瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 总是弹出广告窗口,请求帮助!!!【求助】

1   1  /  1  页   跳转

总是弹出广告窗口,请求帮助!!!【求助】

收藏
孺子牛
头像
拙长孩提狮
  • 帖子:82
  • 注册: 2005-02-18
  • 来自:
发表于: 2006-03-13 18:39 | 显示全部 短消息 资料
字号: 1楼

总是弹出广告窗口,请求帮助!!!【求助】

我的系统是XP,昨天开始无故总是弹出一些网页的广告,用杀毒软件在IE的垃圾文件夹中发现TOP[5].JPG是木马病毒,但是删除不掉。
另外一个显现:文件夹查看项的‘不显示隐藏的文件和文件夹’和‘显示所有文件和文件夹’反了,点显示都隐藏了,点隐藏的都显示了!真是让我困扰!
请各位高手指点迷津!
我检查了一下"NaviHelper.dll"和"Host.dat"这两个文件都没有。点击‘文件夹选项’中的‘显示文件’或‘隐藏文件’后,再点应用或确认后都会弹出广告网页,而后在IE垃圾文件夹中就会出现好多文件。
第一次开机后大概1分钟左右就‘咔喳’一下关机了,再启动就没事了!
从昨天晚上12点到今天早晨7点总共弹出8个IE广告窗口,但是从今天早晨8点一直到现在15:30分,还没有广告窗口弹出。点击‘文件夹选项’中的‘显示文件’或‘隐藏文件’后,再点应用或确认后还会弹出广告网页,并且‘显示文件’和‘隐藏文件’依旧是相反(点显示都隐藏了,点隐藏都显示了)。在C:\Documents and Settings\administrator\Local Settings\Temp目录下有几个tmp后缀的文件删除不掉,我试图用写字板打开,但是无效,我又试图将他拷贝到其他地方然后再打开,但是不能复制(真强)。昨晚曾试图进入安全模式,但是进入失败。有没有这样一款软件查看那些进程正在应用这些文件呢?我把iexplore.exe进程的模块全部罗列出来了,大家帮忙看看是那个‘杂碎’在作怪呢!?或者其他的进程启动模块需要高手分析,请告知,谢谢了!

我用WINDOWS进程管理查看的iexplore.exe 进程含有的模块

C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\USER32.dll
C:\WINDOWS\system32\GDI32.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\SHLWAPI.dll
C:\WINDOWS\System32\SHDOCVW.dll
C:\WINDOWS\System32\IMM32.DLL
C:\WINDOWS\System32\LPK.DLL
C:\WINDOWS\System32\USP10.dll
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll
C:\WINDOWS\system32\SHELL32.dll
C:\WINDOWS\system32\comctl32.dll
C:\WINDOWS\system32\ole32.dll
C:\WINDOWS\System32\uxtheme.dll
C:\WINDOWS\System32\MSCTF.dll
C:\WINDOWS\System32\BROWSEUI.dll
C:\WINDOWS\System32\browselc.dll
C:\WINDOWS\system32\appHelp.dll
C:\WINDOWS\System32\CLBCATQ.DLL
C:\WINDOWS\system32\OLEAUT32.dll
C:\WINDOWS\System32\COMRes.dll
C:\WINDOWS\system32\VERSION.dll
C:\WINDOWS\System32\msctfime.ime
C:\WINDOWS\system32\WININET.dll
C:\WINDOWS\system32\CRYPT32.dll
C:\WINDOWS\system32\MSASN1.dll
C:\WINDOWS\System32\Secur32.dll
C:\WINDOWS\System32\SETUPAPI.dll
C:\WINDOWS\system32\USERENV.dll
C:\WINDOWS\System32\xunleibho_v13.dll
C:\WINDOWS\System32\WINMM.dll
C:\WINDOWS\System32\MSVCP60.dll
C:\WINDOWS\System32\FlashHlp.dll
C:\WINDOWS\System32\WS2_32.dll
C:\WINDOWS\System32\WS2HELP.dll
C:\WINDOWS\System32\iphlpapi.dll
C:\Program Files\Tencent\QQ\QQIEHelper.dll
C:\WINDOWS\System32\OLEACC.dll
C:\WINDOWS\System32\SXS.DLL
C:\WINDOWS\System32\Msimtf.dll
C:\WINDOWS\system32\urlmon.dll
C:\WINDOWS\System32\wsock32.dll
C:\WINDOWS\System32\shdoclc.dll
C:\WINDOWS\System32\mlang.dll
C:\WINDOWS\system32\mswsock.dll
C:\WINDOWS\System32\wshtcpip.dll
C:\WINDOWS\System32\RASAPI32.DLL
C:\WINDOWS\System32\rasman.dll
C:\WINDOWS\System32\NETAPI32.dll
C:\WINDOWS\System32\TAPI32.dll
C:\WINDOWS\System32\rtutils.dll
C:\WINDOWS\System32\sensapi.dll
C:\WINDOWS\System32\DNSAPI.dll
C:\WINDOWS\System32\winrnr.dll
C:\WINDOWS\system32\WLDAP32.dll
C:\WINDOWS\System32\rasadhlp.dll
C:\WINDOWS\System32\mshtml.dll
C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
C:\WINDOWS\System32\MSLS31.DLL
C:\WINDOWS\System32\Macromed\Flash\Flash8.ocx
C:\WINDOWS\system32\comdlg32.dll
C:\WINDOWS\System32\wdmaud.drv
C:\WINDOWS\System32\msacm32.drv
C:\WINDOWS\System32\MSACM32.dll
C:\WINDOWS\System32\midimap.dll
C:\WINDOWS\System32\ACTXPRXY.DLL
C:\WINDOWS\System32\VBScript.dll
C:\WINDOWS\System32\PNCRT.dll
C:\Program Files\Common Files\Real\Common\pnrs3260.dll
C:\WINDOWS\System32\wmploc.dll
C:\WINDOWS\System32\ddrawex.dll
C:\WINDOWS\System32\DDRAW.dll
C:\WINDOWS\System32\DCIMAN32.dll
最后编辑2006-03-14 08:42:40
分享到:
gototop
 
