前往內容


[求助]中了惡意廣告軟體,附圖!

兩天前中了不明惡意廣告軟體,IE6.0被綁架,先祭出常駐的Norton Anti-Virus,找不到任何問題,爬了一下文,用了幾套免費或可試用的較安全和有效的惡意廣告軟體偵測軟體,有下載PREVX1試用版,Ad- Aware免費版,Spybot三套和線上掃毒McAfee,修了兩天還是無解,有抓到一些,然後用該偵測軟體直接移除,然後再掃一次通常就ok,但試用 IE還是不正常(非首頁綁架,首頁是google仍是正常,若搜尋McAfee官網則會連到其他怪怪的防毒軟體網站,試灌過IE 7.0裝完後開啟IE 7.0會crash,根本無法執行,只好換回IE 6.0來用線上掃毒),過一下再掃,又偵測到一樣的惡意軟體,目前結果是McAfee線上測不到異常,PREVX1抓到win32k.sys中標,可是我無法移除,Spybot抓到:Avenue A, Inc和TargetNet,可是老問題,移除後會再回來,Ad-Aware SE抓到一個tracking cookie也是老問題,移除後會再回來,請見附圖按這裡檢視圖片,請幫幫忙,多謝!
(ps.其實IE不能用對我沒啥影響,因為我幾乎全用FireFox,FF似乎完全不受影響,但是有電腦裡有惡意廣告軟體讓我很不舒服,也附上 HijackThis v1.98.1的結果)

Logfile of HijackThis v1.98.1
Scan saved at ¤U¤È 09:21:48, on 2006/10/15
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\AppServ\Apache\Apache.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\AppServ\mysql\bin\mysqld-nt.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\AppServ\Apache\Apache.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\PMJ151LA.BIN
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Prevx1\PXAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Gigabyte\Gigabyte Windows Utility Manager\ET4\ET4.EXE
C:\PROGRA~1\SBCSEL~1\SMARTB~1\MotiveSB.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Inventec\Dreye\DreyeMT\msnplugin.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Prevx1\PXConsole.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Garmin\gStart.exe
C:\Program Files\Increment Software\Reflex Vision\ReflexVision.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Program Files\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Program Files\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Program Files\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Program Files\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Going32\Utils\Going7.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Documents and Settings\neokao\®à­±\HijackThis.exe

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\common\ycomp5_1_6_0.dll
O2 - BHO: (no name) - {0E24427B-DF2A-40EB-980B-A819F5FF3DD0} - C:\WINDOWS\system32\pmnnopo.dll (file missing)
O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINDOWS\system32\wkydrkrf.dll
O2 - BHO: (no name) - {33119BB9-7806-5BF4-29B2-0895C1F68994} - C:\WINDOWS\system32\mdfzr.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Application Data\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {76B5E968-D61C-179E-54E3-075B2F17FD63} - C:\WINDOWS\system32\qmpwbgj.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\zh-tw\msntb.dll
O2 - BHO: (no name) - {FD11FB34-5968-4C01-9DB0-6897A5A9E65C} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\zh-tw\msntb.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\common\ycomp5_1_6_0.dll
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EEDAB} - (no file)
O3 - Toolbar: Dr.eye WebPage Translation - {92B255FE-94E2-4BCA-958D-3926CE38913F} - C:\Program Files\Inventec\Dreye\DreyeMT\DreyeIEBar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [EasyTuneIV] C:\Program Files\Gigabyte\Gigabyte Windows Utility Manager\ET4\ET4.EXE
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\SBCSEL~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [MSNDreyePlugin] C:\Program Files\Inventec\Dreye\DreyeMT\msnplugin.exe /h
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [dhrhkjh.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\dhrhkjh.dll,bkibqae
O4 - HKLM\..\Run: [PrevxOne] "C:\Program Files\Prevx1\PXConsole.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [gStart] C:\Garmin\gStart.exe
O4 - HKCU\..\Run: [Yahoo! Pager] 1
O4 - HKCU\..\Run: [Reflex Vision] "C:\Program Files\Increment Software\Reflex Vision\ReflexVision.exe" Start:Silent
O4 - HKCU\..\Run: [Entbloess 2] C:\Program Files\Increment Software\Reflex Vision\ReflexVision.exe Start:Silent
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [Reel] "C:\DOCUME~1\neokao\APPLIC~1\RACLE~1\dllhost.exe" -vt yazb
O4 - HKCU\..\Run: [Wrbox] C:\Program Files\Common Files\W?nSxS\t?skmgr.exe
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\xpic\phopicking.dll/MENUSEARCH.HTM
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java ¥D±±¥x - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Yahoo! Login - {2499216C-4BA5-11D5-BD9C-000103C116D5} - C:\Program Files\Yahoo!\common\ylogin.dll
O9 - Extra 'Tools' menuitem: Yahoo! Login - {2499216C-4BA5-11D5-BD9C-000103C116D5} - C:\Program Files\Yahoo!\common\ylogin.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://kaspersky.kl.edu.tw/webscan/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\common\yinsthelper.dll
O16 - DPF: {5F4D222D-5EEE-40A8-8810-5642B4E4F441} (KENCAPI Class) - https://ra.yuanta.com.tw/taica/rs/FSCAPIATL.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101196626639
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {90051A81-3018-4826-8B38-DD60B6B53F9C} (Snapfish File Upload ActiveX Control) - http://www.snapfish.com/SnapfishUpload.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D18F962A-3722-4B59-B08D-28BB9EB2281E} (PhotosCtrl Class) - http://photos.yahoo.com/ocx/us/yexplorer1_9us.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4871/mcfscan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Program Files\Invitrogen\Vector NTI Advance 10\Ncbi.dll


