瑞星卡卡安全论坛

今天有人动了电脑,可能上了一些网站的当,结果造成了很多问题,现在只说这个:
    在收藏夹中添加了,如"淘宝,易趣,智联,七彩谷成人,1STV.NET.CN(激情),等.删除后会自动回来.

想办法弄个HijackThis来，这论坛上有，免费的。

这是我的扫描.

注:
我试了,但是一转身他就又回来了.

Logfile of HijackThis v1.99.1
Scan saved at 22:10:56, on 2006-4-11
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\Documents and Settings\Administrator\桌面\IEXPLORE.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\cnmsm3y.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.704\HijackThis.exe

O2 - BHO: Internet Explorer - {DF7F6ABE-95A0-4671-8006-447471BE3BF1} - C:\WINDOWS\system32\InetHlpd.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: (no name) - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - (no file)
O3 - Toolbar: 一搜工具条 - {115F6E46-FCBC-41ed-B3B5-3BDDD4AAB5E5} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O15 - Trusted IP range: 10.185.195.27
O15 - Trusted IP range: http://10.185.195.27
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com.cn/webscanner/kavwebscan_unicode.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/MyFunCardsFWBInitialSetup1.0.0.15.exe
O16 - DPF: {F138084D-84D7-48CD-BEA8-04772457516E} (VqqSpeedDlProxy Class) - http://218.85.138.27/vqqsdl1009.cab
O16 - DPF: {FC0E4216-5366-43AC-BC8F-FEDD0818F3C7} (Project1.RunExe) - http://10.185.194.250/ncdl/RunExe.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{311FBE42-2D59-4DAF-AAE6-C537043B902C}: NameServer = 10.185.1.5,10.185.1.6
O18 - Protocol: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\system32\mbprot.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O2 - BHO: Internet Explorer - {DF7F6ABE-95A0-4671-8006-447471BE3BF1} - C:\WINDOWS\system32\InetHlpd.dll
O3 - Toolbar: (no name) - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - (no file)
O3 - Toolbar: 一搜工具条 - {115F6E46-FCBC-41ed-B3B5-3BDDD4AAB5E5} - (no file
O15 - Trusted IP range: 10.185.195.27
O15 - Trusted IP range: http://10.185.195.27
O16 - DPF: {F138084D-84D7-48CD-BEA8-04772457516E} (VqqSpeedDlProxy Class) - http://218.85.138.27/vqqsdl1009.cab
O16 - DPF: {FC0E4216-5366-43AC-BC8F-FEDD0818F3C7} (Project1.RunExe) - http://10.185.194.250/ncdl/RunExe.CAB
我觉得这几项有问题，如果你了不认识的话，建议你修复它们。
能查找C:\WINDOWS\system32\删除InetHlpd.dll

O15 - Trusted IP range: 10.185.195.27
O15 - Trusted IP range: http://10.185.195.27
O16 - DPF: {FC0E4216-5366-43AC-BC8F-FEDD0818F3C7} (Project1.RunExe) - http://10.185.194.250/ncdl/RunExe.CAB

这是我们局局域网的相关网址.没有问题.

现在它没有再来打扰我了.
应该解除了.

好,现在我来说明一下我的过程.
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\cnmsm3y.exe

这个东西也没有找到对应的.但是应该是打印机的程序.没有危害.


O2 - BHO: Internet Explorer - {DF7F6ABE-95A0-4671-8006-447471BE3BF1} - C:\WINDOWS\system32\InetHlpd.dll

这个东西在BAIDU,GOOGLE中都没有找到对应的资料.我最终选择了"修复".


O3 - Toolbar: (no name) - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - (no file)
O3 - Toolbar: 一搜工具条 - {115F6E46-FCBC-41ed-B3B5-3BDDD4AAB5E5} - (no file)
以上是己经删除了的一些"痕迹",选择"修复".
O4 - HKLM\..\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
这个是日文输入法.在启动中停止了它.

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

这个是REALONE播放器的相关程序,好象是和自动更新有关的.
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
这个,忘记了.但是应该也是没有问题的.
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

JAVA程序.
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O15 - Trusted IP range: 10.185.195.27
O15 - Trusted IP range: http://10.185.195.27
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com.cn/webscanner/kavwebscan_unicode.cab
卡巴扫描(在线)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/MyFunCardsFWBInitialSetup1.0.0.15.exe
这个有问题,选择了"修复".
O16 - DPF: {F138084D-84D7-48CD-BEA8-04772457516E} (VqqSpeedDlProxy Class) - http://218.85.138.27/vqqsdl1009.cab
这是本公司的东西.即使有问题也不敢删除.不管
O16 - DPF: {FC0E4216-5366-43AC-BC8F-FEDD0818F3C7} (Project1.RunExe) - http://10.185.194.250/ncdl/RunExe.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{311FBE42-2D59-4DAF-AAE6-C537043B902C}: NameServer = 10.185.1.5,10.185.1.6
O18 - Protocol: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\system32\mbprot.dll
这是DUDU加速器.我早不用它了,鬼知道什么地方跑出来@!删除.
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
不是很清楚.
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe


经过以上处理,重启,在IE处发现有一个叫做"链接'的东西还是没走.里面没有东西.但是以前在删除后,它回来后在其下加了很多网站,虽然里面不错.但我不喜欢还怕^^^^
上网查资料,在注册表中删除了它.

现在好了.



谢谢程序开发者和各位.

还会有问题吗?

刚才打开"收藏夹"里面又出来那些网站了,有智联,***,七彩谷成人,还有易趣.

用HIJACKTHIS扫描,O2项那个叫BHO那个C:/WHINDOWS/SYSTEM32/INETHLPF.DLL又回来了!我把前面保存的LOG作对比,己经修复了的它又回来了!



我打开C:/WHINDOWS/SYSTEM32,找到了它,看属性就是不久前生成的!然后我再次使用HIJACKTHIS修复它,这时在C:/WHINDOWS/SYSTEM32中它消失了.



我知道它不会罢休的,会再次回来.

现在用自带的搜索查找有关"inethlpf.dll"的文件,还有好些:附
　　
　　
　　更叫人吃惊的是里面还有"百度搜索".
　　?怪不得用百度搜索会查不到它的任何信息了.(说没有对应的)
　　用GOOGLE查,不分语言,有80多项.
　　
　　但是GOOOLE不稳定呀.

置顶贴里有

用HIJACKTHIS修复后现在正常了.