endurer 原创
2006-09-10 第1版
有位网友的电脑的桌面莫名其妙地出现了名为sohu游戏的图标,到控制面板的“添加删除程序”卸载以后,下次系统启动时又出了。并发来了 HijackThis(你可以到 http://endurer.ys168.com 下载)扫描的log。
在 log 发现如下可疑项目:
/--------------
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 21:33:37, 日期 2006-9-10
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程:
C:/Program Files/Common Files/UPDATE2/Update.exe
C:/Program Files/CNNIC/Cdn/cdnunins.exe
O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:/Program Files/Common Files/CPUSH/cpush.dll
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:/PROGRA~1/CNNIC/Cdn/cdnforie.dll
O2 - BHO: QuickBtn - {D1BB7CF4-4463-4e91-88D7-ECC3CE0A13B7} - C:/Program Files/kuzhan/kuzhan.dll
O4 - 启动项HKLM//Run: [Update] C:/Program Files/Common Files/UPDATE2/Update.exe
O4 - 启动项HKLM//Run: [CdnCtr] C:/Program Files/CNNIC/Cdn/cdnup.exe
O8 - IE右键菜单中的新增项目: 访问通用网址 - C:/Program Files/CNNIC/Cdn/cnnic.htm
O9 - 浏览器额外的按钮: 酷站导航 - {1D901067-2529-4A9B-9B6B-7A1DB3A44CB5} - C:/Program Files/kuzhan/kuzhan.dll
O9 - 浏览器额外的按钮: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:/PROGRA~1/CNNIC/Cdn/cdnforie.dll
O9 - 浏览器额外的“工具”菜单项: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:/PROGRA~1/CNNIC/Cdn/cdnforie.dll
O11 - Options group: [CDNCLIENT] 中文上网
--------------/
修复建议:
卸载:kuzhan,中文上网
终止进程:C:/Program Files/Common Files/UPDATE2/Update.exe
到 http://purpleendurer.ys168.com 下载 Cmd GUI Shell(图形界面的命令提示符壳)
,检查相关文件夹:
/--------------
D:/tools/CmdShell>cmd /c dir "C:/Program Files/Common Files/CPUSH" /a
驱动器 C 中的卷没有标签。
卷的序列号是 1013-3AFE
C:/Program Files/Common Files/CPUSH 的目录
2006-09-05 22:37 <DIR> .
2006-09-05 22:37 <DIR> ..
2006-09-09 19:15 32,913 Uninst.exe
2006-09-08 07:57 155,648 cpush0.dll
2006-09-05 20:59 151,552 cpush.dll
3 个文件 340,113 字节
D:/tools/CmdShell>cmd /c dir "C:/Program Files/Common Files/UPDATE2" /a
驱动器 C 中的卷没有标签。
卷的序列号是 1013-3AFE
C:/Program Files/Common Files/UPDATE2 的目录
2006-09-06 19:04 <DIR> .
2006-09-06 19:04 <DIR> ..
2004-06-06 13:16 143,360 Update.exe
1 个文件 143,360 字节
2 个目录 1,350,053,888 可用字节
2 个目录 1,351,753,728 可用字节
--------------/
用 WinRAR打包备份后删除。
关闭所有浏览器和文件夹窗口,用HijackThis扫描并修复上面所列项目。
清空IE临时文件夹
清空 c:/Documents and Settings/user/Local Settings/temp(其中 user 为用户名)
清空 c:/windows/temp