被一个很讨厌的网站缠上了呢……

Nemesis-G

是这样，现在只要打开IE，大约几秒后就会自动弹到一个怪网页那里去，里面就写着“If you are not redirected,click here”。再等一等的话，就去到一个什么“互联星空”的垃圾网站那里了。
在此期间，不论刷新还是点主页，甚至是输入别的网址都是没用的，一定要等到那个“互联星空”完全打开以后才能换网页。
使用上网助手的强力修复都没有效果。

surasak

互联星空是电信的增值服务...当然如果是正派的的话...

HughKeith

1.你电脑是不是装了些互联星空的软件,删掉试看看
2.用HijackThis扫描,把结果贴上来

5233

听描述MS是被劫持了吧
同意LS的
先用Hijackthis扫一遍
拿到这里或者去些著名点的安全论坛找高人给你看

Nemesis-G

HijackThis,这个是软件名称吧?

Nemesis-G

OK，这个是我的扫描结果

我怀疑最后一个

Logfile of HijackThis v1.99.1
Scan saved at 19:29:36, on 2006-7-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
(Unable to list running processes (error#5))
R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - D:\WINDOWS\system32\xunleibho_v4.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - D:\Program Files\Yahoo!\Assistant\Assist\yAngling.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - D:\Program Files\KV2006\KvShell.dll
O2 - BHO: HBObject Class - {AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1} - D:\PROGRA~1\hbclient\HBHelper.dll
O2 - BHO: 1 - {E78F50F9-51CF-40EC-AE3F-4F802528150B} - D:\WINDOWS\Downloader.dll
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O3 - Toolbar: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - D:\Program Files\KV2006\KvShell.dll
O4 - HKLM\..\Run: [KvMonXP] "D:\Program Files\KV2006\KVMonXP.kxp" /auto
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [RichMedia] D:\WINDOWS\system32\Rundll32.exe  "D:\PROGRA~1\hbclient\HBHelper.dll",WaitWindows
O4 - HKLM\..\Run: [spoolsv] D:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
O4 - HKCU\..\Run: [KvXP] "D:\Program Files\KV2006\KvXP.kxp" /ScanBoot /ScanSys
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: IE-BAR.lnk = D:\WINDOWS\system32\rundll32.exe
O8 - Extra context menu item: &使用迅雷下载 - D:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 雅虎搜索 - res://D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll/246
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: 时尚精品，体验快感 - {6E5EECAF-8879-4a75-8A88-B44B6382A763} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-338?cn=chaoyue;rgbutton_120x60;hp&mpro=http://www.ebay.com.cn (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: 易趣时尚购物 - {6E5EECAF-8879-4a75-8A88-B44B6382A763} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-338?cn=chaoyue;rgbutton_120x60;hp&mpro=http://www.ebay.com.cn (file missing) (HKCU)
O11 - Options group: [!CNS]  网络实名
O17 - HKLM\System\CCS\Services\Tcpip\..\{F174C322-DFED-405A-A716-F6FBBD975858}: NameServer = 202.96.128.86 202.96.128.166
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - D:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: KVSrvXP - Jiangmin Co. Ltd - D:\Program Files\KV2006\KVSrvXP.exe
O23 - Service: KVWSC - Jiangmin Co.Ltd - D:\Program Files\KV2006\kvwsc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - D:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Te1net - Unknown owner - D:\WINDOWS\System32\VIPTray.exe

水星思路

O23 - Service: Te1net - Unknown owner - D:\WINDOWS\System32\VIPTray.exe
这个一定有问题

O4 - HKLM\..\Run: [RichMedia] D:\WINDOWS\system32\Rundll32.exe "D:\PROGRA~1\hbclient\HBHelper.dll",WaitWindows
这个值得怀疑，改掉，反正不是系统文件

把雅虎助手删了吧。

JayZ

VIPTray是IE-Bar的程序。绝对的恶意程序。
终止进程。然后删除windows\system32下面的viptray.exe；friendly.exe；WinDefendor.dll以及启动中的IE-BAR


hbhelper绝对的恶意程序。
先：regsvr32 /u C:\Progra~1\HBClient\hbhelper.dll（地址自己查证）
重新启动，F8，进入安全模式，开启REGEDIT，查找所有hbhelper.dll相关键值，删除，并由此找到hbhelper.dll所在位置，然后将此进程自动运行从RUN中删除，删除hbhelper.dll文件。

下面是引用的：

关于hbhelper.dll和hhelp.dll问题的临时解决办法。

1、重新启动，按F8进入安全模式
2、运行CMD，并进入所在目录，然后del hbhelper.dll
3、在该目录下新建一个空白文件，并将文件名修改为hbhelper.dll
4、为该文件加上系统属性和只读属性：attrib +s +r hbhelper.dll
5、删除c:\windows\hhelp.dll和c:\windows\system32\hbmter.dll
6、运行regedit，在启动项RUN里找到RICHMEDIA，删除该项目

