哭死~~~这个木马还是啥的,不知道怎么办?
查出来是C:\WINDOWS\DOWNLO~1\CnsHook.dll-=>Adware.Cdn.4496有病毒但是删不掉
我总是弹出广告网页
什么淘宝什么XX....之类的
不知道应该用什么杀??
求助~~~~
:017: :017: :017: :017:
回复: 哭死~~~这个木马还是啥的,不知道怎么办?
cnshook.dll 就是3721的一个动态链接库。要删除,添加删除程序,删除3721即可。
回复: 哭死~~~这个木马还是啥的,不知道怎么办?
LZ弹出的广告,估计不是cnshook所为。个人猜测感觉好像是IE-Bar
看看开始 所有程序 启动 中是否有IE-BAR存在。
回复: 哭死~~~这个木马还是啥的,不知道怎么办?
我没装3721呀 倒是装了个yahoo上网助手IE-Bar的这个问题应该怎么解决呢MS就是IE-Bar造成的~
回复: 哭死~~~这个木马还是啥的,不知道怎么办?
用这个试一试:037: :037:回复: 哭死~~~这个木马还是啥的,不知道怎么办?
再给个程序,扫描后把日志复制过来,中午我过来看一看:013: :012:回复: 哭死~~~这个木马还是啥的,不知道怎么办?
看起来真复杂 我来试下~回复: 哭死~~~这个木马还是啥的,不知道怎么办?
万事开头难,慢慢来:016:回复: 哭死~~~这个木马还是啥的,不知道怎么办?
先用那个清楚助手的 然后用那个全是英文的东西 也没看懂所以也不知道我贴出来的是不是日志~~
Logfile of HijackThis v1.99.1
Scan saved at 1:05:36, on 2006-7-24
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\VIPTray.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\conime.exe
D:\金山\KWatch.EXE
D:\金山\KPfwSvc.EXE
D:\金山\KMailMon.EXE
C:\Program Files\Chinanet\VnetClient.exe
F:\新建文件夹 (2)\QQ.exe
F:\新建文件夹 (2)\TIMPlatform.exe
F:\新建文件夹 (2)\QQ.exe
C:\WINDOWS\system32\svchost.exe
F:\TT\TTraveler.exe
F:\新建文件夹 (2)\QZone\QZone.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\HijackThis.exe
O2 - BHO: BrowserHelper Class - {2D99E8F4-56B7-457B-9A92-61B5D247D263} - C:\WINDOWS\system32\WinDefendor.dll
O4 - HKLM\..\Run: "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: SOUNDMAN.EXE
O4 - HKLM\..\Run: C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: "D:\金山\KAVStart.exe" -startup
O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: IE-BAR.lnk = ?
O8 - Extra context menu item: &使用迅雷下载 - E:\迅雷\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - E:\迅雷\Program\GetAllUrl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - F:\新建文件夹 (2)\AddToNetDisk.htm
O8 - Extra context menu item: 加入POCO网摘(&K) - http://my.poco.cn/fav/rightClick.php
O8 - Extra context menu item: 我的POCO网摘(&O) - http://my.poco.cn/fav/open_myfav.php
O8 - Extra context menu item: 添加到QQ自定义面板 - F:\新建文件夹 (2)\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - F:\新建文件夹 (2)\AddEmotion.htm
O8 - Extra context menu item: 添加到雅虎收藏+ - http://myweb.cn.yahoo.com/post.html?F=D2_A
O8 - Extra context menu item: 添加到雅虎订阅(&Y) - res://C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yrss.dll/YRSSMENUEXT
O8 - Extra context menu item: 用QQ彩信发送该图片 - F:\新建文件夹 (2)\SendMMS.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://haibarapoppy.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {52DF16E3-6C4F-4B22-8BAF-09263E463B48} - http://zs.kingsoft.com/KOSInit.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C933233-0EAA-4175-A805-1C76E5FAAFB8}: NameServer = 202.102.14.146 202.102.15.162
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C933233-0EAA-4175-A805-1C76E5FAAFB8}: NameServer = 202.102.14.146 202.102.15.162
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: APIHookDll.dll
O23 - Service: Kingsoft Personal Firewall Service (KPfwSvc) - Kingsoft Corporation - D:\金山\KPfwSvc.EXE
O23 - Service: Kingsoft Antivirus KWatch Service (KWatchSvc) - Kingsoft Corporation - D:\金山\KWatch.EXE
O23 - Service: Te1net - Unknown owner - C:\WINDOWS\System32\VIPTray.exe
回复: 哭死~~~这个木马还是啥的,不知道怎么办?
最后那个进程VIPTray.exe=VIPTray.exe;Trojan.DL.Agent.jer
病毒特性:
一、VIPTray 会注册成系统服务。
服务描述为:
提供基于 Internet explorer 的网络内容。如果此服务被终止,将会失去这些功能和内容。如果此服务被禁用,其他依赖此服务的网络内容将无法正常运行。
二、修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改键值system 为 C:\%windows\%system32\friendly.exe ZNKwcxv=
创建BHO
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
DLL名称为 WinDefendor.dll
三、生成的文件有:
C:\%windows\%system32\VIPTray.exe
C:\%windows\%system32\WinDefendor.dll
C:\%windows\%system32\friendly.exe
清除方法:
步骤1 启动计算机按F8键进入安全模式, 然后删除掉这三个文件
C:\%windows\%system32\VIPTray.exe
C:\%windows\%system32\WinDefendor.dll
C:\%windows\%system32\friendly.exe
步骤2 修复注册表键值(修改之前请务必备份注册表)
1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改键值System 为 空(即将键值System指向的数值数据删除)
2)删除注册表中与WinDefendor.dll相关的键值。
步骤3 重新启动计算机
回复: 哭死~~~这个木马还是啥的,不知道怎么办?
寒~~~`怎么那么麻烦的呀 我决定去死~~刚才又弹出个猫扑的什么网页~那个清楚方法太难了有没有简单点的啊
回复: 哭死~~~这个木马还是啥的,不知道怎么办?
升级杀毒软件,如果不行,就先睡觉:016: :040:一会儿起来给你想办法http://online.rising.com.cn/ravonline/RavSoft/Rav.asp
回复: 哭死~~~这个木马还是啥的,不知道怎么办?
用了n种软件 MS都没用的说~:007:总是会弹出网页 实在是很讨厌~~:010: :017:
希望能想出我能操作的方法~
:014: :014: :014:
:031: :031: :031:
回复: 哭死~~~这个木马还是啥的,不知道怎么办?
流氓软件问题啊!~~~lz还素按照前面的方法慢慢来吧!
清理干净以后安装一个google toolbar或者msn toolbar,那样比较不容易中标
还有就是软件安装过程中一定要注意会不会有附带软件安装,一般情况下不同软件不会在同一个安装进程里安装,如果一个安装结束后又出一个setup/install安装对话,就需要注意新安装的软件是什么东西了
回复: 哭死~~~这个木马还是啥的,不知道怎么办?
把我上面说的那个病毒删除就可以了,我在google上查了查,有这句话关键字:
VIPTray.exe VipTray Windefendor.dll system http:/ulink4.dudu.com/setup/iebar.exe<-这个连接千万别点,点了就中毒,给你只是看看
和3楼说的一样了,你就把这个东西先杀了,如果不行就PM我
回复: 哭死~~~这个木马还是啥的,不知道怎么办?
看这个连接是dudu的东西?那就和病毒没什么区别了。另外雅虎助手的前身就是3721……回复: 哭死~~~这个木马还是啥的,不知道怎么办?
用hijackthis,再看下我看不懂~
Logfile of HijackThis v1.99.1
Scan saved at 15:10:57, on 2006-7-24
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
D:\瑞星\Rising\Rav\CCenter.exe
D:\瑞星\Rising\Rav\RavTask.exe
D:\瑞星\Rising\Rav\RavMon.exe
D:\瑞星\Rising\Rav\Ravmond.exe
D:\瑞星\Rising\Rav\RavStub.exe
F:\千千静听\TTPlayer.exe
C:\Program Files\Chinanet\VnetClient.exe
F:\TT\TTraveler.exe
D:\HijackThis.exe
O2 - BHO: VnetCookie Class - {4E83D567-4697-4F7B-B1F0-A513B01DB89A} - c:\PROGRA~1\chinanet\VNETTR~1.DLL
O4 - HKLM\..\Run: "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: SOUNDMAN.EXE
O4 - HKLM\..\Run: C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: "D:\瑞星\Rising\Rav\RavTask.exe" -system
O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &使用迅雷下载 - E:\迅雷\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - E:\迅雷\Program\GetAllUrl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - F:\新建文件夹 (2)\AddToNetDisk.htm
O8 - Extra context menu item: 加入POCO网摘(&K) - http://my.poco.cn/fav/rightClick.php
O8 - Extra context menu item: 我的POCO网摘(&O) - http://my.poco.cn/fav/open_myfav.php
O8 - Extra context menu item: 添加到QQ自定义面板 - F:\新建文件夹 (2)\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - F:\新建文件夹 (2)\AddEmotion.htm
O8 - Extra context menu item: 添加到雅虎收藏+ - http://myweb.cn.yahoo.com/post.html?F=D2_A
O8 - Extra context menu item: 添加到雅虎订阅(&Y) - res://C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yrss.dll/YRSSMENUEXT
O8 - Extra context menu item: 用QQ彩信发送该图片 - F:\新建文件夹 (2)\SendMMS.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://haibarapoppy.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {52DF16E3-6C4F-4B22-8BAF-09263E463B48} - http://zs.kingsoft.com/KOSInit.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C933233-0EAA-4175-A805-1C76E5FAAFB8}: NameServer = 202.102.14.146 202.102.15.162
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C933233-0EAA-4175-A805-1C76E5FAAFB8}: NameServer = 202.102.14.146 202.102.15.162
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: APIHookDll.dll
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\瑞星\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\瑞星\Rising\Rav\Ravmond.exe
回复: 哭死~~~这个木马还是啥的,不知道怎么办?
O20 - AppInit_DLLs: APIHookDll.dll《---这个我不知道勾到什么软件了,我知道你换杀毒软件了,别的就没什么了:039:回复: 哭死~~~这个木马还是啥的,不知道怎么办?
APIHookDll.dll是木马克星的东东……是一个线程注入程序,不是什么好东西。不知道木马克星的作者到底想干什么?也许是惩治破解和盗版用户的恶意代码也不一定~~~~~~~
回复: 哭死~~~这个木马还是啥的,不知道怎么办?
APIHookDll.dll是木马克星的东东……是一个线程注入程序,不是什么好东西。不知道木马克星的作者到底想干什么?也许是惩治破解和盗版用户的恶意代码也不一定~~~~~~~
还真是寒~~~~~昨天有人强烈向我推荐木马克星来着的~晕~
页:
[1]
2