名侦探柯南事务所

标题: 被一个很讨厌的网站缠上了呢…… [打印本页]

作者: Nemesis-G 时间: 2006-7-20 09:56
标题: 被一个很讨厌的网站缠上了呢……
是这样，现在只要打开IE，大约几秒后就会自动弹到一个怪网页那里去，里面就写着“If you are not redirected,click here”。再等一等的话，就去到一个什么“互联星空”的垃圾网站那里了。
在此期间，不论刷新还是点主页，甚至是输入别的网址都是没用的，一定要等到那个“互联星空”完全打开以后才能换网页。
使用上网助手的强力修复都没有效果。

作者: surasak 时间: 2006-7-20 10:48
标题: 回复: 被一个很讨厌的网站缠上了呢……
互联星空是电信的增值服务...当然如果是正派的的话...

作者: HughKeith 时间: 2006-7-20 13:34
标题: 回复: 被一个很讨厌的网站缠上了呢……
1.你电脑是不是装了些互联星空的软件,删掉试看看
2.用HijackThis扫描,把结果贴上来

作者: 5233 时间: 2006-7-20 13:48
标题: 回复: 被一个很讨厌的网站缠上了呢……
听描述MS是被劫持了吧
同意LS的
先用Hijackthis扫一遍
拿到这里或者去些著名点的安全论坛找高人给你看

作者: Nemesis-G 时间: 2006-7-20 13:58
标题: 回复: 被一个很讨厌的网站缠上了呢……
HijackThis,这个是软件名称吧?

作者: Nemesis-G 时间: 2006-7-20 19:30
标题: 回复: 被一个很讨厌的网站缠上了呢……
OK，这个是我的扫描结果

我怀疑最后一个

Logfile of HijackThis v1.99.1
Scan saved at 19:29:36, on 2006-7-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
(Unable to list running processes (error#5))
R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - D:\WINDOWS\system32\xunleibho_v4.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - D:\Program Files\Yahoo!\Assistant\Assist\yAngling.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - D:\Program Files\KV2006\KvShell.dll
O2 - BHO: HBObject Class - {AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1} - D:\PROGRA~1\hbclient\HBHelper.dll
O2 - BHO: 1 - {E78F50F9-51CF-40EC-AE3F-4F802528150B} - D:\WINDOWS\Downloader.dll
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O3 - Toolbar: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - D:\Program Files\KV2006\KvShell.dll
O4 - HKLM\..\Run: [KvMonXP] "D:\Program Files\KV2006\KVMonXP.kxp" /auto
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [RichMedia] D:\WINDOWS\system32\Rundll32.exe  "D:\PROGRA~1\hbclient\HBHelper.dll",WaitWindows
O4 - HKLM\..\Run: [spoolsv] D:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
O4 - HKCU\..\Run: [KvXP] "D:\Program Files\KV2006\KvXP.kxp" /ScanBoot /ScanSys
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: IE-BAR.lnk = D:\WINDOWS\system32\rundll32.exe
O8 - Extra context menu item: &使用迅雷下载 - D:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 雅虎搜索 - res://D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll/246
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: 时尚精品，体验快感 - {6E5EECAF-8879-4a75-8A88-B44B6382A763} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-338?cn=chaoyue;rgbutton_120x60;hp&mpro=http://www.ebay.com.cn (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: 易趣时尚购物 - {6E5EECAF-8879-4a75-8A88-B44B6382A763} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-338?cn=chaoyue;rgbutton_120x60;hp&mpro=http://www.ebay.com.cn (file missing) (HKCU)
O11 - Options group: [!CNS]  网络实名
O17 - HKLM\System\CCS\Services\Tcpip\..\{F174C322-DFED-405A-A716-F6FBBD975858}: NameServer = 202.96.128.86 202.96.128.166
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - D:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: KVSrvXP - Jiangmin Co. Ltd - D:\Program Files\KV2006\KVSrvXP.exe
O23 - Service: KVWSC - Jiangmin Co.Ltd - D:\Program Files\KV2006\kvwsc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - D:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Te1net - Unknown owner - D:\WINDOWS\System32\VIPTray.exe

