【求助】主题词：网页弹出、病毒、可疑文件不可删。帮忙哦！ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【求助】主题词：网页弹出、病毒、可疑文件不可删。帮忙哦！

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

【求助】主题词：网页弹出、病毒、可疑文件不可删。帮忙哦！

青菜虫子初生襁褓狮帖子:94 注册: 2004-02-21 来自:	发表于： 2006-09-06 18:34 \| 只看楼主短消息资料字号：小中大 1楼【求助】主题词：网页弹出、病毒、可疑文件不可删。帮忙哦！现象：开机无论上网还是不上网，自动弹出网页，所弹出的网站不限于一个，数量很多，大致有： http://newwang.com http://www.hahadj.com http://sso.dadamobile.cn/splash/specialoffer_cn4.html http://athena.nanamimi.com/beta/pop/ad_pet_818.html http://vip.www.wangyou.com/index-wangyou.html?u=t2click&unid=21&adid=9&wy_unid=62502&wy_unuser= http://track.t3rd.com http://sso.dadamobile.cn/splash/specialoffer_cn4.html http://www.it57.cn/ads/2008.htm http://www.bybby.com/gmi/site/join.asp http://l.digjoy.com http://www.nb46.com/ http://ent.sogua.com/photo/ts.htm http://www.7939.com http://www.qyule.tv/play.php?fid=197064&player=&pid=nr265_0722&page=http://www.qyule.tv/play.php?fid=197064 http://www1.digjoy.com/public/upexplain3.asp http://www.1717kan.cn/tongji2.asp 当然，并不是所有网页弹出都有病毒。我估计存在一个主要根源。 IE主页和默认页并没有被篡改。断网和安全模式下查毒，未发现异常。 windows下，随着网站侵入，频繁出现病毒Trojan.StartPage.bnx，多来自本机C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\以及C:\WINDOWS\system32。但都可以被瑞星拦截。使用超级兔子软件清理。发现有IE插件：SUN Java2 路径C:\WINDOWS\system32\COMBoHEvent.dll 。超级兔子软件可以一时卸载，但不必重启电脑便会随时生成。临时文件C:\WINDOWS\Temp和C:\Documents and Settings\用户\Local Settings\Temp下均存在TMP以及DAT格式文件，且互为关联不可删除（安全模式下卸载SUN Java2插件和清空IE临时文件后也一样）。（win下、安全模式下）注册表搜索SUN Java2和COMBoHEvent.dll以及相关链接的网站，删除所有信息，也不能删除2个Temp下的那些文件，估计还是它们互为关联的原因。请各位大虾出出主意，根源在哪里？如何删除Temp下的那几个烂东西。谢谢啦！！下面是我的扫描： HijackThis_zww汉化版扫描日志 V1.99.1 保存于 18:10:15, 日期 2006-9-6 操作系统： Windows XP SP2 (WinNT 5.01.2600) 浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180) 当前运行的进程： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE C:\Program Files\Rising\Rav\Ravmond.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Rising\Rav\RavService.exe c:\windows\system\Internet Explorer.exe C:\WINDOWS\system32\atetime11.exe C:\Program Files\Rising\Rav\RavTray.exe C:\Program Files\Rising\Rav\RavTask.exe C:\Program Files\Rising\Rav\Ravmon.exe C:\WINDOWS\system32\ctfmon.exe c:\windows\system32\inetsrv\csrss.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE C:\WINDOWS\system32\drwtsn32.exe C:\WINDOWS\system32\drwtsn32.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\NOTEPAD.EXE D:\个人文件\电脑故障\IE问题\HijackThis\HijackThis1991zww.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\atetime11.exe O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - C:\PROGRA~1\SUPERR~1\MagicSet\haokanbar.dll O3 - IE工具栏增项: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\Program Files\Kingsoft\FastAIT 2005\IEBand.dll O3 - IE工具栏增项: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - C:\PROGRA~1\SUPERR~1\MagicSet\haokanbar.dll O4 - 启动项HKLM\\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - 启动项HKLM\\Run: [PHIME2002ASync] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - 启动项HKLM\\Run: [PHIME2002A] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - 启动项HKLM\\Run: [IMSCMig] ; C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload O4 - 启动项HKLM\\Run: [TkBellExe] ; "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - 启动项HKLM\\Run: [RavTray] "C:\Program Files\Rising\Rav\RavTray.exe" O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - 启动项HKCU\\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE O9 - 浏览器额外的“工具”菜单项: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE O9 - 浏览器额外的按钮: (no name) - {f15c22ef-534e-414d-ab5d-1425cd806e41} - C:\WINDOWS\system32\shdocvw.dll (HKCU) O9 - 浏览器额外的按钮: (no name) - {f15c22ef-534e-414d-ab5d-1425cd806e42} - C:\WINDOWS\system32\shdocvw.dll (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com O16 - DPF: _{75FB124F-6F65-4291-938E-CFC8096AF875} - http://132.16.1.11/dll/ProWordActiveX.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{5C47A477-1F88-4272-BD80-6D001456AF01}: NameServer = 202.101.98.55,202.101.98.54 O23 - NT 服务: RavService - Unknown owner - C:\Program Files\Rising\Rav\RavService.exe" /service (file missing) O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe O23 - NT 服务: Volume Shadddow Copyer (Service332242) - Unknown owner - c:\windows\system\Internet Explorer.exe 2006-09-07 13:17:26
青菜虫子初生襁褓狮帖子:94 注册: 2004-02-21 来自:	分享到：