最后建议：使用hijackthis扫描，并将除了杀毒软件、防火墙以外的项目全部修复，不要心疼不要害怕，如今网上垃圾多，遇到所谓的**助手时大家都要小心了。能不要的尽量不要，多了不占便宜。

JayZ

感觉： D:\WINDOWS\system32\spoolsv\spoolsv.exe -printer十分可疑。
system32下面不会存在spoolsv文件夹。
而windows打印机的后台程序spoolsv.exe存在于system32中。

Nemesis-G

hbhelper绝对的恶意程序。
先：regsvr32 /u C:\Progra~1\HBClient\hbhelper.dll（地址自己查证）
重新启动，F8，进入安全模式，开启REGEDIT，查找所有hbhelper.dll相关键值，删除，并由此找到hbhelper.dll所在位置，然后将此进程自动运行从RUN中删除，删除hbhelper.dll文件。

谢谢，可是这一段我不是很懂……

PS：friendly.exe这个没找到

银色海豚

[quote=Nemesis-G]hbhelper绝对的恶意程序。
先：regsvr32 /u C:\Progra~1\HBClient\hbhelper.dll（地址自己查证）
重新启动，F8，进入安全模式，开启REGEDIT，查找所有hbhelper.dll相关键值，删除，并由此找到hbhelper.dll所在位置，然后将此进程自动运行从RUN中删除，删除hbhelper.dll文件。
[/quote]

步骤补充在一般正常模式下:
在运行中填入:

先：regsvr32 /u C:\Progra~1\HBClient\hbhelper.dll

C:\Progra~1\HBClient\hbhelper.dll这个地址请换成可以文件名及路径

进入安全模式在运行中填入:

REGEDIT

启动注册表编辑器查找hbhelper.dll相关,并找出所在位置,删除并将启动项目从注册表中删除.

Nemesis-G

已经于安全模式下清除所有包含hbhelper的文件，但是依然处于被劫持状态。
新的HijackThis扫描日志

Logfile of HijackThis v1.99.1
Scan saved at 15:56:31, on 2006-7-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


(Unable to list running processes (error#5))
R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - D:\WINDOWS\system32\xunleibho_v4.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - D:\Program Files\Yahoo!\Assistant\Assist\yAngling.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - D:\Program Files\KV2006\KvShell.dll
O2 - BHO: 1 - {E78F50F9-51CF-40EC-AE3F-4F802528150B} - D:\WINDOWS\Downloader.dll
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O3 - Toolbar: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - D:\Program Files\KV2006\KvShell.dll
O4 - HKLM\..\Run: [KvMonXP] "D:\Program Files\KV2006\KVMonXP.kxp" /auto
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [spoolsv] D:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
O4 - HKCU\..\Run: [KvXP] "D:\Program Files\KV2006\KvXP.kxp" /ScanBoot /ScanSys
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &使用迅雷下载 - D:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 雅虎搜索 - res://D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll/246
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: 时尚精品，体验快感 - {6E5EECAF-8879-4a75-8A88-B44B6382A763} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-338?cn=chaoyue;rgbutton_120x60;hp&mpro=http://www.ebay.com.cn (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: 易趣时尚购物 - {6E5EECAF-8879-4a75-8A88-B44B6382A763} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-338?cn=chaoyue;rgbutton_120x60;hp&mpro=http://www.ebay.com.cn (file missing) (HKCU)
O11 - Options group: [!CNS]  网络实名
O17 - HKLM\System\CCS\Services\Tcpip\..\{F174C322-DFED-405A-A716-F6FBBD975858}: NameServer = 202.96.128.86 202.96.128.166
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - D:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: KVSrvXP - Jiangmin Co. Ltd - D:\Program Files\KV2006\KVSrvXP.exe
O23 - Service: KVWSC - Jiangmin Co.Ltd - D:\Program Files\KV2006\kvwsc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - D:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Te1net - Unknown owner - D:\WINDOWS\System32\VIPTray.exe (file missing)

JayZ

D:\WINDOWS\system32\spoolsv\spoolsv.exe -printer  ？？？

HughKeith

D:\WINDOWS\system32\spoolsv\spoolsv.exe -printer

有问题厄
spoolsv.exe是在system32的目录下的

Nemesis-G

挟持状态好象解除了……
但是，现在网页的打开速度似乎变慢了，可以很明显的感觉到。
并且，开机时会出现一个“Chass Intruded”的提示行，要求按F1恢复

JayZ

开机那个是BIOS设置吧……找人设置一下就行了。  开网页变慢，这个说得的确很模糊。

Nemesis-G

大体来说就是所有网页的打开速度都变慢了……
PS：刚刚因为玩美梦4而断了一阵子网，而再上的时候又回到劫持状态了- -

JayZ

能确认是Spoolsv.exe的问题吗？

Nemesis-G

此文件的描述竟然是“傲讯浏览器辅助工具”……
我3掉试试

Nemesis-G

文件已粉碎删除
但是从HijackThis的扫描报告来看似乎还在运行中。
需要到安全模式清除吗？但是这样子会不会也将正确的打印机程序给清除掉？