作者: 水星思路 时间: 2006-7-20 22:02
标题: 回复: 被一个很讨厌的网站缠上了呢……
O23 - Service: Te1net - Unknown owner - D:\WINDOWS\System32\VIPTray.exe
这个一定有问题

O4 - HKLM\..\Run: [RichMedia] D:\WINDOWS\system32\Rundll32.exe "D:\PROGRA~1\hbclient\HBHelper.dll",WaitWindows
这个值得怀疑，改掉，反正不是系统文件

把雅虎助手删了吧。

作者: JayZ 时间: 2006-7-20 22:11
标题: 回复: 被一个很讨厌的网站缠上了呢……
VIPTray是IE-Bar的程序。绝对的恶意程序。
终止进程。然后删除windows\system32下面的viptray.exe；friendly.exe；WinDefendor.dll以及启动中的IE-BAR

hbhelper绝对的恶意程序。
先：regsvr32 /u C:\Progra~1\HBClient\hbhelper.dll（地址自己查证）
重新启动，F8，进入安全模式，开启REGEDIT，查找所有hbhelper.dll相关键值，删除，并由此找到hbhelper.dll所在位置，然后将此进程自动运行从RUN中删除，删除hbhelper.dll文件。

下面是引用的：

关于hbhelper.dll和hhelp.dll问题的临时解决办法。

1、重新启动，按F8进入安全模式
2、运行CMD，并进入所在目录，然后del hbhelper.dll
3、在该目录下新建一个空白文件，并将文件名修改为hbhelper.dll
4、为该文件加上系统属性和只读属性：attrib +s +r hbhelper.dll
5、删除c:\windows\hhelp.dll和c:\windows\system32\hbmter.dll
6、运行regedit，在启动项RUN里找到RICHMEDIA，删除该项目

最后建议：使用hijackthis扫描，并将除了杀毒软件、防火墙以外的项目全部修复，不要心疼不要害怕，如今网上垃圾多，遇到所谓的**助手时大家都要小心了。能不要的尽量不要，多了不占便宜。

作者: JayZ 时间: 2006-7-20 22:12
标题: 回复: 被一个很讨厌的网站缠上了呢……
感觉： D:\WINDOWS\system32\spoolsv\spoolsv.exe -printer十分可疑。
system32下面不会存在spoolsv文件夹。
而windows打印机的后台程序spoolsv.exe存在于system32中。

作者: Nemesis-G 时间: 2006-7-21 08:09
标题: 回复: 被一个很讨厌的网站缠上了呢……
hbhelper绝对的恶意程序。
先：regsvr32 /u C:\Progra~1\HBClient\hbhelper.dll（地址自己查证）
重新启动，F8，进入安全模式，开启REGEDIT，查找所有hbhelper.dll相关键值，删除，并由此找到hbhelper.dll所在位置，然后将此进程自动运行从RUN中删除，删除hbhelper.dll文件。

谢谢，可是这一段我不是很懂……

PS：friendly.exe这个没找到

作者: 银色海豚 时间: 2006-7-21 08:50
标题: 回复: 被一个很讨厌的网站缠上了呢……
[quote=Nemesis-G]hbhelper绝对的恶意程序。
先：regsvr32 /u C:\Progra~1\HBClient\hbhelper.dll（地址自己查证）
重新启动，F8，进入安全模式，开启REGEDIT，查找所有hbhelper.dll相关键值，删除，并由此找到hbhelper.dll所在位置，然后将此进程自动运行从RUN中删除，删除hbhelper.dll文件。
[/quote]

步骤补充在一般正常模式下:
在运行中填入:

先：regsvr32 /u C:\Progra~1\HBClient\hbhelper.dll

C:\Progra~1\HBClient\hbhelper.dll这个地址请换成可以文件名及路径

进入安全模式在运行中填入:

REGEDIT

启动注册表编辑器查找hbhelper.dll相关,并找出所在位置,删除并将启动项目从注册表中删除.

