【回复“囡囡爱宝宝”的帖子】

请先到

[必读]反浏览器劫持论坛说明及常用小软件下载
http://forum.ikaka.com/topic.asp?board=67&artid=5188931

下载CWShredder.exe



下面的操作方法请参考：
反浏览器劫持的一些常用操作
http://forum.ikaka.com/topic.asp?board=67&artid=6490491


开始--》设置--》控制面板--》添加删除程序--》卸载： 雅虎助手，百度超级搜霸，RichMedia

把瑞星升级到最新版本

重新启动到安全模式

如果使用了系统还原功能, 请先关闭此功能。

停止并禁用此服务：
IEXP
SDAgent Service (SDAgentService)


设置系统显示所有文件和文件夹，不隐藏已知文件类型扩展名

寻找如下文件:

C:\WINDOWS\cn.exe
C:\WINDOWS\system32\host.exe
C:\WINDOWS\system32\wmpdrm.dll
C:\WINDOWS\system32\WinSC.dll
C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_8925.dll
C:\Program Files\CoolWebsite\QuickLink.dll

把找到的文件用压缩软件(如winrar, winzip)打包备份，再删除找到的文件。

待全部修复工作完成后，把压缩包作为email附件发到endurer@163.com,请在email中注明此贴的网址

删除文件夹：
C:\Program Files\CoolWebsite
C:\Program Files\Common Files\smartde

关闭所有IE窗口，运行CWShredder.exe让它修复(Fix)
相关教程：CoolWebSearch专杀——CoolWeb Shredder（CoolWeb粉碎机）简介
http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=3926810&page=1


请关闭所有浏览器窗口和文件夹窗口，重新使用HijackThis扫描,在下列建议修复的项目前打上勾，然后点[修复](Fix)（如果你清楚某项是安全的，可以不处理）：

O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll (file missing)
O2 - BHO: MyIEHelper Class - {16A770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_8925.dll

O2 - BHO: QuickBtn - {1A199C20-DE2B-4838-AE3F-B5257ECE2B7E} - C:\Program Files\CoolWebsite\QuickLink.dll

O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\baidubar.dll

O2 - BHO: NewWeb Controller - {9ACEEE30-143F-471A-AA45-72B061FE7D60} - C:\WINDOWS\system32\WinSC.dll

O2 - BHO: HBObject Class - {AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1} - C:\PROGRA~1\HBClient\tbhelper.dll

O2 - BHO: MEobjectSDT - {D4D5C535-BA95-4327-870D-A33826FDD17A} - C:\WINDOWS\system32\obwbkya.dll

O4 - 启动项HKLM\\Run: [host32] ; C:\WINDOWS\system32\host.exe
O4 - 启动项HKLM\\Run: [RichMedia] C:\WINDOWS\system32\Rundll32.exe "C:\PROGRA~1\HBClient\tbhelper.dll",WaitWindows

O23 - NT 服务: IEXP - Unknown owner - C:\WINDOWS\cn.exe

O23 - NT 服务: SDAgent Service (SDAgentService) - 北京兴华基业软件技术有限公司 - C:\Program Files\Common Files\smartde\sde.exe


清空IE临时文件夹

用瑞星全面查杀病毒

【回复“tale110”的帖子】

下面的操作方法请参考：
反浏览器劫持的一些常用操作
http://forum.ikaka.com/topic.asp?board=67&artid=6490491

开始--》设置--》控制面板--》添加删除程序--》卸载：优客搜索（VeryCD超级搜索）、 雅虎助手，CNNIC_IDN （中文上网），一搜工具条

重新启动到安全模式

如果使用了系统还原功能, 请先关闭此功能。

请关闭所有浏览器窗口和文件夹窗口，重新使用HijackThis扫描,在下列建议修复的项目前打上勾，然后点[修复](Fix)（如果你清楚某项是安全的，可以不处理）：


O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - 浏览器额外的按钮： 寻论网--中学作业解答 - {6924091F-CD97-41E1-B1D4-D9079409D423} - http://www.xunlun.com (file missing)

O9 - 浏览器额外的“工具”菜单项： 中学作业 - {6924091F-CD97-41E1-B1D4-D9079409D423} - http://www.xunlun.com (file missing)

清空IE临时文件夹

关于每次开机都弹出记事本窗口的问题，
请在这个记事本窗口弹出时，用菜单：文件--》另存为，看看这个desktop文件是在哪个文件夹里，然后设置系统显示所有文件和文件夹，不隐藏已知文件类型扩展名，用WinRAR找到这个文件并删除。

如果问题还不能解决，请在安全模式下用HijackThis扫描启动项列表发上来，以便大家分析讨论。

【回复“jeaccy”的帖子】

卸载：CoolWebsite，雅虎助手，中文上网，MMSAssist，青娱乐，一搜

重新启动到安全模式（进入安全模式的方法:重新启动电脑, 开机自动检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式(Safe Mode)进入Windows。）

开始--》设置--》控制面板--》管理工具--》服务
停止服务：
Event (COMEventSystem)
ftp
Protected StoragerServer2.0
Network System (Universal Disk Manager)

关闭系统还原功能


打开“我的电脑”；
依次打开菜单“工具/文件夹选项”；
然后在弹出的“文件夹选项”对话框中切换到“查看”页；
去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态；
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项；
去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态；
点击“确定”。

寻找如下文件:

C:\WINDOWS\internat.exe
C:\WINDOWS\internat.dll
C:\WINDOWS\internatdll.dll
C:\WINDOWS\internat_hook.dll
C:\WINDOWS\internat_key.dll
C:\WINDOWS\ftp.exe
C:\WINDOWS\ftp.dll
C:\WINDOWS\ftpdll.dll
C:\WINDOWS\ftp_key.dll
C:\WINDOWS\ftp_hook.dll
C:\WINDOWS\Ghost8.0.exe
C:\WINDOWS\Ghost8.0.dll
C:\WINDOWS\Ghost8.0dll.dll
C:\WINDOWS\Ghost8.0_key.dll
C:\WINDOWS\Ghost8.0_hook.dll
C:\WINDOWS\G_Server2.0.exe
C:\WINDOWS\G_Server2.0.dll
C:\WINDOWS\G_Server2.0dll.dll
C:\WINDOWS\G_Server2.0_key.dll
C:\WINDOWS\G_Server2.0_hook.dll
C:\WINDOWS\system32\WinSC32.dll


把找到的文件用压缩软件(如winrar, winzip)打包备份后删除，待全部修复工作完成后作为email附件发到endurer@163.com

删除文件：
C:\WINDOWS\System32\NaviHelper.dll

删除文件夹：C:\Program Files\Common Files

请关闭所有浏览器窗口和文件夹窗口，重新使用HijackThis扫描,在下列建议修复的项目前打上勾，然后点[修复](Fix)（如果你清楚某项是安全的，可以不处理）：


R3 - URLSearchHook: (no name) - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - (no file)


O2 - BHO: QuickBtn - {1A199C20-DE2B-4838-AE3F-B5257ECE2B7E} - C:\Program Files\CoolWebsite\QuickLink.dll

O2 - BHO: NaviHelperObj Class - {3E422F49-1566-40D3-B43D-077EF739AC32} - C:\WINDOWS\System32\NaviHelper.dll

O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll

O2 - BHO: Router Layer - {5EB7CB50-E375-4718-B4C0-9AD12EFA2F84} - C:\WINDOWS\System32\aclayer.dll (file missing)

O2 - BHO: MMSAssist - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - (no file)

O2 - BHO: NewWeb Controller - {9ACEEE30-143F-471A-AA45-72B061FE7D60} - C:\WINDOWS\system32\WinSC32.dll

O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\System32\qylhelper.dll

O2 - BHO: DragSearch BHO - {EF1D17A9-089F-40cc-8D64-7324CDEBA0DB} - C:\PROGRA~1\YiSou\yisoub.dll

O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRA~1\CNNIC\Cdn\wmhlpr.dll (file missing)

O3 - Toolbar: (no name) - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - (no file)

O3 - Toolbar: 一搜工具条 - {115F6E46-FCBC-41ed-B3B5-3BDDD4AAB5E5} - C:\Program Files\YiSou\yisou.dll

O4 - HKLM\..\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe

O4 - HKLM\..\Run: [Update] C:\WINDOWS\System32\Update.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: >> 彩信发送 << - res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm

O8 - Extra context menu item: !搜一搜 - res://C:\Program Files\YiSou\yisou.dll/232

O8 - Extra context menu item: Quick Search (Yisou.com) - res://C:\Program Files\YiSou\yisou.dll/232

O8 - Extra context menu item: 添加到雅虎订阅(&Y) - res://C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yrss.dll/YRSSMENUEXT

O8 - Extra context menu item: 雅虎搜索 - res://C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll/246

O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)

O9 - Extra button: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll

O9 - Extra 'Tools' menuitem: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll

O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/?source=Cns (file missing)

O9 - Extra 'Tools' menuitem: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: 易趣购物 - {DE607141-AC19-421e-866A-6D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)

O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)

O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)

O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)

O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)

O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)

O15 - Trusted Zone: http://*.ge123.com

O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - http://ps.itv.mop.com/dn/files/pCastCtl_1.0.0.80_20060123.cab

O23 - Service: Event (COMEventSystem) - Unknown owner - C:\WINDOWS\internat.exe (file missing)

O23 - Service: ftp - Unknown owner - C:\WINDOWS\ftp.exe


O23 - Service: Protected Storager - Unknown owner - C:\WINDOWS\Ghost8.0.exe

O23 - Service: Server2.0 - Unknown owner - C:\WINDOWS\G_Server2.0.exe

O23 - Service: Network System (Universal Disk Manager) - COMENET TECHNOLOGY - C:\Program Files\Common Files\COMM\Network.exe

清空IE临时文件夹

【回复“jeaccy”的帖子】

下面的操作方法请参考：
反浏览器劫持的一些常用操作
http://forum.ikaka.com/topic.asp?board=67&artid=6490491

开始--》设置--》控制面板--》添加删除程序--》卸载：一搜、青娱乐、MMSAssist、CoolWebsite、 雅虎助手，CNNIC_IDN （中文上网），NewWeb

重新启动到安全模式

如果使用了系统还原功能, 请先关闭此功能。

停止并禁用服务：
Event (COMEventSystem)
ftp
Windows Installer (MSIServer)
Protected Storager
Server2.0
Network System (Universal Disk Manager)

设置系统显示所有文件和文件夹，不隐藏扩展名

寻找如下文件：

C:\WINDOWS\internat.exe
C:\WINDOWS\internat*.dll(如C:\WINDOWS\internat.dll,C:\WINDOWS\internat_dll.dll等)
C:\WINDOWS\ftp.exe
C:\WINDOWS\ftp*.dll
C:\WINDOWS\Ghost8.0.exe
C:\WINDOWS\Ghost8.0*.dll
C:\WINDOWS\G_Server2.0.exe
C:\WINDOWS\G_Server2.0*.dll
C:\WINDOWS\System32\Update.exe
C:\WINDOWS\System32\NaviHelper.dll
C:\Program Files\Common Files\COMM\Network.exe

把它们用压缩软件(如winrar, winzip)打包备份后删除，待全部修复工作完成后，把压缩包作为email附件发到endurer@163.com


请关闭所有浏览器窗口和文件夹窗口，重新使用HijackThis扫描,在下列建议修复的项目前打上勾，然后点[修复](Fix)（如果你清楚某项是安全的，可以不处理）：


R3 - URLSearchHook: (no name) - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - (no file)

O2 - BHO: QuickBtn - {1A199C20-DE2B-4838-AE3F-B5257ECE2B7E} - C:\Program Files\CoolWebsite\QuickLink.dll

O2 - BHO: NaviHelperObj Class - {3E422F49-1566-40D3-B43D-077EF739AC32} - C:\WINDOWS\System32\NaviHelper.dll

O2 - BHO: Router Layer - {5EB7CB50-E375-4718-B4C0-9AD12EFA2F84} - C:\WINDOWS\System32\aclayer.dll (file missing)

O2 - BHO: MMSAssist - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - (no file)

O2 - BHO: NewWeb Controller - {9ACEEE30-143F-471A-AA45-72B061FE7D60} - C:\WINDOWS\system32\WinSC.dll

O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\System32\qylhelper.dll

O3 - Toolbar: (no name) - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - (no file)

O4 - HKLM\..\Run: [Update] C:\WINDOWS\System32\Update.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra 'Tools' menuitem: 15Y共享资源库 - {1160BB39-C161-4f84-9438-8B9B0C9409F5} - http://www.15y.net (file missing)
O9 - Extra button: 实用网址导航 - {1D901067-2529-4A9B-9B6B-7A1DB3A44CB5} - C:\Program Files\CoolWebsite\QuickLink.dll

O15 - Trusted Zone: http://*.ge123.com

O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - http://ps.itv.mop.com/dn/files/pCastCtl_1.0.0.80_20060123.cab


O23 - Service: Event (COMEventSystem) - Unknown owner - C:\WINDOWS\internat.exe (file missing)

O23 - Service: ftp - Unknown owner - C:\WINDOWS\ftp.exe

O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\WINDOWS\System32\msiexec.exe (file missing)

O23 - Service: Protected Storager - Unknown owner - C:\WINDOWS\Ghost8.0.exe
O23 - Service: Server2.0 - Unknown owner - C:\WINDOWS\G_Server2.0.exe

O23 - Service: Network System (Universal Disk Manager) - COMENET TECHNOLOGY - C:\Program Files\Common Files\COMM\Network.exe

清空IE临时文件夹