主题:中流氓软件之后的断想 -- 故园湾里
- 复 能不能想想招
家园 你用HijackThis检查一下,把报告贴出来, 我可以帮你看一看,想想办法。
家园 用HijackThis刚刚扫描的日志 Logfile of HijackThis v1.99.1
Scan saved at 19:09:18, on 2006-11-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\system32\Com\SERVICES.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Rising\Rav\RavMon.exe
D:\常用软件\HijackThis.exe
R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\PROGRA~1\ABOBEF~1\tbu03190\tbhelper.dll
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O3 - Toolbar: Abobe Flash Play 9 - {494F50A2-6CDB-43FF-BA83-85D32038D04C} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave
O4 - HKLM\..\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157278773008
O17 - HKLM\System\CCS\Services\Tcpip\..\{23CD8752-3462-4845-8850-EA869CA10568}: NameServer = 202.101.226.68,202.101.224.69
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
家园 我先大致上看了一下, Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\system32\Com\SERVICES.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Rising\Rav\RavMon.exe
D:\常用软件\HijackThis.exe
R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\PROGRA~1\ABOBEF~1\tbu03190\tbhelper.dll
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O3 - Toolbar: Abobe Flash Play 9 - {494F50A2-6CDB-43FF-BA83-85D32038D04C} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave
O4 - HKLM\..\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157278773008
O17 - HKLM\System\CCS\Services\Tcpip\..\{23CD8752-3462-4845-8850-EA869CA10568}: NameServer = 202.101.226.68,202.101.224.69
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
红字的地方代表我认为有问题的,而这个C:\WINDOWS\system32\Com\SERVICES.EXE几乎就和你所描述的情况相差不远了,解决方法,
首先,查看启动组中有无与这个SERVICES.EXE相关的,注意路径,SERVICES.EXE一般情况下是在C:\WINDOWS\system32目录下,在其它目录下就有问题。假如有,删除掉选项,然后删掉在C:\WINDOWS\system32\Com目录下的SERVICES.EXE。
其次,如果不在启动组中,去 控制面板〉管理工具〉服务 中查看有无与这个SERVICES.EXE相关的服务,还是要注意路径,特别观察“描述”为空的服务。如果有,先停止服务,然后删掉C:\WINDOWS\system32\Com目录下的SERVICES.EXE。
家园 快抓狂了 试了下直接删除,没用,我用360终止这个SEVICES的进程,然后再试,可以删除掉这个文件,然后再用卡卡查,结果告诉我本机没有恶意软件,欢呼!
不过为了保险起见,重新启动,再看,一切照旧,这个破玩意又重新出现在了原地,哭死~!我已经快要抓狂了!!!!!!!!!!
- 复 快抓狂了
家园 显然, 终止进程没有作用,应该先停止服务,再删除文件,然后再删除服务。
- 复 显然,
家园 看看360的诊断报告(1) 各位高手:
非常感谢您留心我这份系统诊断报告,小菜鸟十万火急等待您的帮助!
该诊断报告由360安全卫士提供 http://www.360safe.com
诊断时间: 2006-11-21 12:05:48
诊断平台: Microsoft Windows XP Service Pack 2
IE版本: Internet Explorer V6.0.2900.2180 Build:62900.2180
计算机物理内存:191MB - 当前可用内存:20MB
100 - 未知 - Process: SERVICES.EXE [] - C:\WINDOWS\system32\Com\SERVICES.EXE Hkjm&45x|da|z=ayeng}"hed'fbvsjl.
R1 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=
R1 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Use Search Asst=
O23 - 未知 - Service: 1BDD0490 [为系统提供加速启动功能。] - C:\WINDOWS\system32\1BDD0490.EXE -service
O23 - 未知 - Service: 797C114B [为系统增加内存带宽。] - C:\WINDOWS\system32\797C114B.EXE -service
O23 - 未知 - Service: 953FC87 [为系统提供加速启动功能。] - C:\WINDOWS\system32\953FC87.EXE -service
O23 - 未知 - Service: dmserver [监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。如果此服务被终止,动态磁盘状态和配置信息会过时。如果此服务被禁用,任何依赖它的服务将无法启动。] - C:\WINDOWS\System32\Zehowunm.d1l
=======================================
家园 诊断报告(2) 100 - 安全 - Process: smss.exe [进程为会话管理子系统用以初始化系统变量,ms-dos驱动名称类似lpt1以及com,调用win32壳子系统和运行在windows登陆过程。] - C:\WINDOWS\System32\smss.exe
100 - 安全 - Process: csrss.exe [客户端服务子系统,用以控制windows图形相关子系统。] -
100 - 安全 - Process: winlogon.exe [windows nt用户登陆程序。] - C:\WINDOWS\system32\winlogon.exe
100 - 安全 - Process: services.exe [用于管理windows服务系统进程。] - C:\WINDOWS\system32\services.exe
100 - 安全 - Process: lsass.exe [本地安全权限服务控制windows安全机制。] - C:\WINDOWS\system32\lsass.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k DcomLaunch
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k rpcss
100 - 安全 - Process: CCenter.exe [瑞星杀毒软件控制台相关程序。] - C:\Program Files\Rising\Rav\CCenter.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k netsvcs
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k NetworkService
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k LocalService
100 - 安全 - Process: RavMonD.exe [瑞星杀毒软件的一部分。] - C:\Program Files\Rising\Rav\Ravmond.exe
100 - 安全 - Process: explorer.exe [windows program manager或者windows explorer用于控制windows图形shell,包括开始菜单、任务栏,桌面和文件管理。] - C:\WINDOWS\Explorer.EXE
100 - 安全 - Process: spoolsv.exe [windows打印任务控制程序,用以打印机就绪。] - C:\WINDOWS\system32\spoolsv.exe
100 - 安全 - Process: RavStub.exe [瑞星出品的杀毒软件相关程序。] - C:\Program Files\Rising\Rav\RavStub.exe
100 - 安全 - Process: nvsvc32.exe [nvidia driver helper service在nvida显卡驱动中被安装。] - C:\WINDOWS\system32\nvsvc32.exe
100 - 安全 - Process: wdfmgr.exe [windows media player播放器相关程序。] - C:\WINDOWS\system32\wdfmgr.exe
100 - 安全 - Process: RavTask.exe [瑞星出品的杀毒软件相关程序。] - C:\Program Files\Rising\Rav\RavTask.exe
100 - 安全 - Process: RavMon.exe [瑞星杀毒软件防火墙。] - C:\Program Files\Rising\Rav\Ravmon.exe
100 - 安全 - Process: ctfmon.exe [office xp输入法图标。] - C:\WINDOWS\system32\ctfmon.exe
100 - 安全 - Process: mmc.exe [microsoft management console管理控制程序集成了很多的系统控制选项。例如设备管理(系统、硬件)或者计算机权限控制(administrative管理工具)。] - C:\WINDOWS\system32\mmc.exe
100 - 安全 - Process: alg.exe [这是一个应用层网关服务用于网络共享。] - C:\WINDOWS\System32\alg.exe
100 - 安全 - Process: firefox.exe [mozilla firefox浏览器相关程序,支持弹出广告拦截。] - C:\Program Files\Mozilla Firefox\firefox.exe
100 - 安全 - Process: 360Safe.exe [360安全卫士] - D:\常用软件\360safe_2.1\360safe\360Safe.exe
R1 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=about:blank
R1 - 安全 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=about:blank
