Re: [問題] 中了疑似惡意廣告的病毒.....@_@

看板AntiVirus (防毒)作者Jason11982 (神留的撲接..orz)時間20年前 (2004/08/22 17:31)推噓1(1推 0噓 1→)

留言2則, 1人參與討論串1/1

※ 引述《eeverywhere (什麼啦嗚嗚嗚!!!@!)》之銘言：你該不會是一邊開魔獸一邊做log檔吧？首頁是被about:blank綁架嗎？重開機按F8進入安全模式後，找到以下檔案並刪除；找不到沒關係 (連隱藏檔都要找，建議可用搜尋) 按開始功能表-->搜尋-->檔案或資料夾-->選"搜尋所有檔案和資料" -->進階選項-->勾選"搜尋隱藏檔案及資料夾" C:\WINDOWS\System32\vblxjrzh.exe C:\WINDOWS\System32\ytiyylpp.exe C:\Documents and Settings\Administrator\Application Data\trsa.exe C:\WINDOWS\System32\hvkpk.dll C:\Program Files\NewDotNet\newdotnet6_30.dll C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL C:\Program Files\QuickSearch\QuickSearchBar1_27.dll C:\WINDOWS\System32\nvms.dll C:\WNDOWS\System32\mscb.dll C:\WINDOWS\System32\msbe.dll C:\Program Files\WindUpdates\WinUpdt.exe C:\WINDOWS\System32\system32.dll 用hijackthis，scan之後，將以下綠色的東西打勾，按Fix checked，問是否要刪除，按yes : R3 - Default URLSearchHook is missing : O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WIND : OWS\mxTarget.dll : O2 - BHO: (no name) - {3FFF3358-BD1B-09C2-D351-63550FAC296B} - C:\WINDOWS\Syst : em32\hvkpk.dll : O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program : Files\NewDotNet\newdotnet6_30.dll : O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C: : \Program Files\QuickSearch\QuickSearchBar1_27.dll : O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file) : O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\W : INDOWS\System32\nvms.dll : O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WI : NDOWS\System32\mscb.dll : O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\W : INDOWS\System32\msbe.dll : O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} : - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll : O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file) : O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL : ,NewDotNetStartup -s : O4 - HKLM\..\Run: [fnwldn] C:\WINDOWS\System32\vblxjrzh.exe : O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe : O4 - HKCU\..\Run: [Cfsrr] C:\WINDOWS\System32\ytiyylpp.exe : O4 - HKCU\..\Run: [Ehtc] C:\Documents and Settings\Administrator\Application D : ata\trsa.exe : O10 - Hijacked Internet access by New.Net : O10 - Hijacked Internet access by New.Net : O10 - Hijacked Internet access by New.Net : O10 - Hijacked Internet access by New.Net : O10 - Hijacked Internet access by New.Net : O15 - Trusted Zone: *.clickspring.net : O15 - Trusted Zone: *.mt-download.com : O15 - Trusted Zone: *.my-internet.info : O15 - Trusted Zone: *.searchmeup.cc : O15 - Trusted Zone: *.searchmiracle.com : O15 - Trusted Zone: *.skoobidoo.com : O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nos : uch.mht!http://213.159.117.133/dl/fox/x.chm::/load.exe : O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates. : com/get_file.php?bt=ie&p=0c8af29cad1529a0c2f12262efe492244d317f6ab2c86bff7585b : 7e883263ddf35912dd813dee463c744961d2b31add589650eef4d876c0fc2a2f745d64562:c31e : 3730b38c174130e1e2729109a237 : O21 - SSODL: System - {5A043B1B-1FC4-4512-919B-E0DBE8D8A80F} - C:\WINDOWS\syst : em32\system32.dll 以下的檔案及資料夾是你裝的嗎？如果不是，請你找這些檔案(連隱藏檔都要找，建議可用搜尋) 對著檔案按滑鼠右鍵-->內容-->版本，如果沒有著作權，就把它刪除 C:\WINDOWS\System32\services\wmplayer.exe 並用hijackthis，scan之後，將以下綠色的東西打勾，按Fix checked，問是否要刪除，按yes : O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\wmplayer.exe 如果有首頁被綁架的問題，也有裝MSN plus ，建議將MSN plus用新增/移除程式將之移除，然後再重裝，而且，"不要"勾選外掛程式和什麼贊助廠商的選項。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 以下為更改首頁的登錄值 http://myweb.hinet.net/home2/nomo/teach/un-web-kidnap.htm (感謝NOMO大大答應轉貼原網址http://nomos.24cc.com/) 解決「首頁被更改設定」的問題：首先要執行「登錄編輯器」Regedit.exe 01.按「開始」→「執行」然後在「開啟」的空格內輸入：regedit 接著會跑出「登錄編輯器」 02.分別進入登陸位置： HKEY_CURRENT_USER＼Software＼ Microsoft＼Internet Explorer＼Main 和 HKEY_LOCAL_MACHINE＼SOFTWARE＼ Microsoft＼Internet Explorer＼Main 然後右邊會有一個數值為「Start Page」→這是在修改你的「首頁」也就是每次開啟IE瀏覽器所出現的第一個網頁！你只要在這個「Start Page」的數值上，按滑鼠左鍵兩下接著輸入你想要的網站之網址！例如：Yahoo!奇摩的網址：http://tw.yahoo.com/ 03.在登錄編輯器上的左邊視窗選擇「我的電腦」，接著再按鍵盤上的「Ctrl」＋「F」鍵或是功能表列的「編輯」→「尋找」 04.在「尋找目標」的空格輸入「綁架你的網址」並在「查看」勾選「資料」再按「找下一個」的按鈕來開始尋找！找到之後，就刪除登錄值！接著再按鍵盤上的F3來繼續尋找！直到找不到任何登錄值為止！另外建議使用置底文的ad-aware或spybot清除電腦中的廣告軟體必做：馬上為你使用者設密碼(控制台中有一個使用者帳戶　找到自己的名稱另外你的電腦如果有Administrator ,Guest帳戶的話也一併設密碼) 做完windows update(重大更新部份, 開始程式集中有) 以上也請你將你的防毒軟體更新到最新病毒碼並掃毒過一次 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.31.169.63