作者: Nemesis-G 时间: 2006-7-21 15:54
标题: 回复: 被一个很讨厌的网站缠上了呢……
已经于安全模式下清除所有包含hbhelper的文件，但是依然处于被劫持状态。
新的HijackThis扫描日志

Logfile of HijackThis v1.99.1
Scan saved at 15:56:31, on 2006-7-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

(Unable to list running processes (error#5))
R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - D:\WINDOWS\system32\xunleibho_v4.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - D:\Program Files\Yahoo!\Assistant\Assist\yAngling.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - D:\Program Files\KV2006\KvShell.dll
O2 - BHO: 1 - {E78F50F9-51CF-40EC-AE3F-4F802528150B} - D:\WINDOWS\Downloader.dll
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O3 - Toolbar: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - D:\Program Files\KV2006\KvShell.dll
O4 - HKLM\..\Run: [KvMonXP] "D:\Program Files\KV2006\KVMonXP.kxp" /auto
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [spoolsv] D:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
O4 - HKCU\..\Run: [KvXP] "D:\Program Files\KV2006\KvXP.kxp" /ScanBoot /ScanSys
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &使用迅雷下载 - D:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 雅虎搜索 - res://D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll/246
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: 时尚精品，体验快感 - {6E5EECAF-8879-4a75-8A88-B44B6382A763} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-338?cn=chaoyue;rgbutton_120x60;hp&mpro=http://www.ebay.com.cn (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: 易趣时尚购物 - {6E5EECAF-8879-4a75-8A88-B44B6382A763} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-338?cn=chaoyue;rgbutton_120x60;hp&mpro=http://www.ebay.com.cn (file missing) (HKCU)
O11 - Options group: [!CNS] 网络实名
O17 - HKLM\System\CCS\Services\Tcpip\..\{F174C322-DFED-405A-A716-F6FBBD975858}: NameServer = 202.96.128.86 202.96.128.166
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - D:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: KVSrvXP - Jiangmin Co. Ltd - D:\Program Files\KV2006\KVSrvXP.exe
O23 - Service: KVWSC - Jiangmin Co.Ltd - D:\Program Files\KV2006\kvwsc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - D:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Te1net - Unknown owner - D:\WINDOWS\System32\VIPTray.exe (file missing)

作者: JayZ 时间: 2006-7-21 18:34
标题: 回复: 被一个很讨厌的网站缠上了呢……
D:\WINDOWS\system32\spoolsv\spoolsv.exe -printer ？？？

作者: HughKeith 时间: 2006-7-21 20:10
标题: 回复: 被一个很讨厌的网站缠上了呢……
D:\WINDOWS\system32\spoolsv\spoolsv.exe -printer

有问题厄
spoolsv.exe是在system32的目录下的

作者: Nemesis-G 时间: 2006-7-21 20:55
标题: 回复: 被一个很讨厌的网站缠上了呢……
挟持状态好象解除了……
但是，现在网页的打开速度似乎变慢了，可以很明显的感觉到。
并且，开机时会出现一个“Chass Intruded”的提示行，要求按F1恢复

作者: JayZ 时间: 2006-7-21 22:07
标题: 回复: 被一个很讨厌的网站缠上了呢……
开机那个是BIOS设置吧……找人设置一下就行了。开网页变慢，这个说得的确很模糊。

作者: Nemesis-G 时间: 2006-7-21 23:16
标题: 回复: 被一个很讨厌的网站缠上了呢……
大体来说就是所有网页的打开速度都变慢了……
PS：刚刚因为玩美梦4而断了一阵子网，而再上的时候又回到劫持状态了- -

作者: JayZ 时间: 2006-7-21 23:36
标题: 回复: 被一个很讨厌的网站缠上了呢……
能确认是Spoolsv.exe的问题吗？

作者: Nemesis-G 时间: 2006-7-22 06:58
标题: 回复: 被一个很讨厌的网站缠上了呢……
此文件的描述竟然是“傲讯浏览器辅助工具”……
我3掉试试

作者: Nemesis-G 时间: 2006-7-22 11:15
标题: 回复: 被一个很讨厌的网站缠上了呢……
文件已粉碎删除
但是从HijackThis的扫描报告来看似乎还在运行中。
需要到安全模式清除吗？但是这样子会不会也将正确的打印机程序给清除掉？

作者: JayZ 时间: 2006-7-22 17:53
标题: 回复: 被一个很讨厌的网站缠上了呢……
如果粉碎删除之后，重新启动仍然在运行，而且地址没变。文件没有变。说明有其他的自动进程在恢复这个“恶意”程序。

作者: 谷山麻衣 时间: 2006-7-22 18:10
提示: 作者被禁止或删除内容自动屏蔽

作者: HughKeith 时间: 2006-7-22 19:16
标题: 回复: 被一个很讨厌的网站缠上了呢……
[quote=G-HIME]那么我需要到安全模式清除吗？这样子的话会不会也将正确的打印机程序给清除掉？[/quote]

O2 - BHO: 1 - {E78F50F9-51CF-40EC-AE3F-4F802528150B} - D:\WINDOWS\Downloader.dll

不知道是否有问题
我这没这个文件

你先备份一下文件再删

作者: JayZ 时间: 2006-7-22 20:06
标题: 回复: 被一个很讨厌的网站缠上了呢……
到安全模式去删除，理论上重新启动之后，又存在了……LZ可以试试安全模式删除。这样我们的工作重心就转移到了找寻是什么程序来修复这个spoolsv了。

作者: 水星思路 时间: 2006-7-22 20:40
标题: 回复: 被一个很讨厌的网站缠上了呢……
这个spoolsv我以前删过，删掉之后没出问题。不确定经验是否可以复制，但尝试一下没什么的，如果真的是打印机驱动，不是想删就删得掉的。

作者: rockwei 时间: 2006-7-23 00:15
标题: 回复: 被一个很讨厌的网站缠上了呢……
用 RogueCleaner 查杀一下看看。。。
估计是类似木马。。。。
RogueCleaner 还可以升级。。。。

作者: Nemesis-G 时间: 2006-7-23 08:38
标题: 回复: 被一个很讨厌的网站缠上了呢……
理论果然是正确的……
我已经于安全模式下将该文件（spoolsv.exe）删除，并且清除了注册表中所有含有“spoolsv”的项目。
刚刚打开IE的时候似乎解除了劫持状态。
可是，HijackThis扫描报告发现那个本应该不存在了的spoolsv.exe仍然运行中，并且我找不到此文件。

Logfile of HijackThis v1.99.1
Scan saved at 8:34:06, on 2006-7-23
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
(Unable to list running processes (error#5))
R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - D:\WINDOWS\system32\xunleibho_v4.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - D:\Program Files\Yahoo!\Assistant\Assist\yAngling.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - D:\Program Files\KV2006\KvShell.dll
O2 - BHO: 1 - {E78F50F9-51CF-40EC-AE3F-4F802528150B} - D:\WINDOWS\Downloader.dll
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O3 - Toolbar: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - D:\Program Files\KV2006\KvShell.dll
O4 - HKLM\..\Run: [KvMonXP] "D:\Program Files\KV2006\KVMonXP.kxp" /auto
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [spoolsv] D:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
O4 - HKCU\..\Run: [KvXP] "D:\Program Files\KV2006\KvXP.kxp" /ScanBoot /ScanSys
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &使用迅雷下载 - D:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 雅虎搜索 - res://D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll/246
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: 时尚精品，体验快感 - {6E5EECAF-8879-4a75-8A88-B44B6382A763} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-338?cn=chaoyue;rgbutton_120x60;hp&mpro=http://www.ebay.com.cn (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: 易趣时尚购物 - {6E5EECAF-8879-4a75-8A88-B44B6382A763} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-338?cn=chaoyue;rgbutton_120x60;hp&mpro=http://www.ebay.com.cn (file missing) (HKCU)
O11 - Options group: [!CNS] 网络实名
O17 - HKLM\System\CCS\Services\Tcpip\..\{F174C322-DFED-405A-A716-F6FBBD975858}: NameServer = 202.96.128.86 202.96.128.166
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - D:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: KVSrvXP - Jiangmin Co. Ltd - D:\Program Files\KV2006\KVSrvXP.exe
O23 - Service: KVWSC - Jiangmin Co.Ltd - D:\Program Files\KV2006\kvwsc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - D:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

作者: JayZ 时间: 2006-7-23 08:45
标题: 回复: 被一个很讨厌的网站缠上了呢……
system32下面是不是有tqppmtw.fyf文件?

作者: Nemesis-G 时间: 2006-7-23 08:48
标题: 回复: 被一个很讨厌的网站缠上了呢……
经查找发现一个，需要清除？

作者: JayZ 时间: 2006-7-23 08:50
标题: 回复: 被一个很讨厌的网站缠上了呢……
服务里面是不是有个叫做NT Service 的自动启动服务？

system32中是否有个msicn 的文件夹（可能是隐藏或者系统，需要打开查看隐藏文件选项）？

作者: Nemesis-G 时间: 2006-7-23 08:54
标题: 回复: 被一个很讨厌的网站缠上了呢……
恩，两个都没有发现……

作者: JayZ 时间: 2006-7-23 08:58
标题: 回复: 被一个很讨厌的网站缠上了呢……
在地址栏中输入C:\windows\system32\msicn，看看是提示文件夹不存在还是进入了文件夹？
C:\windows\system32\1116呢？

作者: Nemesis-G 时间: 2006-7-23 09:01
标题: 回复: 被一个很讨厌的网站缠上了呢……
进入了。
抱歉，我刚刚才发现之前找不到是因为找错了地方…………
- -|||

作者: JayZ 时间: 2006-7-23 09:09
标题: 回复: 被一个很讨厌的网站缠上了呢……
大概提供一个方法，试试看：
进入安全模式：
删除以下文件夹，没有的就算了，删除完成之后使用地址栏输入的方法确认文件夹不存在了：
C:\WINDOWS\system32\msibm
C:\WINDOWS\system32\spoolsv
C:\WINDOWS\system32\bakcfs
C:\WINDOWS\system32\msicn

最好使用cmd的rd命令删除。
e.g:比如在cmd窗口下输入：rd(空格）C:\WINDOWS\system32\spoolsv /s，回车，出现提示，输入y回车，即可删除整个目录。

删除下面的文件（如果存在）
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\wmpdrm.dll

将系统服务中的NTService 置为禁用

搜索注册表，删除一切spoolsv相关项目，以及：
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32]
@="%System%\wmpdrm.dll"
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}]

最后是一些额外的文件：（也许不存在）
system32\mscache 文件夹
之前提到的那个文件
system32下的wmpdrm.dll

然后重新启动。看看……

作者: 谷山麻衣 时间: 2006-7-23 09:20
提示: 作者被禁止或删除内容自动屏蔽

作者: JayZ 时间: 2006-7-23 09:24
标题: 回复: 被一个很讨厌的网站缠上了呢……
叫做命令提示符

开始，运行cmd

或者开始，所有程序，附件，命令提示符

作者: 谷山麻衣 时间: 2006-7-23 09:26
提示: 作者被禁止或删除内容自动屏蔽

作者: Nemesis-G 时间: 2006-7-26 22:05
标题: 回复: 被一个很讨厌的网站缠上了呢……
由于一连串不可思议的电脑硬件故障巧合，系统已经完蛋了……所以我想劫持状态和所有的病毒都应该同归于尽了……

十分感谢您一直以来的帮助，谢谢。

作者: JayZ 时间: 2006-7-26 23:17
标题: 回复: 被一个很讨厌的网站缠上了呢……
Lock~~~~

欢迎光临名侦探柯南事务所 (https://bbs.aptx.cn/)