O3 - 安全 - Toolbar: (卡卡上网安全助手) - [卡卡安全助手工具条软件相关程序。] - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - 安全 - HKLM\..\Run: [KernelFaultCheck] [windows的错误报告工具] %systemroot%\system32\dumprep 0 -k
O4 - 安全 - HKLM\..\Run: [Super Rabbit SRRestore] [超级兔子:对计算机进行优化,设置的工具] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave
O4 - 安全 - HKLM\..\Run: [RavTask] [瑞星杀毒软件的任务计划程序。] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 安全 - HKLM\..\RunOnce: [RavStub] [是瑞星杀毒软件相关程序。] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - 安全 - HKCU\..\Run: [ctfmon.exe] [office xp输入法图标。] C:\WINDOWS\system32\ctfmon.exe
O16 - 安全 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (Windows升级工具V5) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157278773008
O16 - 安全 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Flash播放器) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - 安全 - Service: NVSvc [是NVIDIA显示卡相关程序。] - C:\WINDOWS\system32\nvsvc32.exe
O23 - 安全 - Service: RsCCenter [是瑞星杀毒软件控制台相关程序。] - "C:\Program Files\Rising\Rav\CCenter.exe"
O23 - 安全 - Service: RsRavMon [是瑞星杀毒软件相关监控程序。] - "C:\Program Files\Rising\Rav\Ravmond.exe"
=======================================
- 复 诊断报告(2)
家园 诊断报告(3) 040 - winlogon.exe - Microsoft Corporation - C:\WINDOWS\system32\1BDD0490.DLL - ASN.2 Runtime APIs
040 - winlogon.exe - Microsoft Corporation - C:\WINDOWS\system32\797C114B.DLL - ASN.2 Runtime APIs
040 - winlogon.exe - Microsoft Corporation - C:\WINDOWS\system32\953FC87.DLL - ASN.2 Runtime APIs
040 - Explorer.EXE - Microsoft Corporation - C:\WINDOWS\system32\1BDD0490.DLL - ASN.2 Runtime APIs
040 - Explorer.EXE - Microsoft Corporation - C:\WINDOWS\system32\797C114B.DLL - ASN.2 Runtime APIs
040 - Explorer.EXE - Microsoft Corporation - C:\WINDOWS\system32\953FC87.DLL - ASN.2 Runtime APIs
040 - Explorer.EXE - Beijing Rising Technology Co., Ltd. - C:\WINDOWS\system32\RavExt.dll - Rising Shell Ext Module
040 - Explorer.EXE - - D:\Tencent\QQ\qdshm.dll - QQDiskShellMenu Module
040 - Explorer.EXE - Microsoft Corporation - D:\Tencent\QQ\MFC42.DLL - MFCDLL Shared Library - Retail Version
040 - Explorer.EXE - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\RSCOMMON.DLL - Rising Common Function Dynamic Link Library
=======================================
041 - BaseTDI - basetdi - C:\WINDOWS\system32\drivers\basetdi.sys
041 - cdawdm - cdawdm - C:\WINDOWS\system32\DRIVERS\CDAWDM.sys
041 - E1000 - E1000 - C:\WINDOWS\system32\DRIVERS\e1000325.sys
041 - ENTECH - ENTECH - C:\WINDOWS\system32\drivers\Entech.sys
041 - ExpScaner - ExpScan.sys - C:\Program Files\Rising\Rav\ExpScan.sys
041 - HookCont - TDI HOOK Driver - C:\Program Files\Rising\Rav\HookCont.sys
041 - HookReg - HookReg - C:\Program Files\Rising\Rav\HOOKREG.sys
041 - HookSys - Hooksys - C:\Program Files\Rising\Rav\HookSys.sys
041 - MEMSCAN - MemScan Driver - C:\Program Files\Rising\Rav\MemScan.sys
041 - npkcrypt - npkcrypt - D:\Tencent\QQ\npkcrypt.sys
041 - NPPTNT2 - nProtect NPSC Kernel Mode Driver for NT - C:\WINDOWS\system32\npptNT2.sys
041 - prodrv06 - StarForce Protection Environment Driver - C:\WINDOWS\system32\drivers\prodrv06.sys
041 - prohlp02 - StarForce Protection Helper Driver - C:\WINDOWS\system32\drivers\prohlp02.sys
041 - prosync1 - StarForce Protection Synchronization Driver - C:\WINDOWS\system32\drivers\prosync1.sys
041 - ROCKEYNT - Rockey Device Driver - C:\WINDOWS\system32\drivers\Rockeynt.sys
041 - RsAntiSpyware - RsBoot - C:\WINDOWS\system32\drivers\RsBoot.sys
041 - RSPPSYS - RSPPSYS - C:\Program Files\Rising\Rav\rsppsys.sys
041 - sfhlp01 - StarForce Protection Helper Driver - C:\WINDOWS\system32\drivers\sfhlp01.sys
041 - Zehowunm - Zehowunm - C:\WINDOWS\system32\drivers\Zehowunm.sys
=======================================
360Safe.exe=2.1.5.1000
AntiAdwa.dll=2.0.1.3002
AntiEng.dll=2.0.1.3001
AntiActi.dll=2.0.0.3000
CleanHis.dll=2.0.0.1001
safelive.exe=1.0.0.2007
live.dll=1.0.0.1011
=======================================
- 复 诊断报告(3)
家园 诊断报告(4) 操作历史报告:
----------查杀恶意软件历史----------
2006-11-20 11:27
查杀恶意软件 - 超级兔子上网精灵 - 安全 -
----------插件卸载操作历史----------
2006-11-20 11:24
插件管理 - IE Toolbar Engine - C:\PROGRA~1\ABOBEF~1\tbu03190\CAB301~1.DLL
插件管理 - IE Toolbar Helper Module - C:\PROGRA~1\ABOBEF~1\tbu03190\tbhelper.dll
插件管理 - 迷你PP -
插件管理 - 超级兔子上网精灵 - C:\PROGRA~1\SUPERR~1\MagicSet\HAOKAN~1.DLL
2006-11-20 14:20
插件管理 - IE Toolbar Engine - C:\PROGRA~1\ABOBEF~1\tbu03190\CAB301~1.DLL
插件管理 - IE Toolbar Helper Module - C:\PROGRA~1\ABOBEF~1\tbu03190\tbhelper.dll
2006-11-20 19:59
插件管理 - IE Toolbar Engine - C:\PROGRA~1\ABOBEF~1\CAB301~1.DLL
插件管理 - IE Toolbar Helper Module - C:\PROGRA~1\ABOBEF~1\tbhelper.dll
插件管理 - 腾讯QQ附带的QQIEHelper插件 -
2006-11-20 20:00
插件管理 - IE Toolbar Engine - C:\Program Files\Abobe Flash Play 9\Cab301b48.dll
2006-11-20 20:51
插件管理 - IE Toolbar Engine - C:\PROGRA~1\ABOBEF~1\CAB301~1.DLL
插件管理 - IE Toolbar Helper Module - C:\PROGRA~1\ABOBEF~1\tbhelper.dll
2006-11-21 08:09
插件管理 - IE Toolbar Engine - C:\PROGRA~1\ABOBEF~1\tbu03190\CAB301~1.DLL
插件管理 - IE Toolbar Helper Module - C:\PROGRA~1\ABOBEF~1\tbu03190\tbhelper.dll
----------全面诊断修复历史----------
2006-11-20 11:32
100 - 未知 - SERVICES.EXE - C:\WINDOWS\system32\Com\SERVICES.EXE
2006-11-20 11:32
O3 - 未知 - Abobe Flash Play 9 - C:\Program Files\Abobe Flash Play 9\tbu03190\Cab301b48.dll
O3 - 未知 - 第三方IE工具栏 -
R0 - 未知 - IE首页 - HKLM\Software\Microsoft\Internet Explorer\Main
R0 - 未知 - IE首页 - HKCU\Software\Microsoft\Internet Explorer\Main
R1 - 未知 - IE左侧搜索页 - HKCU\Software\Microsoft\Internet Explorer\Main
R1 - 未知 - 启用备用搜索引擎 - HKCU\Software\Microsoft\Internet Explorer\Main
O23 - 未知 - 1BDD0490 - C:\WINDOWS\system32\1BDD0490.EXE -service
O23 - 未知 - 953FC87 - C:\WINDOWS\system32\953FC87.EXE -service
O23 - 未知 - dmserver - C:\WINDOWS\System32\Zehowunm.d1l
2006-11-20 11:32
O23 - 未知 - 1BDD0490 - C:\WINDOWS\system32\1BDD0490.EXE -service
O23 - 未知 - 953FC87 - C:\WINDOWS\system32\953FC87.EXE -service
O23 - 未知 - dmserver - C:\WINDOWS\System32\Zehowunm.d1l
2006-11-20 14:24
100 - 未知 - SERVICES.EXE - C:\WINDOWS\system32\Com\SERVICES.EXE
O3 - 未知 - Abobe Flash Play 9 - C:\Program Files\Abobe Flash Play 9\tbu03190\Cab301b48.dll
O23 - 未知 - 1BDD0490 - C:\WINDOWS\system32\1BDD0490.EXE -service
O23 - 未知 - 953FC87 - C:\WINDOWS\system32\953FC87.EXE -service
O23 - 未知 - dmserver - C:\WINDOWS\System32\Zehowunm.d1l
----------修复IE浏览器操作历史----------
2006-11-20 14:23
O27 - 危险 - 登录提示框标题 - HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
O27 - 危险 - 登录提示框文字 - HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
2006-11-20 20:36
R0 - 危险 - IE搜索页 - HKCU\Software\Microsoft\Internet Explorer\Main
=======================================
- 复 诊断报告(4)
家园 看得我头晕眼花, 首先,360的诊断报告(1)中的几项几乎全部都有问题。
C:\WINDOWS\system32\1BDD0490.EXE -service
C:\WINDOWS\system32\797C114B.EXE -service
C:\WINDOWS\system32\953FC87.EXE -service
C:\WINDOWS\System32\Zehowunm.d1l(看清楚了,不是dll,是d1l)
C:\WINDOWS\system32\Com\SERVICES.EXE
诊断报告(2)中似乎没有什么可疑的地方。
诊断报告(3)中确定,1BDD0490.DLL、797C114B.DLL、953FC87.DLL被加注到winlogon.exe、Explorer.EXE中了,并且041 - Zehowunm - Zehowunm - C:\WINDOWS\system32\drivers\Zehowunm.sys
是有问题的。
诊断报告(4)没什么特别更值得注意的地方。
方法,启动IceSword,点击进程,
选中winlogon.exe,反键选择模块信息,找到
1BDD0490.DLL、97C114B.DLL、953FC87.DLL、Zehowunm.sys,选择卸除,如果不能正常卸除就选择强制卸除;
选中Explorer.EXE,反键选择模块信息,找到
1BDD0490.DLL、97C114B.DLL、953FC87.DLL、Zehowunm.sys,选择卸除,如果不能正常卸除就选择强制卸除。
然后终止C:\WINDOWS\system32\Com\SERVICES.EXE这个进程,去windows相应目录下删除
C:\WINDOWS\system32\Com\SERVICES.EXE
C:\WINDOWS\system32\1BDD0490.EXE
C:\WINDOWS\system32\1BDD0490.dll
C:\WINDOWS\system32\797C114B.EXE
C:\WINDOWS\system32\797C114B.dll
C:\WINDOWS\system32\953FC87.EXE
C:\WINDOWS\system32\953FC87.dll
C:\WINDOWS\System32\Zehowunm.d1l
C:\WINDOWS\System32\Zehowunm.sys
最后去服务中禁止如下相关服务,
dmserver
1BDD0490
797C114B
953FC87
C:\WINDOWS\system32\Com\SERVICES.EXE
- 复 看得我头晕眼花,
家园 还是有问题 我进安全模式,运行卡卡,还是可以找到恶意软件,删除以后,再正常启动卡卡就查不到恶意软件了,可惜没等我欢呼,依然还是弹出网页,只好按照你说的步骤。
运行冰剑,打开模块信息,里面只找到1BDD0490.DLL、97C114B.DLL、953FC87.DLL,没有看到Zehowunm.sys,先卸除掉1BDD0490.DLL,出现蓝屏,报未知硬件错误,但是重新启动后发现删除了,继续卸掉97C114B.DLL,一样蓝屏,关机重起,再试953FC87.DLL,麻烦来了,蓝屏,重起,这个玩意还在,没办法,试着强制卸除,一样死机,但是重新启动这个东西还在,我看了下Explorer.EXE的模块信息,也只剩下953FC87.DLL了,其他的都看不到,在C:\WINDOWS\system32\Com的SERVICES.EXE在卡卡杀掉流氓软件以后也不见了,现在仍然有弹网页的症状。
- 复 还是有问题
家园 似乎有点不太好办, 关键是东西不在眼前,说又很难说的很清楚。
这样吧,你看能不能想办法把这几个文件删掉,
953FC87.DLL
953FC87.exe
Zehowunm.sys
Zehowunm.d1l
然后下个绿色的Ad-Aware或者AVG Anti-Spyware扫描一下试试,我是真的爱莫能助了。
家园 好象解决了 我直接去找这几个文件删除,结果发现每个文件都有三个相似的东西,一个没有后缀,该是EXE文件,还有个是DLL后缀,另外还有一个是文件名加个T,没有后缀,该是一个伪装的版本,这个破玩意可能还会自我伪装,因为97开头那个文件找出来的时候是797,不过与另外两个一样都是一式三份,所以我认定他们是一起的,正常模式下可以删除其中的EXE文件,DLL文件不可以直接删除,我进安全模式,然后把这几个文件统统删除,把这些东西清理完后,这个世界清净了,
!Zehowunm.sysZehowunm.d1l没有找到,可能也是伪装,重新再用冰剑看,也找不到那个破玩意了,下午到现在一直没有再弹过网页,估计这个瘟神已经送走了。
家园 重新用卡卡看了下,就是这个破玩意 那个恶意程序的文件路径就是这个东西,C:\WINDOWS\system32\Com\SERVICES.EXE
就是这个东西在做怪。
家园 关于这个,再补充下 这个东西的确有问题
C:\WINDOWS\system32\Com\SERVICES.EXE
在开机的时候会弹个会话框出来,读这个东西的时候内存出错,用卡卡查是加速开机启动的,但是无法修复,所以我把兔子里的优化开机给取消了,结果不再弹那个框子出来,所以我就没有提。