哭死~~~这个木马还是啥的,不知道怎么办?

双一姐姐

查出来是C:\WINDOWS\DOWNLO~1\CnsHook.dll-=>Adware.Cdn.4496有病毒

但是删不掉

我总是弹出广告网页

什么淘宝什么XX....之类的

不知道应该用什么杀??

求助~~~~
:017: :017: :017: :017:

JayZ

cnshook.dll 就是3721的一个动态链接库。
要删除，添加删除程序，删除3721即可。

JayZ

LZ弹出的广告，估计不是cnshook所为。

个人猜测感觉好像是IE-Bar
看看开始　所有程序　启动　中是否有IE-BAR存在。

双一姐姐

我没装3721呀 倒是装了个yahoo上网助手


IE-Bar的这个问题应该怎么解决呢  MS就是IE-Bar造成的~

cc9007

用这个试一试:037: :037:

cc9007

再给个程序，扫描后把日志复制过来，中午我过来看一看:013: :012:

双一姐姐

看起来真复杂 我来试下~

cc9007

万事开头难，慢慢来:016:

双一姐姐

先用那个清楚助手的 然后用那个全是英文的东西 也没看懂

所以也不知道我贴出来的是不是日志~~

Logfile of HijackThis v1.99.1
Scan saved at 1:05:36, on 2006-7-24
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\VIPTray.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\conime.exe
D:\金山\KWatch.EXE
D:\金山\KPfwSvc.EXE
D:\金山\KMailMon.EXE
C:\Program Files\Chinanet\VnetClient.exe
F:\新建文件夹 (2)\QQ.exe
F:\新建文件夹 (2)\TIMPlatform.exe
F:\新建文件夹 (2)\QQ.exe
C:\WINDOWS\system32\svchost.exe
F:\TT\TTraveler.exe
F:\新建文件夹 (2)\QZone\QZone.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\HijackThis.exe
O2 - BHO: BrowserHelper Class - {2D99E8F4-56B7-457B-9A92-61B5D247D263} - C:\WINDOWS\system32\WinDefendor.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [KavStart] "D:\金山\KAVStart.exe" -startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: IE-BAR.lnk = ?
O8 - Extra context menu item: &使用迅雷下载 - E:\迅雷\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - E:\迅雷\Program\GetAllUrl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - F:\新建文件夹 (2)\AddToNetDisk.htm
O8 - Extra context menu item: 加入POCO网摘(&K) - http://my.poco.cn/fav/rightClick.php
O8 - Extra context menu item: 我的POCO网摘(&O) - http://my.poco.cn/fav/open_myfav.php
O8 - Extra context menu item: 添加到QQ自定义面板 - F:\新建文件夹 (2)\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - F:\新建文件夹 (2)\AddEmotion.htm
O8 - Extra context menu item: 添加到雅虎收藏+ - http://myweb.cn.yahoo.com/post.html?F=D2_A
O8 - Extra context menu item: 添加到雅虎订阅(&Y) - res://C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yrss.dll/YRSSMENUEXT
O8 - Extra context menu item: 用QQ彩信发送该图片 - F:\新建文件夹 (2)\SendMMS.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://haibarapoppy.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {52DF16E3-6C4F-4B22-8BAF-09263E463B48} - http://zs.kingsoft.com/KOSInit.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C933233-0EAA-4175-A805-1C76E5FAAFB8}: NameServer = 202.102.14.146 202.102.15.162
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C933233-0EAA-4175-A805-1C76E5FAAFB8}: NameServer = 202.102.14.146 202.102.15.162
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: APIHookDll.dll
O23 - Service: Kingsoft Personal Firewall Service (KPfwSvc) - Kingsoft Corporation - D:\金山\KPfwSvc.EXE
O23 - Service: Kingsoft Antivirus KWatch Service (KWatchSvc) - Kingsoft Corporation - D:\金山\KWatch.EXE
O23 - Service: Te1net - Unknown owner - C:\WINDOWS\System32\VIPTray.exe

cc9007

最后那个进程
VIPTray.exe=VIPTray.exe;Trojan.DL.Agent.jer

病毒特性：
一、VIPTray 会注册成系统服务。
服务描述为:
提供基于 Internet explorer 的网络内容。如果此服务被终止，将会失去这些功能和内容。如果此服务被禁用，其他依赖此服务的网络内容将无法正常运行。
二、修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改键值system 为 C:\%windows\%system32\friendly.exe ZNKwcxv=
创建BHO
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
DLL名称为 WinDefendor.dll
三、生成的文件有：
C:\%windows\%system32\VIPTray.exe
C:\%windows\%system32\WinDefendor.dll
C:\%windows\%system32\friendly.exe

清除方法：
步骤1 启动计算机按F8键进入安全模式， 然后删除掉这三个文件
C:\%windows\%system32\VIPTray.exe
C:\%windows\%system32\WinDefendor.dll
C:\%windows\%system32\friendly.exe
步骤2 修复注册表键值（修改之前请务必备份注册表）
1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改键值System 为 空（即将键值System指向的数值数据删除）
2)删除注册表中与WinDefendor.dll相关的键值。
步骤3 重新启动计算机

双一姐姐

寒~~~`怎么那么麻烦的呀 我决定去死~~刚才又弹出个猫扑的什么网页~

那个清楚方法太难了  有没有简单点的啊

cc9007

升级杀毒软件，如果不行，就先睡觉:016: :040:一会儿起来给你想办法

http://online.rising.com.cn/ravonline/RavSoft/Rav.asp

双一姐姐

用了n种软件 MS都没用的说~:007:

总是会弹出网页 实在是很讨厌~~:010: :017:

希望能想出我能操作的方法~

:014: :014: :014:

:031: :031: :031:

ranma0912

流氓软件问题啊！~~~

lz还素按照前面的方法慢慢来吧！
清理干净以后安装一个google toolbar或者msn toolbar，那样比较不容易中标
还有就是软件安装过程中一定要注意会不会有附带软件安装，一般情况下不同软件不会在同一个安装进程里安装，如果一个安装结束后又出一个setup/install安装对话，就需要注意新安装的软件是什么东西了

cc9007

把我上面说的那个病毒删除就可以了，我在google上查了查，有这句话

关键字:
VIPTray.exe VipTray Windefendor.dll system http:/ulink4.dudu.com/setup/iebar.exe  [U]<-这个连接千万别点，点了就中毒，给你只是看看[/U]

和3楼说的一样了，你就把这个东西先杀了，如果不行就PM我

thwj

看这个连接是dudu的东西？那就和病毒没什么区别了。另外雅虎助手的前身就是3721……

双一姐姐

用hijackthis,

再看下  我看不懂~

Logfile of HijackThis v1.99.1
Scan saved at 15:10:57, on 2006-7-24
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
D:\瑞星\Rising\Rav\CCenter.exe
D:\瑞星\Rising\Rav\RavTask.exe
D:\瑞星\Rising\Rav\RavMon.exe
D:\瑞星\Rising\Rav\Ravmond.exe
D:\瑞星\Rising\Rav\RavStub.exe
F:\千千静听\TTPlayer.exe
C:\Program Files\Chinanet\VnetClient.exe
F:\TT\TTraveler.exe
D:\HijackThis.exe
O2 - BHO: VnetCookie Class - {4E83D567-4697-4F7B-B1F0-A513B01DB89A} - c:\PROGRA~1\chinanet\VNETTR~1.DLL
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [RavTask] "D:\瑞星\Rising\Rav\RavTask.exe" -system
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &使用迅雷下载 - E:\迅雷\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - E:\迅雷\Program\GetAllUrl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - F:\新建文件夹 (2)\AddToNetDisk.htm
O8 - Extra context menu item: 加入POCO网摘(&K) - http://my.poco.cn/fav/rightClick.php
O8 - Extra context menu item: 我的POCO网摘(&O) - http://my.poco.cn/fav/open_myfav.php
O8 - Extra context menu item: 添加到QQ自定义面板 - F:\新建文件夹 (2)\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - F:\新建文件夹 (2)\AddEmotion.htm
O8 - Extra context menu item: 添加到雅虎收藏+ - http://myweb.cn.yahoo.com/post.html?F=D2_A
O8 - Extra context menu item: 添加到雅虎订阅(&Y) - res://C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yrss.dll/YRSSMENUEXT
O8 - Extra context menu item: 用QQ彩信发送该图片 - F:\新建文件夹 (2)\SendMMS.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://haibarapoppy.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {52DF16E3-6C4F-4B22-8BAF-09263E463B48} - http://zs.kingsoft.com/KOSInit.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C933233-0EAA-4175-A805-1C76E5FAAFB8}: NameServer = 202.102.14.146 202.102.15.162
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C933233-0EAA-4175-A805-1C76E5FAAFB8}: NameServer = 202.102.14.146 202.102.15.162
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: APIHookDll.dll
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\瑞星\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\瑞星\Rising\Rav\Ravmond.exe

cc9007

O20 - AppInit_DLLs: APIHookDll.dll  《---这个我不知道勾到什么软件了，我知道你换杀毒软件了，别的就没什么了:039:

JayZ

APIHookDll.dll是木马克星的东东……
是一个线程注入程序，不是什么好东西。不知道木马克星的作者到底想干什么？也许是惩治破解和盗版用户的恶意代码也不一定~~~~~~~

双一姐姐

[quote=JayZ]APIHookDll.dll是木马克星的东东……
是一个线程注入程序，不是什么好东西。不知道木马克星的作者到底想干什么？也许是惩治破解和盗版用户的恶意代码也不一定~~~~~~~[/quote]

还真是寒~~~~~昨天有人强烈向我推荐木马克星来着的~晕~