瑞星卡卡安全论坛

一连上ADSL就自动弹出来，然后不定时再弹，用了AVG7.5，360，卡巴，超级兔子，黄山，恶意软件清理助手跟本都查不出来，弄了一晚上了，救命啊~

日志文件 Trend Micro HijackThis v 2.0.2
日志保存时间: 6:17:06,2008-9-20
操作系统: Windows XP SP2 (WinNT 5.01.2600)
IE版本: Internet Explorer v7.00 (7.00.6000.16705)
启动模式: 正常
正在运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
F:\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\svchost.exe
f:\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
E:\hijackthis_v2.02h\HijackThis.exe
R3 - 默认 URLSearchHook 丢失
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - f:\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - f:\FlashGet\jccatch.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - F:\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "F:\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O8 - 扩展右键菜单项: &使用快车(FlashGet)下载 - F:\FlashGet\jc_link.htm
O8 - 扩展右键菜单项: &使用快车(FlashGet)下载全部链接 - F:\FlashGet\jc_all.htm
O8 - 扩展右键菜单项: 使用迅雷下载 - F:\Thunder Network\Thunder\Program\geturl.htm
O8 - 扩展右键菜单项: 使用迅雷下载全部链接 - F:\Thunder Network\Thunder\Program\getallurl.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{B29537A8-79A7-47A4-9C84-88B43D3010B9}: NameServer = 218.30.19.40 61.134.1.4
O23 - NT 服务:  AVG Anti-Spyware Guard - GRISOFT s.r.o. - f:\AVG Anti-Spyware 7.5\guard.exe
O23 - NT 服务:  InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - NT 服务:  NVIDIA-OMEGA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
文件结束 - 2461 字节

事实证明重装比任何杀毒软件都有用:default6:
用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) )

用了各种方法，Hosts里，安全模式查杀，加黑名单也不行，弹出的网站会变，除了重装外还有什么方法能根治么？

修复
R3 - 默认 URLSearchHook 丢失
F2 - REG:system.ini: UserInit=userinit.exe,

然后扫SRENG日志上来
下载Sreng(http://www.kztechs.com/sreng/download.html)

打开Sreng.exe==>智能扫描==>勾选 检查进程模块的数字签名==>点 扫描==>扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把SREng.LOG的扩展名改成“.txt”后以附件的形式发上来

要是Sreng.exe不能运行，直接重命名为123.bat运行

来了

附件: SREngLOG.log

[atksgt / atksgt][Running/Auto Start]
  <system32\DRIVERS\atksgt.sys><N/A>
[lirsgt / lirsgt][Running/Auto Start]
  <system32\DRIVERS\lirsgt.sys><N/A>

这两个驱动你认识不？


http://www.arswp.com/download.html
升级，只清理高危险项目

不太清楚．．．

下面的我用了，等会看看还有没

SRENG- 启动项目 －－ 服务－－ 驱动程序禁用那两项试试

http://www.arswp.com/download.html
升级，只清理高危险项目

用清理助手杀过之后半天没出，重启过一连网又来了

弹出网页？还是别的？

好几个网页，再用清理助手什么也查不出来

楼主用了互联星空？

从来没用过

平常只上一些受信度比较高的网站，1年半都没中过毒，昨天朋友拿U盘来考我硬盘的电影，玩游戏的时候发觉鼠标不受控制，我用AVG7.5查出他U盘里有2个后门，删除之后就开始弹网页了

建议和我有同样问题的人重装，用SP3

将IE加入黑名单，用别的浏览器