瑞星卡卡安全论坛

我的机器表面的现象就是阁几分钟就跳一个网页出来，网页打开后并不是常见的黄色网站，而是一些广告页面，今天竟然还有一个搜索页面出现，然后就是不能使用网上邻居访问其他机器，系统运行也明显变慢，但是CPU使用率也不是很高。
我们公司从前天开始，陆续有好多机器都这样了，请大家知道的帮下忙，谢谢了
PS:我使用3721修复过IE，发现12个篡改项，但是提示修复了之后查找还是有，进安全模式修复也不行

贴个日志上来，才能帮你分析

http://forum.ikaka.com/topic.asp?board=67&artid=4878959

            标    题：IE主页被迫连接某网站的解决办法！

先谢谢2楼的
1楼的，怎么看日志？哪里的日志？

引用:

【wwhg的贴子】先谢谢2楼的 1楼的，怎么看日志？哪里的日志？ ...........................

请下载并使用HijackThis1.99.1,把HijackThis
                  1.99.1生成的log日志文件的内容贴上来，方便大家分析。

                  有关操作方法可参考：
                  【推荐】反浏览器劫持的一些常用操作
                  http://forum.ikaka.com/topic.asp?board=67&artid=6490491

我在任务管理器里发现可疑文件，一个是IEXPLORE.EXE，一个是ftp.exe还有一个是cmd.exe，区分大小写的，跳出网页来的时候进程里就会多出IEXPLORE.EXE进程来，刚开机的时候也发现有个cmd窗口运行了一下就关闭了，这是什么东西？

4楼的，HijackThis1.99.1在哪里下？反浏览器劫持的常规操作我天天都有做，但是对这次是没有用的，呵呵

先别管什么，你就赶紧把日志发上来吧，到时候你就知道了

那HijackThis1.99.1从哪里下呢？

用Autoruns保存一个日志发上来
日志保存方法:选择File->Save菜单项
保存日志时注意选择Options->Hide Microsoft Entries菜单项(设置了这项后点工具栏的刷新按钮)

工具的下载、使用参考http://forum.ikaka.com/topic.asp?board=28&artid=7318038

日志搞下来了，如下：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ ccproc卡盟网络娱乐平台(http://www.kamun.com)杭州灵性寰宇c:\program files\kamun\kamun.exe

+ TkBellExeRealNetworks SchedulerRealNetworks, Inc.c:\program files\common files\real\update_ob\realsched.exe

+ vptraySymantec AntiVirusSymantec Corporationc:\program files\symantec_client_security\symantec antivirus\vptray.exe

+ WinDLL (jbi32.dll)c:\winnt\system32\jbi32.dll

+ yassistseAssistSettingYahoo!c:\program files\yahoo!\assistant\yassistse.exe

+ YLive.exeYLive c:\program files\yahoo!\assistant\ylive.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

+ byxyx.dllc:\winnt\system32\byxyx.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ Display Panning CPL ExtensionFile not found: deskpan.dll

+ gktext.dllc:\winnt\system32\gktext.dll

+ HyperTerminal Icon ExtHyperTerminal Applet LibraryHilgraeve, Inc.c:\winnt\system32\hticons.dll

+ LDVP Shell ExtensionsSymantec AntiVirusSymantec Corporationc:\program files\common files\symantec shared\ssc\vpshell2.dll

+ PicaViewPicaView 系统扩展 DLLACD Systems, Ltd.c:\program files\acdsee\picaview.dll

+ Shell Extensions for RealOne PlayerRealPlayer Shell ExtensionsRealNetworks, Inc.c:\program files\real\realplayer\rpshell.dll

+ WinRAR shell extensionc:\program files\winrar\rarext.dll

+ xoob2res.dllFile not found: C:\WINNT\system32\xoob2res.dll

+ Yahoo!PhotoyPhtbYahoo! Chinac:\program files\yahoo!\assistant\assist\yphtb.dll

+ 粉碎文件Wiper 动态链接库c:\program files\yahoo!\assistant\assist\ywiper.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ Web 文件夹c:\program files\common files\microsoft shared\web folders\msonsext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

+ ATLDistrib Objectc:\winnt\system32\byvst.dll

+ {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D}c:\winnt\system32\byxyx.dll

HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks

+ coolbarToolBarYahoo!c:\program files\yahoo!\assistant\assist\yasbar.dll

HKLM\Software\Microsoft\Internet Explorer\Toolbar

+ 雅虎助手ToolBarYahoo!c:\program files\yahoo!\assistant\assist\yasbar.dll

HKLM\Software\Microsoft\Internet Explorer\Extensions

+ @shdoclc.dll,-864c:\winnt\web\related.htm

+ 腾讯QQQQTENCENTc:\program files\tencent\qq\qq.exe

HKLM\System\CurrentControlSet\Services

+ cmdServicec:\winnt\d2hn\command.exe

+ DefWatchVirus Definition DaemonSymantec Corporationc:\program files\symantec_client_security\symantec antivirus\defwatch.exe

+ Network Monitorc:\program files\network monitor\netmon.exe

+ Norton AntiVirus Server为 Symantec Client Security 提供实时病毒扫描、报告和管理功能。Symantec Corporationc:\program files\symantec_client_security\symantec antivirus\rtvscan.exe

HKLM\System\CurrentControlSet\Services

+ dmioNT Disk Manager I/O DriverVERITAS Software Corp.c:\winnt\system32\drivers\dmio.sys

+ dmloadNT Disk Manager Startup DriverVERITAS Software Corp.c:\winnt\system32\drivers\dmload.sys

+ FETNDISBNDIS 5.0 miniport driverD-Link                              c:\winnt\system32\drivers\dlkfet5b.sys

+ i81xMiniport Driver for Intel(R) 810 Chipset Graphics DriverIntel Corporationc:\winnt\system32\drivers\i81xnt5.sys

+ NAVAPAutoProtectSymantec Corporationc:\program files\symantec_client_security\symantec antivirus\navap.sys

+ NAVAPELNAVAPELSymantec Corporationc:\program files\symantec_client_security\symantec antivirus\navapel.sys

+ NAVENGAV EngineSymantec Corporationc:\program files\common files\symantec shared\virusdefs\20060111.038\naveng.sys

+ NAVEX15AV EngineSymantec Corporationc:\program files\common files\symantec shared\virusdefs\20060111.038\navex15.sys

+ npkcryptnProtect KeyCrypt DriverINCA Internet Co., Ltd.c:\program files\tencent\qq\npkcrypt.sys

+ PtilinkDirect Parallel Link DriverParallel Technologies, Inc.c:\winnt\system32\drivers\ptilink.sys

+ SymEventSymantec Event LibrarySymantec Corporationc:\program files\symantec\symevent.sys

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

+ BITSc:\winnt\system32\g8040idqe80e0.dll

+ byvstc:\winnt\system32\byvst.dll

+ byxyxc:\winnt\system32\byxyx.dll

+ NavLogonc:\winnt\system32\navlogon.dll

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ WinDLL (jbi32.dll)c:\winnt\system32\jbi32.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
+ byxyx.dllc:\winnt\system32\byxyx.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ gktext.dllc:\winnt\system32\gktext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ ATLDistrib Objectc:\winnt\system32\byvst.dll
+ {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D}c:\winnt\system32\byxyx.dll

HKLM\System\CurrentControlSet\Services
+ cmdServicec:\winnt\d2hn\command.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
+ BITSc:\winnt\system32\g8040idqe80e0.dll
+ byvstc:\winnt\system32\byvst.dll
+ byxyxc:\winnt\system32\byxyx.dll

删除启动项
重启
删除c:\winnt\system32\jbi32.dll；c:\winnt\system32\byxyx.dll；c:\winnt\system32\gktext.dll；c:\winnt\system32\byvst.dll；c:\winnt\d2hn\command.exe；c:\winnt\system32\g8040idqe80e0.dll试试

+ cmdServicec:\winnt\d2hn\command.exe

+ BITSc:\winnt\system32\g8040idqe80e0.dll
+ byvstc:\winnt\system32\byvst.dll
+ byxyxc:\winnt\system32\byxyx.dll


+ WinDLL (jbi32.dll)c:\winnt\system32\jbi32.dll
+ byxyx.dllc:\winnt\system32\byxyx.dll

这几个干掉

删除+号后边的项吗？