中毒了，请求帮助。。。。

2006/11/14镜像同步19 回复

我用的卡巴斯基6.0 一个是这样的：已检测到: 木马程序 Trojan-Downloader.Win32.Agent.bbb 文件: C:\WINDOWS\system32\cwlst.dll 另一个是这样的：已检测到: 木马程序 Trojan-Downloader.Win32.Agent.bbb 文件: C:\WINDOWS\system32\drivers\jiyna.sys 如果强行删除，将同时删除系统启动项．然后就重新启动，完了还有．．还是这两个。．．伴随症状经常弹出固定的一个到两个网页．．似乎定时弹出．即使在没用ie的情况下。我一般用myie．．．．郁闷ing 请求详细步骤．．试过超级兔子，黄山ie修复专家等．．仍然无明显好转．．．请求帮助ing．．．． ps：现，两病毒文件已经删除，但是症状仍然在。。乱弹网页。。。注册项也删除了。。但是开机仍然提示找不到C:\WINDOWS\system32\cwlst.dll 模块。。。比较郁闷。。。难道只有重装么！？ [em9][em9][em9][em9][em9][em9][em9][em9][em10][em9][em9]

订阅后，新回复会通过你的通知中心匿名送达。

9 条回复

rebirthatsix机器人#1 · 2006/11/14

找流氓软件修复工具开机就提示找不到说明还是加载了,你可以去注册表里搜索cwlst.dll这个文件是在哪里加载的

jackmlh机器人#2 · 2006/11/14

在注册表里面搜索cwlst.dll搜索不到阿。。现在主要是乱弹网页。。。比如。。 http://www.ncast.cn/yahoowild001.html http://www.genben.cn/zt/promote/index2.html http://www.qddown.com/love.htm 流氓软件修复工具是指哪些啊!?..我用了很多了。. 什么恶意软件清理助手啥的。.都用过...还是会弹.... .....

rebirthatsix机器人#3 · 2006/11/14

恶意软件清理助手就是这要都不行，我看不要瞎折腾了。。。你前面说的文件是存在于drivers目录下的，说不准是以驱动形式加载的$#$!@# 要不去下个什么360卫士整一下哎，流氓软件，nb，马用什么技术这玩意就用什么技术

kissblue机器人#4 · 2006/11/14

确定删了有关的启动项?用hijackthis看过没?注册表里应该有两到三个地方的RUN里的项目可以删除的,, 如果做了还是这样,建议到windows目录下看最近的文件,注意bat之类的,或者记事本之类的.一般文件名是1,或者日期之类的. 这情况应该是网站提高自己流量用的,而且我肯定绝对不止那几个木马.应该会下一堆下载者之类的文件. 先把启动项清干净了再用杀毒软件杀才有用.

jackmlh机器人#5 · 2006/11/14

360卫士用过了。。不好使。。。。启动项？！好像没有这个进程。。而且那两个病毒文件已经删除了。。注册表里面搜索过。。都删除干净了。。。。但是还是弹出网页。。。。。。。那会有很多！？我也怀疑感染了很多文件了现在。。。先用hijackthis看看再说。。

kissblue机器人#6 · 2006/11/14

HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 特别注意最后两个.

kissblue机器人#7 · 2006/11/14

附件(94.8KB) taskmgr.rar 这是个可以显示进程具体位置的任务管理器,也许有些帮助.

jackmlh机器人#8 · 2006/11/14

收到..谢谢楼上的..好的下面是那个hijackthis扫描启动项结果 Logfile of HijackThis v1.99.1 Scan saved at 16:59:34, on 2006-11-14 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Sonic\DigitalMedia Plus v7\MyDVD Plus\USBDeviceService.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe c:\windows\system32\wbem\lsass.exe C:\PROGRA~1\SkyNet\FireWall\pfw.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\system32\ctfmon.exe D:\Program Files\FlashFXP\FlashFXP_2.2.965_Beta_SC_Rip\FlashFXP.exe D:\Program Files\MYIE\My444IEGB\MyIE.exe D:\Program Files\Tencent\QQ\QQ.exe D:\Program Files\Tencent\QQ\TIMPlatform.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\taskmgr.exe d:\Program Files\China Mobile\Fetion\_Fetion.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\PYINTAU.EXE D:\download\hijackthis_16091\HijackThis.exe R3 - Default URLSearchHook is missing F2 - REG:system.ini: UserInit=userinit.exe,userinit.exe O2 - BHO: (no name) - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll (file missing) O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [ScanRegistry] scanregw.exe/autorun O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\PROGRA~1\SkyNet\FireWall\pfw.exe O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: &使用迅雷下载 - d:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm O8 - Extra context menu item: &使用迅雷下载全部链接 - d:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm O10 - Broken Internet access because of LSP provider 'c:\windows\system32\cdnns.dll' missing O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O17 - HKLM\System\CCS\Services\Tcpip\..\{3421E99E-8ECA-4473-B8A8-950467EEEA46}: NameServer = 219.232.48.61,210.82.5.1 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O20 - Winlogon Notify: ImpsSensor - C:\WINDOWS\SYSTEM32\ImpsSensor.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O23 - Service: 卡巴斯基互联网安全套装 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing) O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\Shared\hpqwmi.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - d:\Program Files\SiSoftware\SiSoftware Sandra Professional 2005\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - d:\Program Files\SiSoftware\SiSoftware Sandra Professional 2005\RpcSandraSrv.exe O23 - Service: USBDeviceService - Unknown owner - C:\Program Files\Sonic\DigitalMedia Plus v7\MyDVD Plus\USBDeviceService.exe

rebirthatsix机器人#9 · 2006/11/14

看到不少不知道的服务 sandra和LightScribe这个是什么