无忧启动论坛

标题: 机子中毒多多？兄弟帮帮忙？ [打印本页]

---

作者: 猪一头    时间: 2006-11-4 10:45
标题: 机子中毒多多？兄弟帮帮忙？
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Rundll32.exe-----修掉
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\services.exe-----修掉
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\KV2006\kvolself.exe
D:\查毒辅助软件\HijackThis v1.99 汉化版\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

F3 - REG:win.ini: run=C:\WINDOWS\services.exe-----修掉，这个病毒还挺牛B的，竟在win.ini处加载，结束services.exe进程，删掉windows下的services.exe，病毒无疑。
O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - D:\魔法兔子\MagicSet\haokanbar.dll-----修掉，这是兔子的东东，没什么用
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\cnshook.dll-----修掉
O3 - Toolbar: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - C:\Program Files\KV2006\KvShell.dll (file missing)-----修掉
O3 - Toolbar: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - D:\魔法兔子\MagicSet\haokanbar.dll-----修掉
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32-----修掉
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k-----修掉
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe-----修掉
O4 - HKLM\..\RunServices: [services] C:\WINDOWS\services.exe-----修掉
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [bgswitch] ; C:\WINDOWS\system32\壁纸自动换.exe
O4 - HKCU\..\Run: [KvXP] ; C:\Program Files\KV2006\KvXP.kxp /ScanBoot /ScanSys
O4 - HKCU\..\Run: [services] C:\WINDOWS\services.exe-----修掉
O4 - HKCU\..\RunServices: [services] C:\WINDOWS\services.exe-----修掉
O4 - Startup: ofdtwziiong.exe-----修掉，删掉该EXE，病毒无疑。
O4 - Startup: uangzinp.exe-----修掉，删掉该EXE，病毒无疑。
O4 - Startup: yuenang610.exe-----修掉，删掉该EXE，病毒无疑。
O4 - Global Startup: ongsikhx257.exe-----修掉，删掉该EXE，病毒无疑。
O4 - Global Startup: iangkegran691.exe-----修掉，删掉该EXE，病毒无疑。
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000-----修掉，没什么用，让系统清爽些
O9 - Extra button: Yahoo 3.5G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)-----修掉
O9 - Extra button: 名品折扣 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://adtaobao.allyes.com/main/adfclick?db=adtaobao&bid=138,140,18&cid=816,8,1&sid=5042&show=ignore&url=http://www.taobao.com/vertical/mall/pro.php?allyesPara=816 (file missing)-----修掉
O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)-----修掉
O9 - Extra button: 微软 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.microsoft.com/china/index.htm (file missing)-----修掉
O9 - Extra button: 雅虎WIDGET - {6354ABE6-05F1-49ed-B850-E423120EC338} - http://cn.widget.yahoo.com/index.htm?source=Cns (file missing)-----修掉
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg (file missing)-----修掉
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)-----修掉
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)-----修掉
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)-----修掉
O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)-----修掉
O10 - Unknown file in Winsock LSP: c:\program files\kv2006\kvsock.dll
O10 - Unknown file in Winsock LSP: c:\program files\kv2006\kvsock.dll
O10 - Unknown file in Winsock LSP: c:\program files\kv2006\kvsock.dll
O10 - Unknown file in Winsock LSP: c:\program files\kv2006\kvsock.dll
O10 - Unknown file in Winsock LSP: c:\program files\kv2006\kvsock.dll
O10 - Unknown file in Winsock LSP: c:\program files\kv2006\kvsock.dll
O11 - Options group: [!CNS]  中文上网-----修掉
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204-----修掉
O21 - SSODL: MediaCheck - {D1F73845-4BAB-4061-A46B-FCF7ECC19217} - C:\PROGRA~1\Kuree\MService.dll (file missing)-----修掉

[ 本帖最后由 6618 于 2006-11-4 11:14 PM 编辑 ]

---

作者: 落子无声    时间: 2006-11-4 21:10
不懂，帮你顶一下。

---

作者: 四只眼看世界    时间: 2006-11-4 22:21
暂时没有发现有什么病毒进程啊

只发现楼主中了很多垃圾插件

---

作者: 6618    时间: 2006-11-4 23:05
楼主先结束services.exe进程（看图），再用HIJACKTHIS修掉services项，再把windows下的services.exe删掉，正常的services.exe是在system32下的，1楼的帖子我编辑了一下，你按我说的去做。