我是用下面方法,供你參考
WINDOWS UPDATE修補程式(平均兩個月微軟都會釋出新的除蟲新安裝程式)
+Norton SystemWorks 2006(打開內建防火牆,)

畢竟你上面提過的軟體都需要不斷更新,

我年紀大了,沒有到處試試看軟體的熱誠!
找用比較傻瓜的方法,不再讓我煩這些東西

到目前沒遇過惡意廣告問題,
有問題的話,會出現警示

但是系統速度變慢一些
不過也還值得
因為有些網頁還是需要IE
firefox無法使用

另外你放上的程式滿多都是原本軟體安裝後
自己內附的廣告程式
所以不算是惡意廣告程式
不用太煩惱


starhili wrote:
我是用下面方法,供你參考
WINDOWS UPDATE修補程式(平均兩個月微軟都會釋出新的除蟲新安裝程式)
+Norton SystemWorks 2006(打開內建防火牆,)

畢竟你上面提過的軟體都需要不斷更新,

我年紀大了,沒有到處試試看軟體的熱誠!
找用比較傻瓜的方法,不再讓我煩這些東西

到目前沒遇過惡意廣告問題,
有問題的話,會出現警示

但是系統速度變慢一些
不過也還值得
因為有些網頁還是需要IE
firefox無法使用

另外你放上的程式滿多都是原本軟體安裝後
自己內附的廣告程式
所以不算是惡意廣告程式
不用太煩惱


謝謝你,我的windows xp是有開啟自動update,前幾天才剛更新完,平時也有用Norton antivirus企業版,或許我就是太相信Norton才會遭殃,因為我就是在Norton啟動情況下開啟某個執行檔後就中標了。我知道Hijackthis秀出的看起來都是正常軟體,但實際上其他軟體有抓到,IE也不正常,所以才困擾。
似乎可以試試看系統還原?
我上次中毒,怎麼砍怎麼殺怎麼掃都不行,
直接還原到三天前,搞定......
你可以試試這個軟體
http://tw.pctutu.com/
我之前也被植入惡意程式,最後這這個軟體才解決
把IE的預設首頁設為他建議的網站,便可以不用序號。
你可以移除惡意程式後再考慮是否把該軟體刪除。

此外他有一種自動優化系統的功能,我個人是不愛使用,所以要使用此功能的人請斟酌。
用Ad-Aware似乎也不錯用喔
參考看看吧
AVG Anti-spyware也蠻好用的
Adware解不了的
全都被AVG Anti-spyware解決
Lightwave wrote:
AVG Anti-s...(恕刪)



全名是ewido anti spyware,是一套清掃廣告軟體兼木馬的
軟體程式,在國外的評價裡面滿優的,可是他不是防毒軟體,居然
有些網站把它當防毒軟體
出沒地:高雄文化中心裝潢前衛的理髮廳 職位:特命特別助理 停車點:高雄光華路跟青年路附近的餐廳
看那個log也沒啥大問題,看起來都是有頭有臉的公司軟體。
很多正常的程式或是cookies都會被那些防毒、抓木馬程式判斷為惡意程式,還是要自行判斷比較好!!
不過同時載入那麼多程式,跑起來不會卡卡的嗎??
謝謝大家的建議:
jylu wrote:
似乎可以試試看系統還原?
我上次中毒,怎麼砍怎麼殺怎麼掃都不行,
直接還原到三天前,搞定......


windows 內建系統還原之前已經被我關掉....

allen_lee wrote:
你可以試試這個軟體
http://tw.pctutu.com/
我之前也被植入惡意程式,最後這這個軟體才解決
把IE的預設首頁設為他建議的網站,便可以不用序號。
你可以移除惡意程式後再考慮是否把該軟體刪除。
此外他有一種自動優化系統的功能,我個人是不愛使用,所以要使用此功能的人請斟酌。


試試看

markf wrote:
用Ad-Aware似乎也不錯用喔
參考看看吧


Ad-Aware SE抓到一個tracking cookie,移除後會再回來

Lightwave wrote:
AVG Anti-spyware也蠻好用的
Adware解不了的
全都被AVG Anti-spyware解決


已試過,無效

jjdean wrote:
看那個log也沒啥大問題,看起來都是有頭有臉的公司軟體。
很多正常的程式或是cookies都會被那些防毒、抓木馬程式判斷為惡意程式,還是要自行判斷比較好!!
不過同時載入那麼多程式,跑起來不會卡卡的嗎??


我也是這樣覺得,看不出log有啥大問題...

可是我很確定有中標,因為只要一開IE就自動出現廣告視窗....

1頁 (共2頁) » 分享到

前往



廣告
廣告