[中毒] 怎麼辦，一直跳出網頁T_T

看板AntiVirus作者PayKuo (柚子)時間16年前 (2008/06/24 22:47)推噓1(1推 0噓 2→)

留言3則, 2人參與討論串1/1

Po文請使用下列格式並將有要求的檔案附上，資料詳細才有辦法幫您處理： 1.問題描述：前幾天想說下載懷舊遊戲曹操傳來玩，但發現這款遊戲真的很難找。我承認我手賤Q_Q 本來只在幾個安全的網頁下載，到後來實在下不到，就跑去大陸網站找了。結果在某站找到安裝檔，一時興起就下載下來。咦？好快唷，幾秒鐘就下好了。雖然心裡知道有可能是病毒，但想反正沒關係，有毒就把這個安裝檔殺掉，再掃個毒就好啦！結果就是惡夢的開始>"< 安裝檔按下去，有跑個零點一秒吧，根本來不及看它安裝什麼。這時心知不妙，是病毒，所以就把安裝檔殺了。但是之後只要連上網，網路還是不定時會出現「遊戲外掛網」這個大陸網頁。我用的防毒軟體是NOD32，它非常盡責地找出了毒源，我也按處理動作刪除了，但按照指示重開機後，該檔案依舊存在，網頁還是照跑。檔案位置：C:\WINDOWS\system32 檔案名稱：6r84693t.dll 除了這個檔案之外，還跑出了6to4svc.dll、12520437.cpx、12520850.cpx。後面這三個檔案是可以刪除的，只是刪除之後會再出現，而第一個檔案6r84693t.dll則無法刪除，它說因為有程式正在使用。但是掃描結果，後面三個檔案不是病毒。可是我把可疑的處理程序都關了，還是殺不了他　囧 2.掃毒報告： C:\WINDOWS\system32\6r84693t.dll - a variant of Win32/BHO.NDW trojan 3.系統輔助分析軟體掃描報告(請依照COMBOFIX→Hijackthis→SRENG排序執行)： hijaclthis：有三個可疑的noname BHO，可是刪除後還是會出現。 4.報告連結：請將掃描報告(log)貼於下方 (上面的全要) Combofix ：囧　我沒有用 Hijackthis： Logfile of HijackThis v1.99.1 Scan saved at 下午 10:44:20, on 2008/6/24 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Eset\nod32kui.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe c:\root\yxyeah\scvhost.exe c:\root\yxyeaholes\scvhost.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Program Files\iPod\bin\iPodService.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Windows Live\Messenger\usnsvc.exe C:\Program Files\KKman\KKMAN.exe C:\Documents and Settings\柚子\桌面\hijackthis\HijackThis.exe O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file) O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live 登入小幫手 - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Flashget] "C:\Program Files\FlashGet\FlashGet.exe" /min O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: &使用 FlashGet 下載 - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: &全部使用 FlashGet 下載 - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: 匯出至 Microsoft Excel(&X) - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203243243859 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203246719859 O17 - HKLM\System\CCS\Services\Tcpip\..\{FBDB30BC-7250-4948-9085-DE48633B80D2}: NameServer = 168.95.192.1 168.95.1.1 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod ?A?? (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: Volume Shadow Copyreyx080415 (SCopyreyx080415) - Unknown owner - c:\root\yxyeah\scvhost.exe O23 - Service: Volume Shadow SCopyreyx080624 (SCopyreyx080624) - Unknown owner - c:\root\yxyeaholes\scvhost.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe SRENG ：掃毒報告：在操作記憶體中發現a variant of Win32/BHO.NDW trojan。可以刪除檔案。強烈建議你繼續清除前備份任何重要資料。在記憶體中此檔案的受感染部份無法被修復。按 " 離開" 以繼續掃描所有本機硬碟。請於掃描完成後到安全模式再次掃描，詳情請參閱： http://www.nod32.com.hk/safemode 系統記憶體感染源自檔案 C:\WINDOWS\system32\6r84693t.dll. C:\WINDOWS\system32\6r84693t.dll - a variant of Win32/BHO.NDW trojan 不知道這樣可不可以>.< 我的Ｃ槽用完了，不能下載別的程式了，對不起。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.161.99.190

→

PayKuo

06/24 22:48, , 1^F

06/24 22:48, 1^F

※ 編輯: PayKuo 來自: 218.161.99.190 (06/24 22:58)

推

lcjjaff

06/25 00:19, , 2^F

06/25 00:19, 2^F

→

PayKuo

06/25 02:09, , 3^F

06/25 02:09, 3^F

‣ 返回看板[ AntiVirus ] 防毒

‣ 更多 PayKuo 的文章

文章代碼(AID): #18OGZsXr (AntiVirus)