endurer 原创
2006-03-08 第5版 补充:
经测试,通过“添加删除程序”里的RichMedia并不能完全卸载“很棒小秘书”,不过
O10 - Unknown file in Winsock LSP: c:/windows/system32/hbmter.dll
会被清除。
详见:扫出100多个病毒,3个隐身进程
2006-02-18 第4版 补充:瑞星关于bcsysnote.exe的回复
发件人: | send@rising.net.cn | 发送时间:2006-02-18 13:27:47 |
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:bcsysnote.exe
不是病毒
2006-02-17 第3版 补充:有网友反映说用杀毒软件清除AdWare.HBang后无法上网,这是由于
O10 - Unknown file in Winsock LSP: c:|windows|system32|hbmter.dll
引起的。
建议先使用lspfix.exe修复此O10项,再杀毒。
在本文中,由于我使用的是瑞星在线查毒,所以扫描出来的染毒软件不会被自动清除。
2006-02-16 第2版 江民KV将bcsysnote.exe报为TrojanClicker.Agent.g
2006-02-16 第1版
一位同事的电脑,在打开IE时会自动弹出窗口,让我帮忙弄弄。
先打开控制面板里的添加删除程序,把雅虎助手、Accoona工具栏之类的东东都卸载了,有个名为“RichMedia”的东东,不熟悉,先放它一马。
再打开IE浏览器,没有再弹出窗口。估计弹出窗口是Accoona工具栏引起的。
先下载安装了Maxthon,然后到http://endurer.ys168.com下载HijachThis。
用HijachThis修复了如下项目:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:/Program Files/Accoona/ASearchAssist.dll (file missing)
O3 - Toolbar: 完美网译通 - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - C:/WINDOWS/WORLD2/TOOLBAR/hmtoolbar.dll
O3 - Toolbar: (no name) - {F60C7D81-8471-4D40-AAFE-56D318F34C2D} - (no file)
在HijachThis扫描的log中,发现如下可疑项目:
O2 - BHO: HBObject Class - {AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1} - C:/PROGRA~1/HBClient/tbhelper.dll
O4 - HKLM/../Run: [ADShow] C:/WINDOWS/system32/bcsysnote.ex
O4 - HKLM/../Run: [RichMedia] C:/WINDOWS/system32/Rundll32.exe "C:/PROGRA~1/HBClient/tbhelper.dll",WaitWindows
O10 - Unknown file in Winsock LSP: c:/windows/system32/hbmter.dll
O10 - Unknown file in Winsock LSP: c:/windows/system32/hbmter.dll
用瑞星在线免费查毒扫描C盘,结果如下:
2006-2-16 9:54:52 瑞星杀毒助手
Windows XP Service Pack 2(5.1.2600)
文件名 病毒名
C:/WINDOWS/system32/hbmter.dll AdWare.HBang.e
C:/WINDOWS/HHelp.dll AdWare.HBang.e
C:/Program Files/HBClient/tbhelper.dll AdWare.HBang.c
C:/System Volume Information/_restore{1F034AFA-4C43-49F7-AC54-375A02EF3410}/RP27/A0007902.dll AdWare.HBang.e
...............(endurer注:都在系统还原文件夹中,几十个,这里省略了。)
C:/System Volume Information/_restore{1F034AFA-4C43-49F7-AC54-375A02EF3410}/RP41/A0019849.rbf AdWare.Hbang.a
C:/System Volume Information/_restore{1F034AFA-4C43-49F7-AC54-375A02EF3410}/RP41/A0019850.msi>>Msi.e.exe AdWare.Hbang.a
原来那个“添加删除程序”里的那个名为“RichMedia”的东东居然是AdWare.Hbang。
到http://endurer.ys168.com下载lspfix.exe修复了
O10 - Unknown file in Winsock LSP: c:/windows/system32/hbmter.dll
这一项。
到http://endurer.ys168.com下载“瑞星杀毒助手”,先点击复制瑞星查杀结果列表,然后“保存扫描结果”,接着把病毒文件打包备份,接下来把“直接删除染毒文件,不放入回收站”钩上,再点击“删除所有染毒文件”。
除了
C:/WINDOWS/system32/hbmter.dll
C:/WINDOWS/HHelp.dll
这两个外,其它染毒文件都成功删除了。(还发现一个C:/WINDOWS/HHelp.dat,也删除了。)
点击“改所有文件名”,再点击“下次启动计时删除”。
关于
O4 - HKLM/../Run: [ADShow] C:/WINDOWS/system32/bcsysnote.ex
用http://virusscan.jotti.org/扫描结果如下:
File: | bcsysnote.exe |
Status: | INFECTED/MALWARE |
MD5 | ae6c494a421c7194be5d14a959cbbbec |
Packers detected: | UPX |
Scanner results | |
AntiVir | Found Trojan/Click.Agent.EE.1 |
ArcaVir | Found Trojan.Clicker.Agent.Ee |
Avast | Found Win32:Trojan-gen. |
AVG Antivirus | Found Clicker.OW |
BitDefender | Found Trojan.Clicker.Agent.EE |
ClamAV | Found Trojan.Clicker.Agent-36 |
Dr.Web | Found Adware.BlogMark |
F-Prot Antivirus | Found nothing |
Fortinet | Found Adware/Agent |
Kaspersky Anti-Virus | Found Trojan-Clicker.Win32.Agent.ee |
NOD32 | Found probably unknown NewHeur_PE (probable variant) |
Norman Virus Control | Found W32/Agent.HJR |
UNA | Found TrojanClicker.Win32.Agent |
VBA32 | Found Trojan-Clicker.Win32.Agent.ee |
也是一个病毒。把C:/WINDOWS/system32/bcsysnote.exe打包备份后删除。
*2006-02-16 第2版补充: 江民KV将bcsysnote.exe报为TrojanClicker.Agent.g
关闭所有浏览器和文件夹窗口,用HijackThis重新扫描并修复上面这些可疑项目。
重新启动计算机。
重新用瑞星在线免费扫描,没有发现病毒。