yanyanyoyo 初生襁褓狮帖子:91 注册: 2006-06-01 来自:	发表于： 2006-09-06 18:40 \| 短消息资料字号：小中大 2楼我前两天也这样，后来就中了更厉害的病毒了，这个就再没有出现！我之前很少中病毒，中也是随便就可以杀掉的，但最近总是中得很厉害，都要重做系统，可是我也没上什么新的网站呀，疯了的说！
yanyanyoyo 初生襁褓狮帖子:91 注册: 2006-06-01 来自:

westbeck 初生襁褓狮帖子:3572 注册: 2006-07-27 来自:	发表于： 2006-09-06 18:44 \| 短消息资料字号：小中大 3楼断网 ALT+CTRL+DELETE调出任务管理器,终止Internet Explorer.exe，atetime11.exe，csrss.exe，drwtsn32.exe这些进程修复： F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\atetime11.exe 开始-运行输入regedit,打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支，删除左栏中的病毒服务名Service332242 显示隐藏文件删除： C:\WINDOWS\system32\atetime11.exe c:\windows\system\Internet Explorer.exe c:\windows\system32\inetsrv\csrss.exe C:\WINDOWS\system32\drwtsn32.exe
westbeck 初生襁褓狮帖子:3572 注册: 2006-07-27 来自:

westbeck 初生襁褓狮帖子:3572 注册: 2006-07-27 来自:	发表于： 2006-09-06 18:45 \| 短消息资料字号：小中大 4楼修复后，请下载 System Repair Engineer，使用“智能扫描”，按下“扫描”按钮进行扫描，扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把保存的报告日志文件内容复制-粘贴上来下载网址 http://www.kztechs.com/sreng/sreng2.zip http://forum.ikaka.com/topic.asp?board=67&artid=5188931 日志一次粘不完，分次粘完，请不要修改。谢谢．．．
westbeck 初生襁褓狮帖子:3572 注册: 2006-07-27 来自:

westbeck 初生襁褓狮帖子:3572 注册: 2006-07-27 来自:	发表于： 2006-09-06 18:47 \| 短消息资料字号：小中大 5楼问题很多
westbeck 初生襁褓狮帖子:3572 注册: 2006-07-27 来自:

青菜虫子初生襁褓狮帖子:94 注册: 2004-02-21 来自:	发表于： 2006-09-06 20:07 \| 只看楼主短消息资料字号：小中大 6楼【回复“westbeck”的帖子】好，单位办公室的电脑，明天上班再搞革命。先谢谢啦！
青菜虫子初生襁褓狮帖子:94 注册: 2004-02-21 来自:

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-09-06 20:11 \| 短消息资料字号：小中大 7楼 http://forum.ikaka.com/topic.asp?board=28&artid=6979213 ⒊楼下载System Repair Engineer 解压-运行SREng.exe-智能扫描-扫描-保存日志然后把日志内容复制上来最好导出SRE 日志..
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

青菜虫子初生襁褓狮帖子:94 注册: 2004-02-21 来自:	发表于： 2006-09-07 11:57 \| 只看楼主短消息资料字号：小中大 8楼【回复“westbeck”的帖子】执行问题已经修复F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\atetime11.exe HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\ SERVICES无法定位哦！HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\只有一个分支control, 而SERVICES在HKEY_LOCAL_MACHINE\SYSTEM\controlset001\下面，这里面有个Service332242可以删除。经搜索，HKEY_LOCAL_MACHINE\SYSTEM\controlset001\Enum\Root\下面还有LEGACY_SERVICE332242文件夹（不可删除），其下有control，右边有名称ActiveService数据Service332242的均不可删除。HKEY_LOCAL_MACHINE\SYSTEM\controlset002\下也有类似路径和情况。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICE332242文件夹也是这样。 c:\windows\system32\inetsrv\csrss.exe不可删除。
青菜虫子初生襁褓狮帖子:94 注册: 2004-02-21 来自:

