SOS!DeluxeCommunications是什么东东呀?中毒了?

猪一头 · 发表于 2006-10-18 21:31:48

用超级魔法兔子发现这个C:\Program Files\DeluxeCommunications东东,但是删不掉,在安全模式里也删不掉呀,总是显示有什么在使用.帮帮帮帮下落不明

猪一头 · 发表于 2006-10-18 21:41:56

还有的就是,超级魔法兔子和杀毒软件只有安全模式才能打得开.否则刚一打开,就自动关掉了,怎么回来呀,救救!

xiaopingma1 · 发表于 2006-10-19 08:39:53

间谍软件DeluxeCommunications
作者:冠群金辰技术部
文章来源:

概述
别名
AdWare.Win32.SurfSide.ay [Kaspersky],

另请参阅
SurfSideKick · SurfSideKick 3 ·

类别
Adware :  在网页上方或后方的弹出广告的软件，此时主用户界面还不可见，或与产品没有什么关联。

发源
作者
Deluxe Communications

发源日期
2006年9月

检测和删除
手工删除
按照以下步骤从您的机器删除DeluxeCommunications。先备份您的注册表和系统，并设置一个还原点，防止发生错误。
停止运行进程:
利用任务管理器停止以下运行进程：
dxc1205b.exe
1205.exe
%system%\bkd.exe
%windows%\dxcecho.exe
%program_files%\deluxecommunications\dxc.exe
%program_files%\inetget2\dxc1205.exx.exe
%program_files%\common files\misc002\dxc.exe
deluxecommunications.exe
%profile%\local settings\temp\dxcupdater3.exe

撤消 DLL 的注册:
使用 Regsvr32 撤销以下 DLLs 的注册，然后重启：
%program_files%\deluxecommunications\dxccore.dll
%program_files%\deluxecommunications\dxcbho.dll
%system%\dxclib303562752.dll
dxcknwrd.dll

删除自动运行的引用:
访问 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run
如果找到值 HKEY_LOCAL_MACHINE\software\microsoft
\windows\currentversion\run deluxecommunications
HKEY_CURRENT_USER\software\microsoft\windows
\currentversion\run deluxecommunications，立即删除并重启机器

清除注册表:
使用注册表编辑器清除以下注册项（如果存在）：
HKEY_CLASSES_ROOT\clsid\{a8bd6820-6ed7-423e-9558-2d1486b0feea}
HKEY_CURRENT_USER\software\deluxecommunications
HKEY_CURRENT_USER\software\microsoft\internet explorer
\urlsearchhooks {a8bd6820-6ed7-423e-9558-2d1486b0feea}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion
\run deluxecommunications
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion
\uninstall\deluxecommunications
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion
\uninstall\deluxecommunications displayname
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion|
\uninstall\deluxecommunications uninstallstring
HKEY_LOCAL_MACHINE\software\deluxecommunications
HKEY_LOCAL_MACHINE\software\deluxecommunications
\internet explorer pinfo
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer
\urlsearchhooks {a8bd6820-6ed7-423e-9558-2d1486b0feea}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion
\run deluxecommunications

删除文件:
使用资源管理器删除以下文件（如果存在）：
deluxecommunications.exe
dxc.exe
dxc1205.exx.exe
dxc1205b.exe
dxcbho.dll
dxccore.dll
dxcecho.exe
%program_files%\inetget2\dxc1205.exx.exe
%system%\bkd.exe
%system%\dxclib303562752.dll
%windows%\dxcecho.exe
dxcknwrd.dll
dxclib303562752.dll
i18.tmp
1205.exe
bkd.exe
%profile%\local settings\temp\dxcupdater3.exe
%program_files%\common files\misc002\dxc.exe
%program_files%\deluxecommunications\dxc.exe
%program_files%\deluxecommunications\dxcbho.dll
%program_files%\deluxecommunications\dxccore.dll

删除目录:
使用资源管理器删除以下目录（如果存在）：
%program_files%\deluxecommunications
%program_files%\inetget2

调查
文件分析
DeluxeCommunications

调查方式
间谍软件研究中心

猪一头 · 发表于 2006-10-19 12:48:39

谢谢了,我去试下,老是弹出这个东东http://www.dvdforone.com/

猪一头 · 发表于 2006-10-19 12:55:20

你列出的那时在任务管理器结束进程的那些,我一个都没找着.
我是一等菜鸟,有好多地方看不明白,所以不敢动手.因为是公司的机子,好多资料,一旦丢失到最后怎么也解释不清楚

xiaopingma1 · 发表于 2006-10-19 13:54:43

用hijackthis扫描出日志,贴上来看看

jhkwgij · 发表于 2006-10-19 15:12:05

这种属于木马还是病毒？有啥详细介绍没

xiaopingma1 · 发表于 2006-10-19 15:20:30

此为间谍软件,可盗取电脑内信息资料,应该归为木马类
9月份才出的,介绍的比较少

xiaopingma1 · 发表于 2006-10-19 15:26:54

可以参看下面网站,有部分介绍

http://www3.cai.com/securityadvisor/pest/pest.aspx?id=453099974

http://www.kill.com.cn/security_serve/security_Spyware/3358.asp

猪一头 · 发表于 2006-10-19 16:30:55

还在吗,hijackthis这个是什么呀,怎么用呀,告诉我一下呀,我只能进安全模式了.登陆不了桌面,

xiaopingma1 · 发表于 2006-10-19 16:37:16

优秀的辅助杀毒软件HijackThis
到百度或goolge里寻一下,有很多这种软件的介绍和使用说明

猪一头 · 发表于 2006-10-19 17:06:39

谢谢了，我马上行动

猪一头 · 发表于 2006-10-19 17:25:34

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\金山毒霸\KWatch.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
D:\金山毒霸\KPfwSvc.EXE
C:\WINDOWS\SYSTEM32\RUNDLL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\Common Files\{F4E8C8D4-06B3-2052-0224-030322010056}\Update.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Maxthon\Maxthon.exe
D:\查毒辅助软件\HijackThis v1.99 汉化版\HijackThis.exe