[ 本帖最后由 6618 于 2006-11-4 11:16 PM 编辑 ]

services.JPG (54.68 KB, 下载次数: 24)

下载附件

2006-11-4 23:16 上传

---

作者: 猪一头    时间: 2006-11-5 08:39
值得一提的是，
１．services.exe有进程里面有两个，一个可以点结束进程（但是呢，结束了它还在进程里面，不消失），还有一个，也可以点结束，一点了，它就给你倒计６０秒，然后重启．
２．C:\WINDOWS\services.exe在超级魔法兔子里面发现在三个自动启动项.屡删无效!
３．发现每一个盘每一个文件夹都有五个或更多的ＥＸＥ东东（图标和记事本一样的ＥＸＥ）．就连＂开始＂里面的搜索＼设置＼程序里面的每一项都建有５～６个ＥＸＥ，而且文档里则全是ＥＸＥ，开始上面的快捷区（就是程序顶上，一条线以上的快捷图标那）也有好几个ＥＸＥ，桌面上也有好几个！
４．这种不速之客ＥＸＥ可以在正常的模式删掉，但是呢，你可以看到它又一个一个地产生了．
５C:\WINDOWS\services.exe可以在安全模式删了，但回到正常模式，它很快也重新出现了一个．

---

作者: 猪一头    时间: 2006-11-5 08:40

原帖由 四只眼看世界 于 2006-11-4 10:21 PM 发表

只发现楼主中了很多垃圾插件

是有好几个，但是我删它不去，第二郁闷中～

---

作者: 猪一头    时间: 2006-11-5 08:45
最好气的是，江民杀毒软件不但没有发现这些东东，而且在江民里面有Ｎ多记事本本一个样的ＥＸＥ．
一气之下把江民卸了．
还有的是，１分钟前我在开着酷狗听歌，突然自动关掉了．当我再打开的时候，发现给卸载了，卸载绝不是我干的

---

作者: 猪一头    时间: 2006-11-5 09:07
因为无法结束services，而且发现超多ＥＸＥ，我怕手工删不完，所以没按６６１８（６６１８是帮助我最多的一位大侠）的方法去做，而搞了一个金山毒霸免费２００７版，在正常模式下全面杀毒，发现了内存中了一个ＸＸＸＸＸＸＸ毒（忘了名字了，内存也能中毒呀？内存中毒格式有用么？？）查杀了１７６３２个ＥＸＥ（１万七千个ＥＸＥ！晕死我）还有１２个风险程序．
而现在出现的问题就是，正常模式下从输入密码那一步到看到桌面要１０来分种，从看到桌面到可以点右键刷新也要好几分钟，我以为是金山毒霸在运行造成的，当我把金卸了，情况还是不改观．
现在发个杀后的报告，金山已卸，希望大家指定
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Rundll32.exe------修掉
C:\WINDOWS\system32\rundll32.exe------修掉
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
D:\查毒辅助软件\HijackThis v1.99 汉化版\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - D:\魔法兔子\MagicSet\haokanbar.dll------修掉
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\cnshook.dll------修掉
O3 - Toolbar: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - D:\魔法兔子\MagicSet\haokanbar.dll------修掉
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32------修掉
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000------修掉
O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)------修掉
O9 - Extra button: 微软 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.microsoft.com/china/index.htm (file missing)------修掉
O9 - Extra button: 雅虎WIDGET - {6354ABE6-05F1-49ed-B850-E423120EC338} - http://cn.widget.yahoo.com/index.htm?source=Cns (file missing)------修掉
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)------修掉
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)------修掉
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)------修掉
O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)------修掉
O11 - Options group: [!CNS]  中文上网------修掉
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204------修掉
O21 - SSODL: MediaCheck - {D1F73845-4BAB-4061-A46B-FCF7ECC19217} - C:\PROGRA~1\Kuree\MService.dll (file missing)------修掉

[ 本帖最后由 6618 于 2006-11-5 09:32 AM 编辑 ]

---

作者: 6618    时间: 2006-11-5 09:39
看来KAV2007有点作用，进程中已没发现services.exe这个病毒了。
用HIJACKTHIS按我上面说的全修掉，再重启机子，看还会不会这样，如果还会这样，下载一个“360安全卫士”扫一下你的机子，看看还有那些流氓插件没清掉，用“360安全卫士”清掉，重启机子，看还会不会这样，如果会，新建一个管理员用户，用新的管理员用户登陆，看会不会这样，如果不会，停用旧的管员，重启机子把旧的管理员删掉。

---

作者: 猪一头    时间: 2006-11-5 09:42
360安全卫士,可以介绍一个地址吗，上一次在大平洋下载中了不少毒，偶怕怕了

---

作者: 猪一头    时间: 2006-11-5 09:43
随便问一下，内存也能中毒吗？？？中毒后格式化会有用吗？

---

作者: 猪一头    时间: 2006-11-5 09:46
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\rundll32.exe

这两个我不会修复，我先重启了，一会跟贴

---

作者: 6618    时间: 2006-11-5 09:49
我上传一个给你吧（把上面的三个压缩包解压下载下来解压即可），我上面说的都可以修的，看看我的机子的HIJACKTHIS第一次的扫描日志吧。

6618.JPG (47.52 KB, 下载次数: 30)

下载附件

2006-11-5 09:49 上传

360safe.part01.rar

2006-11-5 09:49 上传

点击文件名下载附件

下载积分: 无忧币 -2

488.28 KB, 下载次数: 26, 下载积分: 无忧币 -2

---

作者: 6618    时间: 2006-11-5 09:50
还有这两个解缩包：

360safe.part02.rar

2006-11-5 09:50 上传

点击文件名下载附件

下载积分: 无忧币 -2

488.28 KB, 下载次数: 24, 下载积分: 无忧币 -2

360safe.part03.rar

2006-11-5 09:50 上传

点击文件名下载附件

下载积分: 无忧币 -2

292.13 KB, 下载次数: 34, 下载积分: 无忧币 -2

---

作者: 猪一头    时间: 2006-11-5 09:59
我修复完以后再一点查，变成这样了
其中第８项我没修

unning processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\conime.exe
D:\iy浏览器\Maxthon\Maxthon.exe
D:\查毒辅助软件\HijackThis v1.99 汉化版\HijackThis.exe

O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\cnshook.dll
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O11 - Options group: [!CNS]  中文上网
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll

---

作者: 6618    时间: 2006-11-5 09:59

原帖由 猪一头 于 2006-11-5 09:43 AM 发表
随便问一下，内存也能中毒吗？？？中毒后格式化会有用吗？

所谓内存中毒，其实就是病毒驻留在内存，这是很正常的，如果病毒进程没有结束掉，是格不掉的，比如D盘有个x.EXE的病毒，如果该病毒已驻留内存，你去格式化D盘，是格不掉该病毒的，会提示该病毒在使用。正确的方法是结束病毒进程，删掉病毒，这样驻留内存的病毒就清掉了。

[ 本帖最后由 6618 于 2006-11-5 10:18 AM 编辑 ]

---

作者: 猪一头    时间: 2006-11-5 10:01
三人３６０也，用哪个好呢

---

作者: 6618    时间: 2006-11-5 10:02

原帖由 猪一头 于 2006-11-5 09:59 AM 发表
我修复完以后再一点查，变成这样了
其中第８项我没修

unning processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services. ...

你第二次扫描是会这样的，其中018是网络协议，一般不会有什么问题。你用HIJACKTHIS再扫，说会和你全面扫的一样了。

---

作者: 猪一头    时间: 2006-11-5 10:06
３６０没有发现插件，而超级兔子则发现
3721网络实名
MMSAssist 彩信通
WinStdup/WinKalendar
这三个

---

作者: 6618    时间: 2006-11-5 10:06

原帖由 猪一头 于 2006-11-5 10:01 AM 发表
三人３６０也，用哪个好呢

看图，建议先用306把雅虎助手清掉，网络实名清掉。清掉它，那两上rundll32.exe就不会再有了。

safe360.JPG (44.54 KB, 下载次数: 21)

下载附件

2006-11-5 10:06 上传

---

作者: 猪一头    时间: 2006-11-5 10:10
C:\WINDOWS\system32\rundll32.exe不修复没事呀，我不会修，在HijackThis里面我找不出它在哪，在哪可找呀


不修不影响吧，其属性，建立时间２００４．８．１７，修改时间２００４．８．１７

---

作者: 6618    时间: 2006-11-5 10:10
看图：

3.JPG (52.83 KB, 下载次数: 23)

下载附件

2006-11-5 10:10 上传

---

作者: 猪一头    时间: 2006-11-5 10:13
发现２２个漏洞，没有发任何插件

---

作者: 6618    时间: 2006-11-5 10:14

原帖由 猪一头 于 2006-11-5 10:10 AM 发表
C:\WINDOWS\system32\rundll32.exe不修复没事呀，我不会修，在HijackThis里面我找不出它在哪，在哪可找呀


不修不影响吧，其属性，建立时间２００４．８．１７，修改时间２００４．８．１７

这个不是病毒，但很多病毒都用这个程序来调用，我的主要目的是要你卸载雅虎助手和网络实名，看看还有没有rundll32.exe，如果还有，你的机子就很可能还有病毒毒没清净。雅虎助手和网络实名都不是好东西。

---

作者: 6618    时间: 2006-11-5 10:17
再上传一个工具给你试试：

rogue.part1.rar

2006-11-5 10:17 上传

点击文件名下载附件

下载积分: 无忧币 -2

488.28 KB, 下载次数: 19, 下载积分: 无忧币 -2

rogue.part2.rar

2006-11-5 10:17 上传

点击文件名下载附件

下载积分: 无忧币 -2

267.13 KB, 下载次数: 18, 下载积分: 无忧币 -2

---

作者: 猪一头    时间: 2006-11-5 10:25
呱呱～～～～发现
３７２１上网助手
彩信通
易趣
协和医院
ＹＡＨＯＯ助手
１０１，ＡＳＰＵＳＷＩＭ
查出来了，怎办
不会吧，大病小病这么多呀，我想问下，这个工具是不是只有列在上面的软件才能查出来的
比如我以前中了那个ＤＵＣＸＸＸＸＸＸＸＸＸ什么的，查不出来吧

---

作者: 6618    时间: 2006-11-5 10:29
是的，你中的ＤＵＣＸＸＸＸＸＸＸＸＸ什么的估计现在早已清掉了。
那里有一个清理按钮，你按清理就行了。

---

作者: 猪一头    时间: 2006-11-5 10:33
在清除中～～～
清除ＤＸＸＸＸＸＸ的决定性在于让它在删除与添加程序管理那里显示出来，我想问下，怎样在删除与添加程序管理把所在安装的都显出来，如果下次再中了ＤＸＸＸＸＸ显不出来那不要命呀

---

作者: 猪一头    时间: 2006-11-5 10:34
１０１项ＡＳＰＷＳＷＩＭ清除失败

---

作者: 6618    时间: 2006-11-5 10:38
这个先不管它，或者你到安全模式试试。

---

作者: 猪一头    时间: 2006-11-5 10:44
我先重启，随便问下，那个清理临时文件好不好用呀，等会关注

---

作者: 猪一头    时间: 2006-11-5 10:56
输入密码到看到桌面（看到桌面，快了一点，还是很慢，要２～３分钟），看到桌面就可以运行命令（问题看到桌面点右键刷新慢已解决）
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
D:\iy浏览器\Maxthon\Maxthon.exe
D:\查毒辅助软件\HijackThis v1.99 汉化版\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\cnshook.dll
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O11 - Options group: [!CNS]  中文上网

用RogueCleaner扫描，刚才出现的那些插件全都还在，一个没少，
兔子里也一个没少

---

作者: 猪一头    时间: 2006-11-5 10:56
输入密码到看到桌面（看到桌面，快了一点，还是很慢，要２～３分钟），看到桌面就可以运行命令（问题看到桌面点右键刷新慢已解决）
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
D:\iy浏览器\Maxthon\Maxthon.exe
D:\查毒辅助软件\HijackThis v1.99 汉化版\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\cnshook.dll
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O11 - Options group: [!CNS]  中文上网

用RogueCleaner扫描，刚才出现的那些插件全都还在，一个没少，
兔子里也一个没少

---

作者: 猪一头    时间: 2006-11-5 11:14
发现奇怪问题，两台机子用RogueCleaner清除插，一台完全清除，一台一个都没清除．
怎么回事？？？？？？

---

作者: 6618    时间: 2006-11-5 11:15

原帖由 猪一头 于 2006-11-5 10:44 AM 发表
我先重启，随便问下，那个清理临时文件好不好用呀，等会关注

这个我没用过，我只是用它用清除流氓软件。

---

作者: 6618    时间: 2006-11-5 11:17

原帖由 猪一头 于 2006-11-5 11:14 AM 发表
发现奇怪问题，两台机子用RogueCleaner清除插，一台完全清除，一台一个都没清除．
怎么回事？？？？？？

这个我也弄不清是什么原因。

---

作者: 6618    时间: 2006-11-5 11:18

原帖由 猪一头 于 2006-11-5 10:56 AM 发表
输入密码到看到桌面（看到桌面，快了一点，还是很慢，要２～３分钟），看到桌面就可以运行命令（问题看到桌面点右键刷新慢已解决）
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csr ...

再试试用HIJACKTHIS直接修修看没有有效。

---

作者: 猪一头    时间: 2006-11-5 11:32
再用RogueCleane清一次（没用HijackThis.exe修复），再重起
输密码进桌面到运行命令，一气呵成，好快了，但是所有的插件都在

而且我不会用HijackThis.exe修复
:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csr ...
在HijackThis.exe我找不到这两个东东在哪，只是在ＬＯＧ里才看到

---

作者: 猪一头    时间: 2006-11-5 11:38
真是麻烦６６１８了，太谢谢了

---

作者: 6618    时间: 2006-11-5 11:43
雅虎助手，如果能清除它就最好，一般我的做法是，先用它自带的卸载的程序卸，然后再用HIJACKTHIS修，接着再用RogueCleane清，如还不行，我就到DOS下用RogueCleane下的DOSTOOL.EXE清(注:这个只能在DOS下运行.)

---

作者: 6618    时间: 2006-11-5 11:43
如果朋友你清不掉，而机子也没有什么大问题的话，那就不用管它。

[ 本帖最后由 6618 于 2006-11-5 11:45 AM 编辑 ]

---

作者: 6618    时间: 2006-11-5 11:44

原帖由 猪一头 于 2006-11-5 11:38 AM 发表
真是麻烦６６１８了，太谢谢了

不用客气，互相学习。

---

作者: 猪一头    时间: 2006-11-5 11:47
ＤＯＳ这个我搞不来，
问题解决了，插件优在，感觉怪怪的，不知道机子哪出了问题，算了，以后再说吧，
这种插件应该要的只是广告效果吧，没带破坏的目的吧？！！

---

作者: 猪一头    时间: 2006-11-5 11:50
其它不说，感谢是衷心的～～～～～
先不管那些插件了，只要不破坏，都不影响的

---

作者: 沙同    时间: 2006-11-5 12:29
用完美卸载试试

---

作者: jhkwgij    时间: 2006-11-5 13:03
出现这么严重的状况个人建议楼主重装系统为上策！！

---

作者: 6618    时间: 2006-11-5 13:45
其实楼主的机子除了雅虎助手和网络实名没有完全清除外，没有什么大问题，我个人觉得，在手动解决问题的过程中，自己也能明白一些东西。重不重装系统，各人喜欢了。

---

作者: 猪一头    时间: 2006-11-5 13:58
本机不提倡重装系统了,光驱坏掉了,软区坏掉了
(办公用机,光驱软驱办公实在没用上,所以没理由换)
机子使用率超高,没办法(全是MM用的,MM说想用用上上网,能不让么,所以中毒机会大大提高,而且中毒时,MM总是说,不会吧,中毒了呀,我只是看看小说,看看图呀.无语~~~见招折招~~~)

---

作者: andyguobao    时间: 2006-11-9 15:48
用卡巴6杀一次吧，很管用的！

---

作者: zhangxilo    时间: 2006-11-20 18:04
有广告兼疑。

[ 本帖最后由 6618 于 2006-11-20 06:22 PM 编辑 ]

---

作者: hoho1234    时间: 2006-11-25 10:32
提示: 作者被禁止或删除 内容自动屏蔽

---

欢迎光临 无忧启动论坛 (http://wuyou.net/)

Powered by Discuz! X3.3