主题:中流氓软件之后的断想 -- 故园湾里
我这两天中了流氓软件,用卡卡可以发现,是个恶意程序,IS88VIVI,但是删除的时候是现重起后删除,但是重新启动后依旧还在,用360找不到,我用360把系统漏洞全部修复了,用兔子把系统清理了,但是这个破玩意就是存在,更为讨厌的是不定时会弹出IE网页,两个带木马的网页,虽然瑞星可以拦住,但是老这么弹出来也招人烦不是?而且每次弹出来都会在桌面自动留下两个或者三个图标,我没点击,不过不出意外的话这些图标正是他们两个带木马的网页,而且弹出来的窗口还带快搜的工具条,我早已经不用IE了,一般是用FF,这个流氓软件是前几天看垂直打击的时候中的,安装的人可恶到了极点,在最后一集才让我中招,比较郁闷,现在拿这个破玩意束手无策,拜托能不能帮我想想招???
还带个uu500的exe文件,不过这个会让瑞星监控拦住,刚才打字的时候又弹出来一次,烦!!
我可以帮你看一看,想想办法。
Logfile of HijackThis v1.99.1
Scan saved at 19:09:18, on 2006-11-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\system32\Com\SERVICES.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Rising\Rav\RavMon.exe
D:\常用软件\HijackThis.exe
R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\PROGRA~1\ABOBEF~1\tbu03190\tbhelper.dll
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O3 - Toolbar: Abobe Flash Play 9 - {494F50A2-6CDB-43FF-BA83-85D32038D04C} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave
O4 - HKLM\..\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157278773008
O17 - HKLM\System\CCS\Services\Tcpip\..\{23CD8752-3462-4845-8850-EA869CA10568}: NameServer = 202.101.226.68,202.101.224.69
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\system32\Com\SERVICES.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Rising\Rav\RavMon.exe
D:\常用软件\HijackThis.exe
R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\PROGRA~1\ABOBEF~1\tbu03190\tbhelper.dll
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O3 - Toolbar: Abobe Flash Play 9 - {494F50A2-6CDB-43FF-BA83-85D32038D04C} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave
O4 - HKLM\..\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157278773008
O17 - HKLM\System\CCS\Services\Tcpip\..\{23CD8752-3462-4845-8850-EA869CA10568}: NameServer = 202.101.226.68,202.101.224.69
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
红字的地方代表我认为有问题的,而这个C:\WINDOWS\system32\Com\SERVICES.EXE几乎就和你所描述的情况相差不远了,解决方法,
首先,查看启动组中有无与这个SERVICES.EXE相关的,注意路径,SERVICES.EXE一般情况下是在C:\WINDOWS\system32目录下,在其它目录下就有问题。假如有,删除掉选项,然后删掉在C:\WINDOWS\system32\Com目录下的SERVICES.EXE。
其次,如果不在启动组中,去 控制面板〉管理工具〉服务 中查看有无与这个SERVICES.EXE相关的服务,还是要注意路径,特别观察“描述”为空的服务。如果有,先停止服务,然后删掉C:\WINDOWS\system32\Com目录下的SERVICES.EXE。
这个东西的确有问题
C:\WINDOWS\system32\Com\SERVICES.EXE
在开机的时候会弹个会话框出来,读这个东西的时候内存出错,用卡卡查是加速开机启动的,但是无法修复,所以我把兔子里的优化开机给取消了,结果不再弹那个框子出来,所以我就没有提。
那个恶意程序的文件路径就是这个东西,C:\WINDOWS\system32\Com\SERVICES.EXE
就是这个东西在做怪。
试了下直接删除,没用,我用360终止这个SEVICES的进程,然后再试,可以删除掉这个文件,然后再用卡卡查,结果告诉我本机没有恶意软件,欢呼!
不过为了保险起见,重新启动,再看,一切照旧,这个破玩意又重新出现在了原地,哭死~!我已经快要抓狂了!!!!!!!!!!
终止进程没有作用,应该先停止服务,再删除文件,然后再删除服务。
各位高手:
非常感谢您留心我这份系统诊断报告,小菜鸟十万火急等待您的帮助!
该诊断报告由360安全卫士提供 http://www.360safe.com
诊断时间: 2006-11-21 12:05:48
诊断平台: Microsoft Windows XP Service Pack 2
IE版本: Internet Explorer V6.0.2900.2180 Build:62900.2180
计算机物理内存:191MB - 当前可用内存:20MB
100 - 未知 - Process: SERVICES.EXE [] - C:\WINDOWS\system32\Com\SERVICES.EXE Hkjm&45x|da|z=ayeng}"hed'fbvsjl.
R1 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=
R1 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Use Search Asst=
O23 - 未知 - Service: 1BDD0490 [为系统提供加速启动功能。] - C:\WINDOWS\system32\1BDD0490.EXE -service
O23 - 未知 - Service: 797C114B [为系统增加内存带宽。] - C:\WINDOWS\system32\797C114B.EXE -service
O23 - 未知 - Service: 953FC87 [为系统提供加速启动功能。] - C:\WINDOWS\system32\953FC87.EXE -service
O23 - 未知 - Service: dmserver [监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。如果此服务被终止,动态磁盘状态和配置信息会过时。如果此服务被禁用,任何依赖它的服务将无法启动。] - C:\WINDOWS\System32\Zehowunm.d1l
=======================================
100 - 安全 - Process: smss.exe [进程为会话管理子系统用以初始化系统变量,ms-dos驱动名称类似lpt1以及com,调用win32壳子系统和运行在windows登陆过程。] - C:\WINDOWS\System32\smss.exe
100 - 安全 - Process: csrss.exe [客户端服务子系统,用以控制windows图形相关子系统。] -
100 - 安全 - Process: winlogon.exe [windows nt用户登陆程序。] - C:\WINDOWS\system32\winlogon.exe
100 - 安全 - Process: services.exe [用于管理windows服务系统进程。] - C:\WINDOWS\system32\services.exe
100 - 安全 - Process: lsass.exe [本地安全权限服务控制windows安全机制。] - C:\WINDOWS\system32\lsass.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k DcomLaunch
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k rpcss
100 - 安全 - Process: CCenter.exe [瑞星杀毒软件控制台相关程序。] - C:\Program Files\Rising\Rav\CCenter.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k netsvcs
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k NetworkService
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k LocalService
100 - 安全 - Process: RavMonD.exe [瑞星杀毒软件的一部分。] - C:\Program Files\Rising\Rav\Ravmond.exe
100 - 安全 - Process: explorer.exe [windows program manager或者windows explorer用于控制windows图形shell,包括开始菜单、任务栏,桌面和文件管理。] - C:\WINDOWS\Explorer.EXE
100 - 安全 - Process: spoolsv.exe [windows打印任务控制程序,用以打印机就绪。] - C:\WINDOWS\system32\spoolsv.exe
100 - 安全 - Process: RavStub.exe [瑞星出品的杀毒软件相关程序。] - C:\Program Files\Rising\Rav\RavStub.exe
100 - 安全 - Process: nvsvc32.exe [nvidia driver helper service在nvida显卡驱动中被安装。] - C:\WINDOWS\system32\nvsvc32.exe
100 - 安全 - Process: wdfmgr.exe [windows media player播放器相关程序。] - C:\WINDOWS\system32\wdfmgr.exe
100 - 安全 - Process: RavTask.exe [瑞星出品的杀毒软件相关程序。] - C:\Program Files\Rising\Rav\RavTask.exe
100 - 安全 - Process: RavMon.exe [瑞星杀毒软件防火墙。] - C:\Program Files\Rising\Rav\Ravmon.exe
100 - 安全 - Process: ctfmon.exe [office xp输入法图标。] - C:\WINDOWS\system32\ctfmon.exe
100 - 安全 - Process: mmc.exe [microsoft management console管理控制程序集成了很多的系统控制选项。例如设备管理(系统、硬件)或者计算机权限控制(administrative管理工具)。] - C:\WINDOWS\system32\mmc.exe
100 - 安全 - Process: alg.exe [这是一个应用层网关服务用于网络共享。] - C:\WINDOWS\System32\alg.exe
100 - 安全 - Process: firefox.exe [mozilla firefox浏览器相关程序,支持弹出广告拦截。] - C:\Program Files\Mozilla Firefox\firefox.exe
100 - 安全 - Process: 360Safe.exe [360安全卫士] - D:\常用软件\360safe_2.1\360safe\360Safe.exe
R1 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=about:blank
R1 - 安全 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=about:blank
O3 - 安全 - Toolbar: (卡卡上网安全助手) - [卡卡安全助手工具条软件相关程序。] - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - 安全 - HKLM\..\Run: [KernelFaultCheck] [windows的错误报告工具] %systemroot%\system32\dumprep 0 -k
O4 - 安全 - HKLM\..\Run: [Super Rabbit SRRestore] [超级兔子:对计算机进行优化,设置的工具] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave
O4 - 安全 - HKLM\..\Run: [RavTask] [瑞星杀毒软件的任务计划程序。] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 安全 - HKLM\..\RunOnce: [RavStub] [是瑞星杀毒软件相关程序。] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - 安全 - HKCU\..\Run: [ctfmon.exe] [office xp输入法图标。] C:\WINDOWS\system32\ctfmon.exe
O16 - 安全 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (Windows升级工具V5) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157278773008
O16 - 安全 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Flash播放器) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - 安全 - Service: NVSvc [是NVIDIA显示卡相关程序。] - C:\WINDOWS\system32\nvsvc32.exe
O23 - 安全 - Service: RsCCenter [是瑞星杀毒软件控制台相关程序。] - "C:\Program Files\Rising\Rav\CCenter.exe"
O23 - 安全 - Service: RsRavMon [是瑞星杀毒软件相关监控程序。] - "C:\Program Files\Rising\Rav\Ravmond.exe"
=======================================
040 - winlogon.exe - Microsoft Corporation - C:\WINDOWS\system32\1BDD0490.DLL - ASN.2 Runtime APIs
040 - winlogon.exe - Microsoft Corporation - C:\WINDOWS\system32\797C114B.DLL - ASN.2 Runtime APIs
040 - winlogon.exe - Microsoft Corporation - C:\WINDOWS\system32\953FC87.DLL - ASN.2 Runtime APIs
040 - Explorer.EXE - Microsoft Corporation - C:\WINDOWS\system32\1BDD0490.DLL - ASN.2 Runtime APIs
040 - Explorer.EXE - Microsoft Corporation - C:\WINDOWS\system32\797C114B.DLL - ASN.2 Runtime APIs
040 - Explorer.EXE - Microsoft Corporation - C:\WINDOWS\system32\953FC87.DLL - ASN.2 Runtime APIs
040 - Explorer.EXE - Beijing Rising Technology Co., Ltd. - C:\WINDOWS\system32\RavExt.dll - Rising Shell Ext Module
040 - Explorer.EXE - - D:\Tencent\QQ\qdshm.dll - QQDiskShellMenu Module
040 - Explorer.EXE - Microsoft Corporation - D:\Tencent\QQ\MFC42.DLL - MFCDLL Shared Library - Retail Version
040 - Explorer.EXE - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\RSCOMMON.DLL - Rising Common Function Dynamic Link Library
=======================================
041 - BaseTDI - basetdi - C:\WINDOWS\system32\drivers\basetdi.sys
041 - cdawdm - cdawdm - C:\WINDOWS\system32\DRIVERS\CDAWDM.sys
041 - E1000 - E1000 - C:\WINDOWS\system32\DRIVERS\e1000325.sys
041 - ENTECH - ENTECH - C:\WINDOWS\system32\drivers\Entech.sys
041 - ExpScaner - ExpScan.sys - C:\Program Files\Rising\Rav\ExpScan.sys
041 - HookCont - TDI HOOK Driver - C:\Program Files\Rising\Rav\HookCont.sys
041 - HookReg - HookReg - C:\Program Files\Rising\Rav\HOOKREG.sys
041 - HookSys - Hooksys - C:\Program Files\Rising\Rav\HookSys.sys
041 - MEMSCAN - MemScan Driver - C:\Program Files\Rising\Rav\MemScan.sys
041 - npkcrypt - npkcrypt - D:\Tencent\QQ\npkcrypt.sys
041 - NPPTNT2 - nProtect NPSC Kernel Mode Driver for NT - C:\WINDOWS\system32\npptNT2.sys
041 - prodrv06 - StarForce Protection Environment Driver - C:\WINDOWS\system32\drivers\prodrv06.sys
041 - prohlp02 - StarForce Protection Helper Driver - C:\WINDOWS\system32\drivers\prohlp02.sys
041 - prosync1 - StarForce Protection Synchronization Driver - C:\WINDOWS\system32\drivers\prosync1.sys
041 - ROCKEYNT - Rockey Device Driver - C:\WINDOWS\system32\drivers\Rockeynt.sys
041 - RsAntiSpyware - RsBoot - C:\WINDOWS\system32\drivers\RsBoot.sys
041 - RSPPSYS - RSPPSYS - C:\Program Files\Rising\Rav\rsppsys.sys
041 - sfhlp01 - StarForce Protection Helper Driver - C:\WINDOWS\system32\drivers\sfhlp01.sys
041 - Zehowunm - Zehowunm - C:\WINDOWS\system32\drivers\Zehowunm.sys
=======================================
360Safe.exe=2.1.5.1000
AntiAdwa.dll=2.0.1.3002
AntiEng.dll=2.0.1.3001
AntiActi.dll=2.0.0.3000
CleanHis.dll=2.0.0.1001
safelive.exe=1.0.0.2007
live.dll=1.0.0.1011
=======================================
操作历史报告:
----------查杀恶意软件历史----------
2006-11-20 11:27
查杀恶意软件 - 超级兔子上网精灵 - 安全 -
----------插件卸载操作历史----------
2006-11-20 11:24
插件管理 - IE Toolbar Engine - C:\PROGRA~1\ABOBEF~1\tbu03190\CAB301~1.DLL
插件管理 - IE Toolbar Helper Module - C:\PROGRA~1\ABOBEF~1\tbu03190\tbhelper.dll
插件管理 - 迷你PP -
插件管理 - 超级兔子上网精灵 - C:\PROGRA~1\SUPERR~1\MagicSet\HAOKAN~1.DLL
2006-11-20 14:20
插件管理 - IE Toolbar Engine - C:\PROGRA~1\ABOBEF~1\tbu03190\CAB301~1.DLL
插件管理 - IE Toolbar Helper Module - C:\PROGRA~1\ABOBEF~1\tbu03190\tbhelper.dll
2006-11-20 19:59
插件管理 - IE Toolbar Engine - C:\PROGRA~1\ABOBEF~1\CAB301~1.DLL
插件管理 - IE Toolbar Helper Module - C:\PROGRA~1\ABOBEF~1\tbhelper.dll
插件管理 - 腾讯QQ附带的QQIEHelper插件 -
2006-11-20 20:00
插件管理 - IE Toolbar Engine - C:\Program Files\Abobe Flash Play 9\Cab301b48.dll
2006-11-20 20:51
插件管理 - IE Toolbar Engine - C:\PROGRA~1\ABOBEF~1\CAB301~1.DLL
插件管理 - IE Toolbar Helper Module - C:\PROGRA~1\ABOBEF~1\tbhelper.dll
2006-11-21 08:09
插件管理 - IE Toolbar Engine - C:\PROGRA~1\ABOBEF~1\tbu03190\CAB301~1.DLL
插件管理 - IE Toolbar Helper Module - C:\PROGRA~1\ABOBEF~1\tbu03190\tbhelper.dll
----------全面诊断修复历史----------
2006-11-20 11:32
100 - 未知 - SERVICES.EXE - C:\WINDOWS\system32\Com\SERVICES.EXE
2006-11-20 11:32
O3 - 未知 - Abobe Flash Play 9 - C:\Program Files\Abobe Flash Play 9\tbu03190\Cab301b48.dll
O3 - 未知 - 第三方IE工具栏 -
R0 - 未知 - IE首页 - HKLM\Software\Microsoft\Internet Explorer\Main
R0 - 未知 - IE首页 - HKCU\Software\Microsoft\Internet Explorer\Main
R1 - 未知 - IE左侧搜索页 - HKCU\Software\Microsoft\Internet Explorer\Main
R1 - 未知 - 启用备用搜索引擎 - HKCU\Software\Microsoft\Internet Explorer\Main
O23 - 未知 - 1BDD0490 - C:\WINDOWS\system32\1BDD0490.EXE -service
O23 - 未知 - 953FC87 - C:\WINDOWS\system32\953FC87.EXE -service
O23 - 未知 - dmserver - C:\WINDOWS\System32\Zehowunm.d1l
2006-11-20 11:32
O23 - 未知 - 1BDD0490 - C:\WINDOWS\system32\1BDD0490.EXE -service
O23 - 未知 - 953FC87 - C:\WINDOWS\system32\953FC87.EXE -service
O23 - 未知 - dmserver - C:\WINDOWS\System32\Zehowunm.d1l
2006-11-20 14:24
100 - 未知 - SERVICES.EXE - C:\WINDOWS\system32\Com\SERVICES.EXE
O3 - 未知 - Abobe Flash Play 9 - C:\Program Files\Abobe Flash Play 9\tbu03190\Cab301b48.dll
O23 - 未知 - 1BDD0490 - C:\WINDOWS\system32\1BDD0490.EXE -service
O23 - 未知 - 953FC87 - C:\WINDOWS\system32\953FC87.EXE -service
O23 - 未知 - dmserver - C:\WINDOWS\System32\Zehowunm.d1l
----------修复IE浏览器操作历史----------
2006-11-20 14:23
O27 - 危险 - 登录提示框标题 - HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
O27 - 危险 - 登录提示框文字 - HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
2006-11-20 20:36
R0 - 危险 - IE搜索页 - HKCU\Software\Microsoft\Internet Explorer\Main
=======================================
首先,360的诊断报告(1)中的几项几乎全部都有问题。
C:\WINDOWS\system32\1BDD0490.EXE -service
C:\WINDOWS\system32\797C114B.EXE -service
C:\WINDOWS\system32\953FC87.EXE -service
C:\WINDOWS\System32\Zehowunm.d1l(看清楚了,不是dll,是d1l)
C:\WINDOWS\system32\Com\SERVICES.EXE
诊断报告(2)中似乎没有什么可疑的地方。
诊断报告(3)中确定,1BDD0490.DLL、797C114B.DLL、953FC87.DLL被加注到winlogon.exe、Explorer.EXE中了,并且041 - Zehowunm - Zehowunm - C:\WINDOWS\system32\drivers\Zehowunm.sys
是有问题的。
诊断报告(4)没什么特别更值得注意的地方。
方法,启动IceSword,点击进程,
选中winlogon.exe,反键选择模块信息,找到
1BDD0490.DLL、97C114B.DLL、953FC87.DLL、Zehowunm.sys,选择卸除,如果不能正常卸除就选择强制卸除;
选中Explorer.EXE,反键选择模块信息,找到
1BDD0490.DLL、97C114B.DLL、953FC87.DLL、Zehowunm.sys,选择卸除,如果不能正常卸除就选择强制卸除。
然后终止C:\WINDOWS\system32\Com\SERVICES.EXE这个进程,去windows相应目录下删除
C:\WINDOWS\system32\Com\SERVICES.EXE
C:\WINDOWS\system32\1BDD0490.EXE
C:\WINDOWS\system32\1BDD0490.dll
C:\WINDOWS\system32\797C114B.EXE
C:\WINDOWS\system32\797C114B.dll
C:\WINDOWS\system32\953FC87.EXE
C:\WINDOWS\system32\953FC87.dll
C:\WINDOWS\System32\Zehowunm.d1l
C:\WINDOWS\System32\Zehowunm.sys
最后去服务中禁止如下相关服务,
dmserver
1BDD0490
797C114B
953FC87
C:\WINDOWS\system32\Com\SERVICES.EXE
我进安全模式,运行卡卡,还是可以找到恶意软件,删除以后,再正常启动卡卡就查不到恶意软件了,可惜没等我欢呼,依然还是弹出网页,只好按照你说的步骤。
运行冰剑,打开模块信息,里面只找到1BDD0490.DLL、97C114B.DLL、953FC87.DLL,没有看到Zehowunm.sys,先卸除掉1BDD0490.DLL,出现蓝屏,报未知硬件错误,但是重新启动后发现删除了,继续卸掉97C114B.DLL,一样蓝屏,关机重起,再试953FC87.DLL,麻烦来了,蓝屏,重起,这个玩意还在,没办法,试着强制卸除,一样死机,但是重新启动这个东西还在,我看了下Explorer.EXE的模块信息,也只剩下953FC87.DLL了,其他的都看不到,在C:\WINDOWS\system32\Com的SERVICES.EXE在卡卡杀掉流氓软件以后也不见了,现在仍然有弹网页的症状。
关键是东西不在眼前,说又很难说的很清楚。
这样吧,你看能不能想办法把这几个文件删掉,
953FC87.DLL
953FC87.exe
Zehowunm.sys
Zehowunm.d1l
然后下个绿色的Ad-Aware或者AVG Anti-Spyware扫描一下试试,我是真的爱莫能助了。