你看看

猪一头 · 发表于 2006-10-19 17:27:30

还有的是,我的机子上面还有一个酷站导航呀,怎么也删不净,

猪一头 · 发表于 2006-10-19 17:30:11

C:\Program Files\Common Files\{F4E8C8D4-06B3-2052-0224-030322010056}\Update.exe这个是什么东东,每次进不了桌面的时候都在任务管理器看到update这个东东,在闪一下就不见了,过一会又闪出来,是什么呀!!我的机子要重起多次才能进一次桌面,而且特慢

xiaopingma1 · 发表于 2006-10-19 17:48:57

你只贴出了进程，还有下面很多项，没贴出，你可以细读它的使用说明，有些项可以修复，使用方法比较简单
怕弄错的话，可以先备份。

Update.exe是病毒的勾子，他会定时的到Internet上下病毒或广告，应该在你电脑里，不止这一个Update.exe
可能在每个盘里的System Volume Information目录里也有原病毒在,regedit里的也有

xiaopingma1 · 发表于 2006-10-19 18:00:06

不是所以的Update.exe都是病毒,要仔细看

猪一头 · 发表于 2006-10-20 09:49:52

Logfile of HijackThis v1.99.0
Scan saved at 9:47:48, on 2006-10-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\金山毒霸\KWatch.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
D:\金山毒霸\KPfwSvc.EXE
C:\WINDOWS\SYSTEM32\RUNDLL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\{F4E8C8D4-06B3-2052-0224-030322010056}\Update.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
D:\Maxthon\Maxthon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\查毒辅助软件\HijackThis v1.99 汉化版\HijackThis.exe
C:\WINDOWS\notepad.exe

R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: (no name) - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - (no file)
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O9 - Extra button: 网上点点 - {63A96E48-1CD6-4346-B1EE-F2CA91642FF8} - D:\备份软件\WebCBand.dll (file missing)
O9 - Extra button: 翻译 - {E1CC05A7-50AD-4A1A-8C5E-50145D933731} - D:\备份软件\DFWYBand.dll (file missing)
O20 - AppInit_DLLs: dxclib303562752.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Canon Camera Access Library 8 - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Kingsoft Personal Firewall Service - Kingsoft Corporation - D:\金山毒霸\KPfwSvc.EXE
O23 - Service: Kingsoft Antivirus KWatch Service - Kingsoft Corporation - D:\金山毒霸\KWatch.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Unknown - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)

猪一头 · 发表于 2006-10-20 09:50:29

Logfile of HijackThis v1.99.0
Scan saved at 9:48:06, on 2006-10-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\金山毒霸\KWatch.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
D:\金山毒霸\KPfwSvc.EXE
C:\WINDOWS\SYSTEM32\RUNDLL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\{F4E8C8D4-06B3-2052-0224-030322010056}\Update.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
D:\Maxthon\Maxthon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\查毒辅助软件\HijackThis v1.99 汉化版\HijackThis.exe
C:\WINDOWS\notepad.exe

R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: (no name) - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - (no file)
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O9 - Extra button: 网上点点 - {63A96E48-1CD6-4346-B1EE-F2CA91642FF8} - D:\备份软件\WebCBand.dll (file missing)
O9 - Extra button: 翻译 - {E1CC05A7-50AD-4A1A-8C5E-50145D933731} - D:\备份软件\DFWYBand.dll (file missing)
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O20 - AppInit_DLLs: dxclib303562752.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Canon Camera Access Library 8 - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Kingsoft Personal Firewall Service - Kingsoft Corporation - D:\金山毒霸\KPfwSvc.EXE
O23 - Service: Kingsoft Antivirus KWatch Service - Kingsoft Corporation - D:\金山毒霸\KWatch.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Unknown - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)

猪一头 · 发表于 2006-10-20 09:51:25

还有什么要贴的呀,其实我不怎么会用,也没有使用说明~~~

猪一头 · 发表于 2006-10-20 09:54:20

帮下忙哈,这次看你们的了

xiaopingma1 · 发表于 2006-10-20 14:59:59

用修复 HijackThis
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: (no name) - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - (no file)
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
如果DeluxeCommunications文件删不了
可试试在工作管理员结束explorer.exe进程,此时桌面消失,再打开工作管理员上文件/新工作/浏览,找到DeluxeCommunications看能不能删,如果能,再到文件/新工作,输入explorer.exe,此时桌面又显示出来(上面有些名字可能跟你电脑不一样,我现在在繁体windows下,所以请见凉)
再查打你电脑内还有没有 dxc.exe,有就删了
寻找update.exe,按时间排列,根据你中毒的日期,看有没有跟它日期一样的,有删了,再重启看病毒有没有启动

		自动登录	找回密码
密码			注册

SOS!DeluxeCommunications是什么东东呀?中毒了?

浏览过的版块