孺子牛
头像
拙长孩提狮
  • 帖子:82
  • 注册: 2005-02-18
  • 来自:
发表于: 2006-03-13 19:40 | 显示全部 短消息 资料
字号: 2楼

Logfile of HijackThis v1.99.1
Scan saved at 19:38:30, on 2006-3-13
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\imapi.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\radmin2.1\r_server.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\NetSoft\P2POver\P2POver.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Thunder Network\Thunder\Thunder.exe
C:\Program Files\Tencent\QQ\QQ.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\Program Files\Tencent\TT\TTraveler.exe
C:\WINDOWS\System32\PYINTAU.EXE
C:\WINDOWS\System32\conime.exe
E:\Downloads\工具\系统类\HijackThis.exe

R3 - URLSearchHook: (no name) - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - (no file)
R3 - URLSearchHook: (no name) - {BAB1AC41-6FF7-4F2E-A04E-5C592CCFEA7D} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O1 - Hosts: www.hh8.net1
O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v13.dll
O2 - BHO: SohuDAIEHelper - {0CA51D02-7739-43EA-8D9A-1E8AD4327B03} - C:\Program Files\P4P\sodaie.dll (file missing)
O2 - BHO: Shockwave Flash BrowserHelpObject - {1002C84D-A326-2D3C-13F3-2C2474392A91} - C:\WINDOWS\System32\FlashHlp.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\System32\qylhelper.dll (file missing)
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Thunder] "C:\Program Files\Thunder Network\Thunder\ThunderShell.exe" /s
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [P2POver] C:\Program Files\NetSoft\P2POver\P2POver.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra button: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: 网址大全 - {C18CB140-0BBB-11D4-8FE8-0088CC102438} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: 网址大全 - {C18CB140-0BBB-11D4-8FE8-0088CC102438} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O16 - DPF: {2761225D-F0F2-44E8-A2C9-476FB6A3316A} (TRadio Control) - http://dl_dir.qq.com/qqtools/trsetup.exe
O16 - DPF: {2931566C-B8A6-46C5-BF4D-E6AB9251E953} (Nexon Package Manager Control) - http://file.nx.com/activex/public_new/nxpm.cab
O16 - DPF: {29AD8C7D-9EA0-4CA1-A93D-F207E88EEDEE} (DrPcX Control) -
O16 - DPF: {2EA6D939-4445-43F1-A12B-8CB3DDA8B855} -
O16 - DPF: {39D420B3-E0EB-424C-89AA-C24F8DE7EF79} (KooPlayer Control) -
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/1007/aliedit.cab
O16 - DPF: {56A7DC70-E102-4408-A34A-AE06FEF01586} (天下搜索) - http://iebar.t2t2.com/iebar.cab
O16 - DPF: {5EC7C511-CD0F-42E6-830C-1BD9882F3458} (PowerPlayer Control) - http://download.ppstream.com/bin/powerplayer.cab
O16 - DPF: {6AD54F1E-D241-48B4-ACFF-37BA1B1BF7AD} (SMInstallCom Class) - http://ax.spymedic.co.kr/control/SpyMedicWebInst.cab
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AXSafeControls.cab
O16 - DPF: {765A88D3-EB24-4A26-ACCF-1F754DB281FE} (pcbaksaActiveFormX Control) - http://pcbagsa.com/down/pcbaksaActiveFormProj1.cab
O16 - DPF: {7A38130D-BEB7-4D60-BE7A-4C4AB6A85CD1} - http://bar.souhuu.com/vcbar1.cab
O16 - DPF: {8135EF31-FE8C-4C6E-A18A-F59944C3A488} (Spocx Class) - http://ddddl.dudu.com/ddd/update/plugin/dddspocx.cab
O16 - DPF: {8BEBF6FF-B697-4CB0-8F92-4A0A1F828F22} (pccopax Control) - http://www.pc-cop.net/ax/pccopatx.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Seekmo/ie/bridge-c24.cab
O16 - DPF: {98A62E3F-A8C5-4EF0-8A00-C70CF9D18A89} (LoaderCore Class) - http://tb.sogou.com/DLLoader.cab
O16 - DPF: {991481A7-4669-4E15-8C24-100404E1F5CB} -
O16 - DPF: {ABA7CC7F-019D-47DB-A0D2-B3C2B3AC1B44} (Fc2Boot Class) - http://h5.kele8.com/onet/ActiveX/fc2boot.cab
O16 - DPF: {B234C268-A755-49A1-8A52-C8408A99AD7C} (WebDraw Class) -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C3C46E1D-4929-4FE8-853E-5CD43938047D} - http://g2.co.kr/program/install/g2.cab
O16 - DPF: {C50341E9-CDC1-4377-AB88-3486CCD0FDA1} (cycnset Class) - http://ms1.cyworld.com.cn/music/package/cycnset.cab
O16 - DPF: {C8F26FC9-9A44-4F32-93B3-8BDAFBFA8F25} (CodeKillerCtl Class) -
O16 - DPF: {D0A29C6C-AA71-4423-8C4A-5998B774C448} (IEDown Class) - http://download.ourgame.com/IEDown4.cab
O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (CPasswordEditCtrl Object) - https://www.tenpay.com/download/qqedit.cab
O16 - DPF: {F138084D-84D7-48CD-BEA8-04772457516E} (VqqSpeedDlProxy Class) - http://218.85.138.27/vqqsdl1009.cab
O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - http://ps.itv.mop.com/dn/files/pCastCtl_1.0.0.76_20051110.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{77BDA0D3-6963-434D-9B30-3A3B05882CF9}: NameServer = 202.106.46.151,202.106.0.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B3791C7-588F-49BB-93E6-948C8B4DFC0F}: NameServer = 202.106.46.151,202.106.0.20
O18 - Protocol: dynascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\System32\mbprot.dll
O20 - AppInit_DLLs: KB9193312.LOG
O21 - SSODL: SysTrays - {590498A3-4131-4D8F-BA4B-36791A9803B1} - C:\WINDOWS\System32\DLMain.dll (file missing)
O23 - Service: Antiy live update (Alive Auto-Update Service) - Unknown owner - C:\Program Files\Antiy Labs\Alive\AliveCenter.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Office Source Engine (ose) - Unknown owner - C:\WINDOWS\system32\ose.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\Program Files\radmin2.1\r_server.exe" /service (file missing)
gototop
 
孺子牛
头像
拙长孩提狮
  • 帖子:82
  • 注册: 2005-02-18
  • 来自:
发表于: 2006-03-13 20:05 | 显示全部 短消息 资料
字号: 3楼

上面就是用那个软件保存下来的日志,不过我删除了两条(无关紧要的信息)。
gototop
 
孺子牛
头像
拙长孩提狮
  • 帖子:82
  • 注册: 2005-02-18
  • 来自:
发表于: 2006-03-13 22:12 | 显示全部 短消息 资料
字号: 4楼

多谢,我试试!不过r_server是远程控制软件的一个服务,相信你也知道这个软件,我用的是破解注册版的,既然杀毒软件没有说他是病毒,我想就让他继续生存吧,毕竟对我来说还有一定的作用呢!不过qylhelper.dll我想是青娱乐的一个残留物吧!?许久以前我曾经被他困扰过,现在已经不存在了,怎么还有这个余留?这些流氓软件实在是让人切齿。ose.exe我就不明白是什么东西了!
gototop
 
孺子牛
头像
拙长孩提狮
  • 帖子:82
  • 注册: 2005-02-18
  • 来自:
发表于: 2006-03-13 23:07 | 显示全部 短消息 资料
字号: 5楼

system32目录下有一个alxup.exe的文件,原来是他搞的鬼,现在已经没事了,多谢各位的帮忙!但是还有一个问题:文件夹选项的‘不显示隐藏的文件和文件夹’和‘显示所有文件和文件夹’反了,点显示都隐藏了,点隐藏的都显示了!这个是怎么回事呢?
gototop
 
孺子牛
头像
拙长孩提狮
  • 帖子:82
  • 注册: 2005-02-18
  • 来自:
发表于: 2006-03-14 08:42 | 显示全部 短消息 资料
字号: 6楼

我看启动项中有一个文件loadhw.exe在system32文件夹中,在google中找不到有关他的介绍,我给删除了,哪位知道这个文件是干什么的?再有就是文件夹选项的‘不显示隐藏的文件和文件夹’和‘显示所有文件和文件夹’反了,点显示都隐藏了,点隐藏的都显示了!则么恢复过来呢?
谢谢!!!
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT