本页主题: 开机打开客户端就有着个网页弹出来http://www.78518.net/有办法解决吗? 打印 | 加为IE收藏 | 复制链接 | 收藏主题 | 上一主题 | 下一主题

1970
级别: 圣骑士


精华: 0
发帖: 160
威望: 84 点
金钱: 754 静电币
支持度: 0 点
在线时间:40(小时)
注册时间:2002-12-03
最后登录:2021-04-09

 开机打开客户端就有着个网页弹出来http://www.78518.net/有办法解决吗?

启动项和注册表找不到这个
寒风烈火更番过
地狱原来在我身
Posted: 2005-11-30 10:38 | [楼 主]
bbsriver
杀人游戏MVP勋章I 杀人游戏MVP勋章II
级别: 管理员


精华: 52
发帖: 17391
威望: 8729 点
金钱: 7064 静电币
支持度: 19901 点
在线时间:13725(小时)
注册时间:2002-11-21
最后登录:2016-12-22

 

1970按置顶那个贴子的操作步骤生成一个 Hijackthis 的分析报告贴上来。
Posted: 2005-11-30 10:53 | 1 楼
bbsriver
杀人游戏MVP勋章I 杀人游戏MVP勋章II
级别: 管理员


精华: 52
发帖: 17391
威望: 8729 点
金钱: 7064 静电币
支持度: 19901 点
在线时间:13725(小时)
注册时间:2002-11-21
最后登录:2016-12-22

 

F3 - REG:win.ini: run=C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\RunServices: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\RunServices: [services] C:\WINDOWS\services.exe
services.exe应该在system32目录下,这个一看就知道是个伪装的恶意文件。

O2 - BHO: URLMonitor Class - {3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} - C:\WINDOWS\system32\hap.dll
O2 - BHO: DownloadValue Class - {616D4040-5712-4F0F-BCF1-5C6420A99E14} - C:\WINDOWS\system32\winhtp.dll
这两个是“很棒小秘书”的木马文件。

O2 - BHO: MMSAssist - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\system32\stdup.dll
O8 - Extra context menu item:   >> 彩信发送 << - res://C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL/mms.htm
O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
O9 - Extra 'Tools' menuitem: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
彩信通的广告文件,不停弹出广告网页的原因就是它导致的。

以上的注册表项全都要修复。


O2 - BHO: CAP Class - {B8CCDD47-38E4-4CD2-B7FA-3B4B690F74BD} - C:\WINDOWS\system32\dtap.dll
这个不知道是什么东西。从google上也查不出来。有谁知道请告诉一声。
—————————————————————————————————————————————

然后再来详细讲 一下如何彻底清除掉“很棒小秘书”和“彩信通”

先从控制面板的“添加/删除程序”里卸载“很棒小秘书”,
然后检查系统,以下这些文件都是“很棒小秘书”植入系统的,应当删除:
C:\WINDOWS\system32\winup.exe
C:\WINDOWS\system32\winhtp.dll
C:\WINDOWS\SoftwareDistribution\Download\……\update\spcustom.dll
c:\windows\system32\uninstall.exe
c:\windows\system32\henbagkiller.exe
C:\WINDOWS\system32\hap.dll
C:\WINDOWS\system32\hda.ini
C:\Program Files\henbang\整个文件夹
然后打开IE,选择“internet选项”——选择“程序”页,点击“管理加载项”——从打开的窗口中选中“UrlMonitor Class”,选择“禁用”。

以上是清理“很棒小秘书”的步骤。

接下来也是先从控制面板的“添加/删除程序”里卸载“彩信通”
然后打开控制面板,进入“管理工具”,点击“服务”找到 StdService,在这上面右键点击“属性”,把启动类型改成“禁止”,然后点击“应用”,点击“停止”,点击“确定”。
然后去找下列文件删除:
C:\WINDOWS\SYSTEM32\stdup.dll
C:\WINDOWS\system32\STDSVER.DLL
C:\WINDOWS\system32\stdcache\整个文件夹
再接下来搜索一遍注册表,把带有stdup字样的注册表键全部删除。“彩信通”就被清理干净了。


顺便说一句,最近中了“彩信通”的人不少哈。这个恶意程序隐藏得很深,而且光是用Hijackthis一类自动判断的工具无法彻底清理。上面这个清理步骤是最彻底的清理了。我估计论坛早晚要有人来问这个程序的事~
Posted: 2005-12-01 21:39 | 2 楼
bbsriver
杀人游戏MVP勋章I 杀人游戏MVP勋章II
级别: 管理员


精华: 52
发帖: 17391
威望: 8729 点
金钱: 7064 静电币
支持度: 19901 点
在线时间:13725(小时)
注册时间:2002-11-21
最后登录:2016-12-22

 

删不掉的文件用 killbox,在这个帖子里:http://www.doggiehome.com/read.php?tid=23945
选择“下次启动时删除”,执行后重启一遍电脑就可以了。
Posted: 2005-12-01 22:29 | 3 楼
bbsriver
杀人游戏MVP勋章I 杀人游戏MVP勋章II
级别: 管理员


精华: 52
发帖: 17391
威望: 8729 点
金钱: 7064 静电币
支持度: 19901 点
在线时间:13725(小时)
注册时间:2002-11-21
最后登录:2016-12-22

 

Quote:
下面是引用1970于2005-12-02 11:34发表的:
好象没改变?????????

“很棒小秘书”删掉了, “彩信通”和 C:\WINDOWS\services.exe 还没删干净。

这些项目仍需要用 Hijackthis 修复:
F3 - REG:win.ini: run=C:\WINDOWS\services.exe
O2 - BHO: MMSAssist - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - (没有文件)  
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\RunServices: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\RunServices: [services] C:\WINDOWS\services.exe
O8 - Extra context menu item:   >> 彩信发送 << - res://C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL/mms.htm
O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
O9 - Extra 'Tools' menuitem: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL

并检查相应的文件是不是也删除了。
C:\PROGRAM FILES\MMSASSIST\文件夹也应当删除。

C:\WINDOWS\system32\1xClient.dll是联想网络\802.1x客户端软件的进程,难怪看着眼生。这个客户端如果是联想发布的,应该不会包含广告程序。
Posted: 2005-12-02 14:39 | 4 楼
帖子浏览记录 版块浏览记录
狗狗静电BBS - wwW.DoGGiEhoMe.CoM » 电脑全方位 Computer Guide

沪ICP备05008186号
Powered by PHPWind Styled by MagiColor