青菜虫子初生襁褓狮帖子:94 注册: 2004-02-21 来自:	发表于： 2006-09-07 12:05 \| 只看楼主短消息资料字号：小中大 9楼以下是SREng.exe扫描（断网，终止Internet Explorer.exe，atetime11.exe，csrss.exe，进程状态下的扫描哦，上述操作后我还没有重新启动呢，需要的话我再发） 2006-09-07,11:39:39 System Repair Engineer 2.0.21.505 (2.0 RC 2) Smallfrogs (http://www.KZTechs.com) Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能以下内容被选中：所有的启动项目（包括注册表、启动文件夹、服务等）浏览器加载项正在运行的进程（包括进程模块信息）文件关联启动项目注册表 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [Microsoft Corporation] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] <load><> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <IMJPMIG8.1><; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [Microsoft Corporation] <PHIME2002ASync><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [Microsoft Corporation] <PHIME2002A><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [Microsoft Corporation] <IMSCMig><; C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload> [Microsoft Corporation] <TkBellExe><; "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot> [] <RavTray><"C:\Program Files\Rising\Rav\RavTray.exe"> [Rising] <RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system> [Beijing Rising Technology Co., Ltd.] <KernelFaultCheck><%systemroot%\system32\dumprep 0 -k> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <shell><Explorer.exe> [Microsoft Corporation] <Userinit><C:\WINDOWS\SYSTEM32\Userinit.exe,> [Microsoft Corporation] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <UIHost><logonui.exe> [Microsoft Corporation] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] <MsnMsgr><; "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background> [Microsoft Corporation] ==================================
青菜虫子初生襁褓狮帖子:94 注册: 2004-02-21 来自:

青菜虫子初生襁褓狮帖子:94 注册: 2004-02-21 来自:	发表于： 2006-09-07 12:06 \| 只看楼主短消息资料字号：小中大 10楼启动文件夹 [Adobe Gamma Loader] <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Adobe Gamma Loader.lnk><H> [Adobe Reader Speed Launch] <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Adobe Reader Speed Launch.lnk><H> ================================== 服务 [RavService / RavService] <"C:\Program Files\Rising\Rav\RavService.exe" /service><Beijing Rising Technology Co., Ltd.> [Rising Process Communication Center / RsCCenter] <C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE><Beijing Rising Technology Co., Ltd.> [RsRavMon Service / RsRavMon] <"C:\Program Files\Rising\Rav\Ravmond.exe"><Beijing Rising Technology Co., Ltd.> [Volume Shadddow Copyer / Service332242] <2 - 系统找不到指定的文件。 ><N/A> [Print Spooler / Spooler] <><N/A> ================================== 浏览器加载项 [超级兔子上网精灵] {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} <C:\PROGRA~1\SUPERR~1\MagicSet\haokanbar.dll, Xiang Feng Technology> [QQ] {c95fe080-8f5d-11d2-a20b-00aa003c157b} <C:\Program Files\Tencent\QQ\QQ.EXE, TENCENT> [金山快译(&K)] {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} <C:\Program Files\Kingsoft\FastAIT 2005\IEBand.dll, 金山软件股份有限公司> [超级兔子上网精灵] {43869BB3-22FD-4F15-9B46-238106BA2F4E} <C:\PROGRA~1\SUPERR~1\MagicSet\haokanbar.dll, Xiang Feng Technology> [Shockwave Flash Object] {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash8b.ocx, Macromedia, Inc.> [超级兔子上网精灵] {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} <C:\PROGRA~1\SUPERR~1\MagicSet\haokanbar.dll, Xiang Feng Technology> [Shockwave Flash Object] {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash8b.ocx, Macromedia, Inc.> [FlashGet Bar] {E0E899AB-F487-11D5-8D29-0050BA6940E3} <C:\PROGRA~1\FlashGet\fgiebar.dll, Amaze Soft> [上传到QQ网络硬盘] <C22EF-534E-414D-AB5D-1425CD806E42}, N/A> [使用网际快车下载] <C:\Program Files\FlashGet\jc_link.htm, N/A> [使用网际快车下载全部链接] <C:\Program Files\FlashGet\jc_all.htm, N/A> [导出到 Microsoft Office Excel(&X)] <res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000, N/A> [添加到QQ自定义面板] <, N/A> [添加到QQ表情] <, N/A>
青菜虫子初生襁褓狮帖子:94 注册: 2004-02-21 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT