瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 这个网站总要弹出来.......怎么办~

1   1  /  1  页   跳转

这个网站总要弹出来.......怎么办~

收藏
feng2418
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2006-03-19
  • 来自:
发表于: 2007-02-27 20:56 | 只看楼主 短消息 资料
字号: 1楼

这个网站总要弹出来.......怎么办~

用了360 卡卡 兔子
最后重装系统还是不行~~~有人能帮帮忙没??
http://www.86dy.net/dy.htm
最后编辑2007-02-28 14:25:36
分享到:
gototop
 
oarbznd
头像
初生襁褓狮
  • 帖子:143
  • 注册: 2007-02-26
  • 来自:
发表于: 2007-02-27 23:20 | 短消息 资料
字号: 2楼

哈哈,这个网站女的都是都挺美的 :P 你用恶意软件清理助手试一试。

不行的话,你打开卡卡,看启动项和进程管理又没什么可疑的程序(通过看发行者和时间),尤其让这网站出来的时候。



===============

肯定中恶意流氓了,用卡卡和瑞星先试试看,不行的话在

用恶意软件清理助手 2.52 Build 可以试一试,再卸载

http://www.onlinedown.net/soft/42382.htm

和360安全卫士的删除恶意软件功能 www.360safe.com 可以试一试,(再卸载)

和兔子都试一试 再卸载
http://www.pctutu.com/soft/index.html

江民在线查毒
http://online.jiangmin.com/chadu.asp

金山在线查毒
http://shadu.duba.net/

开机时按F8安全模式

而且通过KAKA看看"进程管理"(通过发行者和时间)和系统启动项管理有没可疑的
gototop
 
oarbznd
头像
初生襁褓狮
  • 帖子:143
  • 注册: 2007-02-26
  • 来自:
发表于: 2007-02-28 00:08 | 短消息 资料
字号: 3楼


也建议你去下载一个208 KB的HijackThis V1.99.1 汉化版软件,然后把日志贴上来(尤其看进程和,非常非常简单使用,像绿色版

HijackThis V1.99.1 汉化版
http://www.skycn.com/soft/15753.html

可参考
http://forum.ikaka.com/topic.asp?board=36&artid=8144360
gototop
 
feng2418
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2006-03-19
  • 来自:
发表于: 2007-02-28 12:13 | 只看楼主 短消息 资料
字号: 4楼

Logfile of HijackThis v1.99.1
Scan saved at 11:59:00, on 2007-2-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
D:\qq\QQ.exe
C:\Documents and Settings\Administrator\桌面\新建文件夹\xmjjl.exe
E:\新建文件夹 (6)\魔界Online\gc.exe.bak
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\explorer.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.453\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v14.dll
O2 - BHO: Flash 9b - {492B8F66-B8CF-4F7A-B0EE-B7383B92F5BA} - C:\WINDOWS\system\IceHBO.dll
O4 - HKLM\..\RunOnce: [KKDelay] C:\Program Files\Rising\AntiSpyware\RunOnce.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra button: JUJU猫 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.jujumao.com (file missing)
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE (file missing)
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A0A7B03-FE5D-4530-B281-4E3691617332}: NameServer = 61.236.127.254 211.98.2.4
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)

这些就是扫描出来的,帮我看下哪个地方有错~
gototop
 
oarbznd
头像
初生襁褓狮
  • 帖子:143
  • 注册: 2007-02-26
  • 来自:
发表于: 2007-02-28 12:53 | 短消息 资料
字号: 5楼

C:\Documents and Settings\Administrator\桌面\新建文件夹\xmjjl.exe  最最可疑


O17 - HKLM\System\CCS\Services\Tcpip\..\{7A0A7B03-FE5D-4530-B281-4E3691617332}: NameServer = 61.236.127.254 211.98.2.4    这个也挺可疑


你用卡卡的进程管理看看xmjjl.exe的发行者和时间是否可疑,而且你的防火墙不要让可疑的程序通过网站。


若要手工删除可参考我4楼回复
http://forum.ikaka.com/topic.asp?board=36&artid=8275702


而且你也可以用Ad-Aware试一试,效果不错
Ad-Aware SE Plus v1.06R1
http://www.crsky.com/soft/102.html
gototop
 
feng2418
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2006-03-19
  • 来自:
发表于: 2007-02-28 12:58 | 只看楼主 短消息 资料
字号: 6楼

C:\Documents and Settings\Administrator\桌面\新建文件夹\xmjjl.exe 这个是新魔界的外挂~~
另一个就不知道了~~~用了N多软件都不行 这个垃圾网站总是弹出来~
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A0A7B03-FE5D-4530-B281-4E3691617332}: NameServer = 61.236.127.254 211.98.2.4 这个也挺可疑
这个怎么删除了~
gototop
 
feng2418
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2006-03-19
  • 来自:
发表于: 2007-02-28 13:00 | 只看楼主 短消息 资料
字号: 7楼

又扫描了一次 这次少点了~
Logfile of HijackThis v1.99.1
Scan saved at 12:48:21, on 2007-2-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
D:\qq\QQ.exe
C:\Documents and Settings\Administrator\桌面\新建文件夹\xmjjl.exe
E:\新建文件夹 (6)\魔界Online\gc.exe.bak
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Thunder Network\Thunder\Thunder.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.906\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v14.dll
O2 - BHO: Flash Object Class - {109B111C-371B-4267-AF19-BDEB6EDA0970} - C:\WINDOWS\Flash8.dll
O2 - BHO: Flash 9b - {492B8F66-B8CF-4F7A-B0EE-B7383B92F5BA} - C:\WINDOWS\system\IceHBO.dll
O2 - BHO: AdSwpr - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - d:\PROGRA~1\IE修复~1\IERBar.dll
O3 - Toolbar: &IE修复专家 - {123249EB-F891-44C4-946F-450064F9080E} - d:\PROGRA~1\IE修复~1\IERBar.dll
O4 - HKLM\..\RunOnce: [KKDelay] C:\Program Files\Rising\AntiSpyware\RunOnce.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A0A7B03-FE5D-4530-B281-4E3691617332}: NameServer = 61.236.127.254 211.98.2.4
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)


C:\WINDOWS\explorer.exe
这个是不是正确的?好象EXPLORER不是这个目录~
gototop
 
oarbznd
头像
初生襁褓狮
  • 帖子:143
  • 注册: 2007-02-26
  • 来自:
发表于: 2007-02-28 13:13 | 短消息 资料
字号: 8楼

C:\WINDOWS\explorer.exe 有这个系统文件,但有的威金病毒copy一模一样名字,你可以用江民的专杀查看看。

软件名称:“威金”蠕虫专杀工具(“熊猫烧香”蠕虫专杀工具) --- 江民
http://www.jiangmin.com/download/zhuansha04.htm

如果用恶意软件清理助手和360安全卫士和兔子都不行的话,用Ad-Aware试一试,效果不错,下载安装之后,先升级,让后让它查杀

Ad-Aware SE Plus v1.06R1
http://www.crsky.com/soft/102.html

还有,HijackThis v1.99.1打上钩就有修复功能
gototop
 
emtry
头像
拙长孩提狮
  • 帖子:84
  • 注册: 2006-04-02
  • 来自:
发表于: 2007-02-28 14:18 | 短消息 资料
字号: 9楼

以下两个项一定有问题:
1、R3 - Default URLSearchHook is missing
2、O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
第一个是默认搜索地址被更改,第二个是IE的“INTERNET选项”被禁用。
至于“O17 - HKLM\System\CCS\Services\Tcpip\..\{7A0A7B03-FE5D-4530-B281-4E3691617332}: NameServer = 61.236.127.254 211.98.2.4”当中的IP地址是否你计算机的DNS?如果不是建意修复这一项。
或者用SRENG扫描一下,将个报告发上来,SRENG的扫描报告能看到更多的信息。
gototop
 
feng2418
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2006-03-19
  • 来自:
发表于: 2007-02-28 14:35 | 只看楼主 短消息 资料
字号: 10楼

谢谢emtry 和 oarbznd  问题好象解决了~~~不在弹出这个网站了~
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT