瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 浏览器遭到劫持。请斑竹来帮帮我看下。已发了Hijackthis的扫描报告。

1   1  /  1  页   跳转

浏览器遭到劫持。请斑竹来帮帮我看下。已发了Hijackthis的扫描报告。

收藏
中意
头像
初生襁褓狮
  • 帖子:38
  • 注册: 2005-01-04
  • 来自:
发表于: 2007-02-10 03:16 | 只看楼主 短消息 资料
字号: 1楼

浏览器遭到劫持。请斑竹来帮帮我看下。已发了Hijackthis的扫描报告。

Logfile of HijackThis v1.99.1
Scan saved at 3:02:35, on 2007-2-10
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
G:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
G:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
g:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\spoolsv.exe
G:\Program Files\Rising\Rfw\rfwmain.exe
G:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\racer-henan-cnc\racer.exe
G:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\System32\conime.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Sogou PXP\p2psvr.exe
C:\WINDOWS\System32\svchost.exe
G:\Program Files\Rising\Rav\RavStub.exe
C:\Program Files\racer-henan-cnc\RacerKp.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Hijackthis\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rundll32.exe C:\WINDOWS\System32\winsys16_070208.dll start
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL (file missing)
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\Thunder\ComDlls\XunLeiBHO_002.dll
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - D:\KuGoo3\KuGoo3DownXControl.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RfwMain] "G:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [RavTask] "G:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Systes] sysrestore762.exe
O4 - HKCU\..\RunServices: [Systes] sysrestore762.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: 河南网通宽带用户客户端.lnk = C:\Program Files\racer-henan-cnc\racer.exe
最后编辑2007-02-12 15:56:48.653000000
分享到:
gototop
 
中意
头像
初生襁褓狮
  • 帖子:38
  • 注册: 2005-01-04
  • 来自:
发表于: 2007-02-10 03:16 | 只看楼主 短消息 资料
字号: 2楼

O8 - Extra context menu item: &使用迅雷下载 - D:\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 使用KuGoo3下载(&K) - D:\KuGoo3\KuGoo3DownX.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Tencent\QQ\SendMMS.htm
O9 - Extra button: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - D:\Thunder\Thunder.exe
O9 - Extra 'Tools' menuitem: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - D:\Thunder\Thunder.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Tencent\QQ\QQ.EXE
O15 - Trusted Zone: http://www.icbc.com.cn
O16 - DPF: {05C1004E-2596-48E5-8E26-39362985EEB9} (MMCPlayer Class) - http://p3p.sogou.com/MMCShell.cab
O16 - DPF: {16BFA456-1B0A-4602-8871-FAF3BCB9F088} (LMViewer Control) - http://10.0.4.88/eod/ActiveX/LMViewer.CAB
O16 - DPF: {1DABF8D5-8430-4985-9B7F-A30E53D709B3} (InstallHelper Class) - http://cache.tv.qq.com/qqlive_ocx/QQLiveInstaller.cab
O16 - DPF: {562E9E9A-D020-4CDB-8F58-B4A4E896EFEF} (LMDownload Control) - http://10.0.4.88/eod/ActiveX/LMDownload.CAB
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{184E2CF0-90E8-4812-B75C-759E7650049D}: NameServer = 10.0.0.164,10.0.0.165
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD991529-2ABB-4F89-AB2E-71804F950291}: NameServer = 10.0.0.164,10.0.0.165
O17 - HKLM\System\CS1\Services\Tcpip\..\{184E2CF0-90E8-4812-B75C-759E7650049D}: NameServer = 10.0.0.164,10.0.0.165
O20 - AppInit_DLLs: 338448M.BMP
O21 - SSODL: DLMonF - {DADE1910-86AA-D04E-4B87-28B92A3D4E99} - C:\WINDOWS\AppPatch\msimain.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: P4P Service - Sohu.com Inc. - C:\Program Files\Common Files\Sogou PXP\p2psvr.exe
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - g:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - g:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - G:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - G:\Program Files\Rising\Rav\Ravmond.exe
gototop
 
中意
头像
初生襁褓狮
  • 帖子:38
  • 注册: 2005-01-04
  • 来自:
发表于: 2007-02-10 11:07 | 只看楼主 短消息 资料
字号: 3楼

顶啊 斑竹帮忙看下喔
gototop
 
中意
头像
初生襁褓狮
  • 帖子:38
  • 注册: 2005-01-04
  • 来自:
发表于: 2007-02-11 02:08 | 只看楼主 短消息 资料
字号: 4楼

斑竹为什么不看呢。。。帮帮我啊
gototop
 
秋日里的蓝天
头像
卡卡技术团队
  • 帖子:7349
  • 注册: 2004-09-30
  • 来自:
发表于: 2007-02-11 09:53 | 短消息 资料
字号: 5楼

重新启动电脑,自动检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式(Safe Mode)进入Windows。)


运行Hijackthis,把下面的选中打上钩,修复
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rundll32.exe C:\WINDOWS\System32\winsys16_070208.dll start
O4 - HKCU\..\Run: [Systes] sysrestore762.exe
O4 - HKCU\..\RunServices: [Systes] sysrestore762.exe
O20 - AppInit_DLLs: 338448M.BMP  这个请到我空间下载专杀,



开始--运行---REGEDIT---依次展开:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
选中:userinit--右键----修改为---C:\WINDOWS\system32\userinit.exe,
删除:rundll32.exe C:\WINDOWS\System32\winsys16_070208.dll start


显示隐藏文件,搜索
删除
sysrestore762.exe  修复前,压缩发到我的邮箱
C:\WINDOWS\System32\winsys16_070208.dll
gototop
 
秋日里的蓝天
头像
卡卡技术团队
  • 帖子:7349
  • 注册: 2004-09-30
  • 来自:
发表于: 2007-02-11 09:59 | 短消息 资料
字号: 6楼

专杀下载地址:http://free5.ys168.com/?ufwihgu168
gototop
 
中意
头像
初生襁褓狮
  • 帖子:38
  • 注册: 2005-01-04
  • 来自:
发表于: 2007-02-12 14:26 | 只看楼主 短消息 资料
字号: 7楼

谢谢斑竹给我的回帖。但是您回帖中说的“删除:rundll32.exe C:\WINDOWS\System32\winsys16_070208.dll start”是什么意思呢?是在注册列表中删除么?

我的帖子地址是http://forum.ikaka.com/topic.asp?board=67&artid=8267736。请您麻烦再解释一下。rundll32.exe这个我记得是系统文件,好象不能删掉的?。。
gototop
 
中意
头像
初生襁褓狮
  • 帖子:38
  • 注册: 2005-01-04
  • 来自:
发表于: 2007-02-12 14:27 | 只看楼主 短消息 资料
字号: 8楼

thanks for helping me so much
gototop
 
中意
头像
初生襁褓狮
  • 帖子:38
  • 注册: 2005-01-04
  • 来自:
发表于: 2007-02-12 15:56 | 只看楼主 短消息 资料
字号: 9楼

斑竹,我用Hijackthis把您说的那些选项要修复的,都修复了之后。

注册列表:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ 目录下,没有“Userinit”的选项。也没有“rundll32.exe C:\WINDOWS\System32\winsys16_070208.dll start”这些内容。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT