[中毒] 怎麼辦,一直跳出網頁T_T
Po文請使用下列格式並將有要求的檔案附上,資料詳細才有辦法幫您處理:
1.問題描述:
前幾天想說下載懷舊遊戲曹操傳來玩,但發現這款遊戲真的很難找。
我承認我手賤Q_Q
本來只在幾個安全的網頁下載,到後來實在下不到,就跑去大陸網站找了。
結果在某站找到安裝檔,一時興起就下載下來。
咦?好快唷,幾秒鐘就下好了。
雖然心裡知道有可能是病毒,但想反正沒關係,有毒就把這個安裝檔殺掉,再掃個毒就好
啦!
結果就是惡夢的開始>"<
安裝檔按下去,有跑個零點一秒吧,根本來不及看它安裝什麼。
這時心知不妙,是病毒,所以就把安裝檔殺了。
但是之後只要連上網,網路還是不定時會出現「遊戲外掛網」這個大陸網頁。
我用的防毒軟體是NOD32,它非常盡責地找出了毒源,我也按處理動作刪除了,但按照指
示重開機後,該檔案依舊存在,網頁還是照跑。
檔案位置:C:\WINDOWS\system32
檔案名稱:6r84693t.dll
除了這個檔案之外,還跑出了6to4svc.dll、12520437.cpx、12520850.cpx。
後面這三個檔案是可以刪除的,只是刪除之後會再出現,而第一個檔案6r84693t.dll則無
法刪除,它說因為有程式正在使用。
但是掃描結果,後面三個檔案不是病毒。
可是我把可疑的處理程序都關了,還是殺不了他 囧
2.掃毒報告:
C:\WINDOWS\system32\6r84693t.dll - a variant of Win32/BHO.NDW trojan
3.系統輔助分析軟體掃描報告(請依照COMBOFIX→Hijackthis→SRENG排序執行):
hijaclthis:有三個可疑的noname BHO,可是刪除後還是會出現。
4.報告連結:
請將掃描報告(log)貼於下方 (上面的全要)
Combofix :
囧 我沒有用
Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 下午 10:44:20, on 2008/6/24
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
c:\root\yxyeah\scvhost.exe
c:\root\yxyeaholes\scvhost.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\KKman\KKMAN.exe
C:\Documents and Settings\柚子\桌面\hijackthis\HijackThis.exe
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live 登入小幫手 - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Flashget] "C:\Program Files\FlashGet\FlashGet.exe" /min
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &使用 FlashGet 下載 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: &全部使用 FlashGet 下載 - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 匯出至 Microsoft Excel(&X) - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203243243859
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203246719859
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBDB30BC-7250-4948-9085-DE48633B80D2}: NameServer = 168.95.192.1 168.95.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod ?A?? (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Volume Shadow Copyreyx080415 (SCopyreyx080415) - Unknown owner - c:\root\yxyeah\scvhost.exe
O23 - Service: Volume Shadow SCopyreyx080624 (SCopyreyx080624) - Unknown owner - c:\root\yxyeaholes\scvhost.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
SRENG :
掃毒報告 :
在操作記憶體中發現a variant of Win32/BHO.NDW trojan。 可以刪除檔案。強烈建議
你繼續清除前備份任何重要資料。 在記憶體中此檔案的受感染部份無法被修復。按 "
離開" 以繼續掃描所有本機硬碟。請於掃描完成後到安全模式再次掃描,詳情請參閱:
http://www.nod32.com.hk/safemode 系統記憶體感染源自檔案
C:\WINDOWS\system32\6r84693t.dll.
C:\WINDOWS\system32\6r84693t.dll - a variant of Win32/BHO.NDW trojan
不知道這樣可不可以>.<
我的C槽用完了,不能下載別的程式了,對不起。
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 218.161.99.190
→
06/24 22:48, , 1F
06/24 22:48, 1F
※ 編輯: PayKuo 來自: 218.161.99.190 (06/24 22:58)
推
06/25 00:19, , 2F
06/25 00:19, 2F
→
06/25 02:09, , 3F
06/25 02:09, 3F