被一个很讨厌的网站缠上了呢……

JayZ

如果粉碎删除之后，重新启动仍然在运行，而且地址没变。文件没有变。说明有其他的自动进程在恢复这个“恶意”程序。

HughKeith

[quote=G-HIME]那么我需要到安全模式清除吗？这样子的话会不会也将正确的打印机程序给清除掉？[/quote]


O2 - BHO: 1 - {E78F50F9-51CF-40EC-AE3F-4F802528150B} - D:\WINDOWS\Downloader.dll

不知道是否有问题
我这没这个文件

你先备份一下文件再删

JayZ

到安全模式去删除，理论上重新启动之后，又存在了……LZ可以试试安全模式删除。这样我们的工作重心就转移到了找寻是什么程序来修复这个spoolsv了。

水星思路

这个spoolsv我以前删过，删掉之后没出问题。不确定经验是否可以复制，但尝试一下没什么的，如果真的是打印机驱动，不是想删就删得掉的。

rockwei

用 RogueCleaner 查杀一下看看。。。
估计是类似木马。。。。
RogueCleaner 还可以升级。。。。

Nemesis-G

理论果然是正确的……
我已经于安全模式下将该文件（spoolsv.exe）删除，并且清除了注册表中所有含有“spoolsv”的项目。
刚刚打开IE的时候似乎解除了劫持状态。
可是，HijackThis扫描报告发现那个本应该不存在了的spoolsv.exe仍然运行中，并且我找不到此文件。

Logfile of HijackThis v1.99.1
Scan saved at 8:34:06, on 2006-7-23
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
(Unable to list running processes (error#5))
R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - D:\WINDOWS\system32\xunleibho_v4.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - D:\Program Files\Yahoo!\Assistant\Assist\yAngling.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - D:\Program Files\KV2006\KvShell.dll
O2 - BHO: 1 - {E78F50F9-51CF-40EC-AE3F-4F802528150B} - D:\WINDOWS\Downloader.dll
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O3 - Toolbar: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - D:\Program Files\KV2006\KvShell.dll
O4 - HKLM\..\Run: [KvMonXP] "D:\Program Files\KV2006\KVMonXP.kxp" /auto
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [spoolsv] D:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
O4 - HKCU\..\Run: [KvXP] "D:\Program Files\KV2006\KvXP.kxp" /ScanBoot /ScanSys
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &使用迅雷下载 - D:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 雅虎搜索 - res://D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll/246
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: 时尚精品，体验快感 - {6E5EECAF-8879-4a75-8A88-B44B6382A763} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-338?cn=chaoyue;rgbutton_120x60;hp&mpro=http://www.ebay.com.cn (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: 易趣时尚购物 - {6E5EECAF-8879-4a75-8A88-B44B6382A763} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-338?cn=chaoyue;rgbutton_120x60;hp&mpro=http://www.ebay.com.cn (file missing) (HKCU)
O11 - Options group: [!CNS]  网络实名
O17 - HKLM\System\CCS\Services\Tcpip\..\{F174C322-DFED-405A-A716-F6FBBD975858}: NameServer = 202.96.128.86 202.96.128.166
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - D:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: KVSrvXP - Jiangmin Co. Ltd - D:\Program Files\KV2006\KVSrvXP.exe
O23 - Service: KVWSC - Jiangmin Co.Ltd - D:\Program Files\KV2006\kvwsc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - D:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

JayZ

system32下面是不是有tqppmtw.fyf文件?

Nemesis-G

经查找发现一个，需要清除？

JayZ

服务里面是不是有个叫做NT Service 的自动启动服务？

system32中是否有个msicn 的文件夹（可能是隐藏或者系统，需要打开查看隐藏文件选项）？

Nemesis-G

恩，两个都没有发现……

JayZ

在地址栏中输入C:\windows\system32\msicn，看看是提示文件夹不存在还是进入了文件夹？
C:\windows\system32\1116呢？

Nemesis-G

进入了。
抱歉，我刚刚才发现之前找不到是因为找错了地方…………
- -|||

JayZ

大概提供一个方法，试试看：
进入安全模式：
删除以下文件夹，没有的就算了，删除完成之后使用地址栏输入的方法确认文件夹不存在了：
C:\WINDOWS\system32\msibm
C:\WINDOWS\system32\spoolsv
C:\WINDOWS\system32\bakcfs
C:\WINDOWS\system32\msicn

最好使用cmd的rd命令删除。
e.g:比如在cmd窗口下输入：rd(空格）C:\WINDOWS\system32\spoolsv /s，回车，出现提示，输入y回车，即可删除整个目录。

删除下面的文件（如果存在）
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\wmpdrm.dll

将系统服务中的NTService 置为禁用

搜索注册表，删除一切spoolsv相关项目，以及：
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}\InprocServer32]
@="%System%\wmpdrm.dll"
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}]
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}]

最后是一些额外的文件：（也许不存在）
system32\mscache 文件夹
之前提到的那个文件
system32下的wmpdrm.dll

然后重新启动。看看……

JayZ

叫做命令提示符

开始，运行cmd

或者开始，所有程序，附件，命令提示符

Nemesis-G

由于一连串不可思议的电脑硬件故障巧合，系统已经完蛋了……所以我想劫持状态和所有的病毒都应该同归于尽了……

十分感谢您一直以来的帮助，谢谢。

JayZ

Lock~~~~