: O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WI
: NDOWS\System32\mscb.dll
: O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\W
: INDOWS\System32\msbe.dll
: O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252}
: - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
: O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
: O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL
: ,NewDotNetStartup -s
: O4 - HKLM\..\Run: [fnwldn] C:\WINDOWS\System32\vblxjrzh.exe
: O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
: O4 - HKCU\..\Run: [Cfsrr] C:\WINDOWS\System32\ytiyylpp.exe
: O4 - HKCU\..\Run: [Ehtc] C:\Documents and Settings\Administrator\Application D
: ata\trsa.exe
: O10 - Hijacked Internet access by New.Net
: O10 - Hijacked Internet access by New.Net
: O10 - Hijacked Internet access by New.Net
: O10 - Hijacked Internet access by New.Net
: O10 - Hijacked Internet access by New.Net
: O15 - Trusted Zone: *.clickspring.net
: O15 - Trusted Zone: *.mt-download.com
: O15 - Trusted Zone: *.my-internet.info
: O15 - Trusted Zone: *.searchmeup.cc
: O15 - Trusted Zone: *.searchmiracle.com
: O15 - Trusted Zone: *.skoobidoo.com
: O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nos
: uch.mht!http://213.159.117.133/dl/fox/x.chm::/load.exe
: O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.
: com/get_file.php?bt=ie&p=0c8af29cad1529a0c2f12262efe492244d317f6ab2c86bff7585b
: 7e883263ddf35912dd813dee463c744961d2b31add589650eef4d876c0fc2a2f745d64562:c31e
: 3730b38c174130e1e2729109a237
: O21 - SSODL: System - {5A043B1B-1FC4-4512-919B-E0DBE8D8A80F} - C:\WINDOWS\syst
: em32\system32.dll
以下的檔案及資料夾是你裝的嗎?如果不是,
請你找這些檔案(連隱藏檔都要找,建議可用搜尋)
對著檔案按滑鼠右鍵-->內容-->版本,如果沒有著作權,就把它刪除
C:\WINDOWS\System32\services\wmplayer.exe
並用hijackthis,scan之後,將以下綠色的東西打勾,
按Fix checked,問是否要刪除,按yes
: O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\wmplayer.exe
如果有首頁被綁架的問題,也有裝MSN plus ,
建議將MSN plus用 新增/移除程式 將之移除 ,
然後再重裝,而且,"不要"勾選外掛程式和什麼贊助廠商的選項。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
以下為更改首頁的登錄值
http://myweb.hinet.net/home2/nomo/teach/un-web-kidnap.htm
(感謝NOMO大大答應轉貼 原網址
http://nomos.24cc.com/)
解決「首頁被更改設定」的問題:
首先要執行「登錄編輯器」Regedit.exe
01.按「開始」→「執行」
然後在「開啟」的空格內輸入:regedit
接著會跑出「登錄編輯器」
02.分別進入登陸位置:
HKEY_CURRENT_USER\Software\
Microsoft\Internet Explorer\Main
和
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Internet Explorer\Main
然後右邊會有一個數值為「Start Page」→這是在修改你的「首頁」
也就是每次開啟IE瀏覽器所出現的第一個網頁!
你只要在這個「Start Page」的數值上,按滑鼠左鍵兩下
接著輸入你想要的網站之網址!
例如:Yahoo!奇摩的網址:
http://tw.yahoo.com/
03.在登錄編輯器上的左邊視窗選擇「我的電腦」,
接著再按鍵盤上的「Ctrl」+「F」鍵
或是功能表列的「編輯」→「尋找」
04.在「尋找目標」的空格輸入「綁架你的網址」
並在「查看」勾選「資料」再按「找下一個」的按鈕來開始尋找!
找到之後,就刪除登錄值!
接著再按鍵盤上的F3來繼續尋找!
直到找不到任何登錄值為止!
另外 建議使用置底文的ad-aware或spybot清除電腦中的廣告軟體
必做:馬上為你使用者設密碼(控制台中有一個使用者帳戶 找到自己的名稱
另外 你的電腦如果有Administrator ,Guest帳戶的話 也一併設密碼)
做完windows update(重大更新部份, 開始程式集中有) 以上
也請你將你的防毒軟體更新到最新病毒碼並掃毒過一次
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.31.169.63
1F:推 eeverywhere:謝謝 講的很詳細 這些事情 我剛剛也做過了 220.139.61.81 08/22
2F:→ eeverywhere:也解決差不多了 就是首頁還沒改回來 220.139.61.81 08/22