endurer 原创
2006-09-01 第1版
打开瑞星在线免费查毒网页,立即弹出金山毒霸的广告窗口;瑞星查完病毒,弹出扫描结果窗口时,又弹出金山毒霸的广告窗口。
真的是瑞星在力荐金山毒霸吗?
一位网友的电脑,电脑工作缓慢,不定期弹出广告窗口,如:
/----------
hxxp://cg.9e3.com/register3.html
hxxp://photo.9158.com/tg/pic10.html
hxxp://vod.5617.com/5617/index.html
hxxp://dm21.fx120.net/120shop.htm
hxxp://www.cyworld.com.cn/event/markting/myminiroom/163_event.php?from=49&str_ad=linkid%3D4365%26channelid%3D200508
hxxp://my.chinahr.com/NewAccount.aspx
hxxp://www.duduw.com/web/dudu-07.htm
hxxp://stbanner.allyes.com/sm/gmi/800600/index.php?channelid=201178&linkid=5794
----------/
等,桌面出现YOK搜索图标,卸载了下次开机又出现……
重启电脑,选择带网络连接的安全模式。
到 http://endurer.ys168.com 下载 HijackThis扫描log,发现可疑项:
/----------
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 0:09:39, 日期 2006-8-31
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程:
C:/WINDOWS/system/java.exe
R3 - URLSearchHook: YOK Search Class - {88351CEF-BAC0-4A9B-8380-31A173E2926F} - C:/Program Files/YOK.com/SuperSearch/YOK_SuperSearch.dll
O2 - BHO: MonitorURL Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:/PROGRA~1/DESKAD~1/deskipn.dll
O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:/WINDOWS/system32/wmpdrm.dll
O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} - C:/Documents and Settings/All Users/Application Data/Microsoft/IEHelper/IEHelper2006814_4593.dll (file missing)
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:/PROGRA~1/CNNIC/Cdn/cdnforie.dll
O2 - BHO: JMX.JmxCenter - {63859236-76BF-493C-A587-DF479EBA2D4B} - C:/WINDOWS/system32/EJMX.dll
O2 - BHO: YOK超级搜索 - {75FE2B5A-D3A4-4EFA-AC11-ADC9C9459688} - C:/Program Files/YOK.com/SuperSearch/YOK_SuperSearch.dll
O2 - BHO: NewWeb Controller - {9ACEEE31-1440-471B-AA46-72B061FE7D61} - C:/WINDOWS/system32/WinSC32.dll
O2 - BHO: (no name) - {D424FE4E-CAF9-4fdd-BC5F-E6E6B91D53BF} - (no file)
O2 - BHO: BHelper Class - {F2E37336-BFDB-409B-8D0E-6F013C438B20} - C:/WINDOWS/system/487o0611.dll
O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:/PROGRA~1/CNNIC/Cdn/wmhlpr.dll (file missing)
O3 - IE工具栏增项: YOK超级搜索 - {F869BB38-FFEF-4589-B986-610B7AD0ADA2} - C:/Program Files/YOK.com/SuperSearch/YOK_SuperSearch.dll
O4 - 启动项HKLM//Run: [C:/WINDOWS/wd2_051117_WIS205_mini.exe] C:/WINDOWS/wd2_051117_WIS205_mini.exe
O4 - 启动项HKLM//Run: [C:/WINDOWS/setup_110017.exe] C:/WINDOWS/setup_110017.exe
O4 - 启动项HKLM//Run: [C:/WINDOWS/10045_setup.exe] C:/WINDOWS/10045_setup.exe
O4 - 启动项HKLM//Run: [C:/WINDOWS/101628.exe] C:/WINDOWS/101628.exe
O4 - 启动项HKLM//Run: [spoolsv] C:/WINDOWS/system32/spoolsv/spoolsv.exe -printer
O4 - 启动项HKLM//Run: [C:/WINDOWS/newweb10317.EXE] C:/WINDOWS/newweb10317.EXE
O4 - 启动项HKLM//Run: [C:/WINDOWS/tshz168.exe] C:/WINDOWS/tshz168.exe
O4 - 启动项HKLM//Run: [C:/WINDOWS/Setup-168.exe] C:/WINDOWS/Setup-168.exe
O4 - 启动项HKLM//Run: [C:/WINDOWS/YOK_904_1007.exe] C:/WINDOWS/YOK_904_1007.exe
O4 - 启动项HKLM//Run: [MSService_v1.0] C:/WINDOWS/system/java.exe
O4 - 启动项HKLM//Run: [Desktop] C:/WINDOWS/system32/rundll32.exe "C:/Program Files/DeskAdTop/Run.dll" ,Rundll
O4 - 启动项HKLM//Run: [CdnCtr] C:/Program Files/CNNIC/Cdn/cdnup.exe
O4 - Global Startup: IE-Bar.lnk = C:/Program Files/Common Files/IE-Bar/iebar.exe
O8 - IE右键菜单中的新增项目: YOK超级搜索 - C:/Program Files/YOK.com/SuperSearch/yoksch.htm
O8 - IE右键菜单中的新增项目: 用炫彩图铃发送该图片 - C:/Program Files/CaiShow Tech/CaiShow/SendMMS.htm
O9 - 浏览器额外的按钮: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:/PROGRA~1/CNNIC/Cdn/cdnforie.dll
O9 - 浏览器额外的“工具”菜单项: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:/PROGRA~1/CNNIC/Cdn/cdnforie.dll
O9 - 浏览器额外的按钮: YOK超级搜索 - {F869BB38-FFEF-4589-B986-610B7AD0ADA2} - hxxp://www.yok.com (file missing)
O10 - 未知的文件在 Winsock LSP: c:/windows/system32/cdnns.dll
O10 - 未知的文件在 Winsock LSP: c:/windows/system32/msplus.dll
O10 - 未知的文件在 Winsock LSP: c:/windows/system32/msplus.dll
O11 - Options group: [CDNCLIENT] 中文上网
O21 - SSODL: DelayRun - {5A6F2F95-3191-433B-8533-EB0B596A7BAC} - C:/WINDOWS/487d0610.dll
----------/
到 http://endurer.ys168.com 下载LSPFix.EXE 和“瑞星杀毒助手”两个软件。
到 http://www.miisoft.com/soft/22/2006/20060817014.html 下载 WinsockXPFix 这个软件。
卸载:DeskAdTop,NewWeb,YOK超级搜索,中文上网
用WinRAR找到
/----------
C:/WINDOWS/10045_setup.exe
C:/WINDOWS/101628.exe
C:/WINDOWS/newweb10317.EXE
C:/WINDOWS/setup_110017.exe
C:/WINDOWS/Setup-168.exe
C:/WINDOWS/tshz168.exe
C:/WINDOWS/wd2_051117_WIS205_mini.exe
C:/WINDOWS/system32/quartz32.dll
C:/WINDOWS/system32/SCIA.dll
C:/WINDOWS/system32/msplus.dll
C:/WINDOWS/system32/ijcj.dll
C:/WINDOWS/system32/jjbi.dll
C:/WINDOWS/system32/icif.dll
C:/WINDOWS/system32/ejjf.dll
C:/WINDOWS/system32/UpdateModule.dll
C:/WINDOWS/system32/WinSC32.dll
C:/WINDOWS/system32/spoolsv/spoolsv.exe
----------/
打包备份。
删除文件:
/----------
C:/WINDOWS/YOK_904_1007.exe
C:/WINDOWS/system32/msplus1.dll
C:/WINDOWS/system32/WinSC.dll
C:/WINDOWS/system32/WinSC64.dll
----------/
解压“瑞星杀毒助手”并运行,点击“使用瑞星免费查毒”按钮,打开在线免费查毒网页,立即弹出金山毒霸的广告窗口。晕!
扫描 c:/windows 和 c:/program files文件夹,结果如下:
/----------
2006-8-31 2:20:14 瑞星杀毒助手
Windows XP Service Pack 2(5.1.2600)
文件名 病毒名
C:/WINDOWS/system32/msicn/plugins/bm.dll Trojan.Ourxin.e
C:/WINDOWS/system32/msicn/plugins/as.dll Trojan.Ourxin.c
C:/WINDOWS/system32/msicn/msibm.dll Trojan.Spy.Agent.bhs
C:/WINDOWS/system32/1116/ntjdo/ntjcn.emm Trojan.Spy.Agent.bhs
C:/WINDOWS/system32/1116/ntjdo/plugins/cn.emm Trojan.Ourxin.e
C:/WINDOWS/system32/1116/ntjdo/plugins/bt.emm Trojan.Ourxin.c
C:/WINDOWS/system32/1116/tzt/xnqesn.emm Trojan.Ourxin.d
C:/WINDOWS/system32/1116/tqppmtw/tqppmtw.fyf Trojan.DL.Agent.kij
C:/WINDOWS/system32/spoolsv/spoolsv.exe Trojan.DL.Agent.kij
C:/WINDOWS/system32/wmpdrm.dll Trojan.Ourxin.d
C:/WINDOWS/system32/WinSC32.dll Trojan.Clicker.Qhost.i
C:/WINDOWS/system32/UpdateModule.dll Trojan.Clicker.Agent.ads
C:/WINDOWS/system32/ejjf.dll Trojan.DL.Direct.aa
C:/WINDOWS/system32/icif.dll Trojan.DL.Direct.aa
C:/WINDOWS/system32/jjbi.dll Trojan.DL.Direct.aa
C:/WINDOWS/system32/ijcj.dll Trojan.DL.Direct.aa
C:/WINDOWS/101628.exe Trojan.DL.ADLoad.ei
C:/WINDOWS/10045_setup.exe Trojan.StartPage.bnx
C:/Program Files/Common Files/System/ddcckl.dat Trojan.Inject.st
C:/Program Files/NetMeeting/nmview.dll Trojan.Agent.dte
C:/Program Files/NetMeeting/conf.dll Trojan.Agent.dte
C:/Program Files/xerox/fcbzc.exe Trojan.Inject.st
C:/Program Files/CNNIC/iebar_v2.exe Trojan.DL.QQHelper.eo
----------/
瑞星查完弹出扫描结果窗口时,又弹出了金山毒霸的广告窗口!
都用“瑞星杀毒助手”解决了。
请关闭所有文件夹和浏览器程序窗口,运行LSPFix.exe文件,选中选项“I Know What I'm Doing”,然后把左面窗口里的 cdnns.dll 和 msplus.dll 移到右面窗口里(不要动其他文件),然后选“Finish”。
关闭所有浏览器窗口和文件夹窗口,重新使用HijackThis扫描,在上列项目前打上勾,然后点[修复](Fix)。
清空 IE临时文件夹
清空 C:/Documents and Settings/user/Local Settings/temp 文件夹
再分享一下我老师大神的人工智能教程吧。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow