【求助】win+e失效 downloader木马

cimery

win+e失效 按下时后台启动两个程序 不知道是啥 不一会mcafee就报毒 Generic Downloader.p 不过能被 mcafee查杀 求助高手解决方案 谢谢啦 图见27楼

[ 本帖最后由 cimery 于 2006-9-17 21:25 编辑 ]

oszhang

用流氓软件专杀工具了没？RogueCleaner试试看？

ibmibeicafy

注册表里有关的内容也要清理掉

cimery

就是用RogueCleaner后还剩下这个残余 安全模式下也不行 注册表里关于ie-bar的都清了 不会要做个启动盘到纯dos下删吧 以前huaci也是这么bt 后来重装系统了
现在的关键是那个子目录能够自动产生 删掉后 f5刷新一下又会出现

oszhang

真TM的够流氓的，还没有碰见过那个砍不死的呢！~
关注中，正好学习了？

cimery

对了 win+E 失效 但是win+r, +f 有效 当我按了win+E后后台有2个程序启动 然后过几秒就报毒 Generic Downloader.p

[ 本帖最后由 cimery 于 2006-9-15 12:02 编辑 ]

qswind

估计有驻留内存的东西在，以前有个病毒，伪装成smss在内存里，后来我在windows目录下找到了这个文件，日期不一样，删除了后就没有问题了，

cimery

安全模式下也会驻留吗 我百度了一下 好像rundll32.exe这个有可能是伪装病毒 但是安全模式下这个进程并没有启动 我查了一下 smss.exe 日期是04年的 应该没问题吧

jack_hongfan

***又是Dll线程插入在作怪!
BS那些流氓LJ东西!

cola8479

是的啊  一中那个东西很麻烦的  删除不了  特别是IE-BAR  
我现在对付的办法就是用GHOST

最爱

看我的帖子，专门杀这个的
http://www.ibmnb.com/thread-419389-1-10.html

truewater

今天也终于遇见了传说中的IE－bar，安全模式下用了很多卸载软件（包括楼上大家推荐的），最后还是很楼主情况一杨，那个文件夹一直删不了，后来在控制面板里面卸载了，估计还有一些残余垃圾。

chaici

什么样的东东都能删除

cimery

回11楼: 我用过那个软件了 搞不定
回楼上: 这个软件目前没使明白
期待楼下xd...

最爱

专杀工具：
http://www.zimoo.net/Soft/SoftShow.Asp?SoftID=36

cimery

HijackThis_815汉化版扫描日志 V1.99.1
保存于      23:58:57, 日期 2006-9-15
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\WINDOWS\VM303_STI.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Stardock ObjectDock Plus 1.3\ObjectDock.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
D:\Maxthon\Maxthon.exe
D:\ThunderMini\program\ThunderMini.exe
C:\Documents and Settings\Cimery\Desktop\HijackThis\HijackThis1991zww.exe

O4 - 启动项HKLM\\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002ASync] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - 启动项HKLM\\Run: [McAfeeUpdaterUI] ; "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - 启动项HKLM\\Run: [Network Associates Error Reporting Service] ; "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - 启动项HKLM\\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - 启动项HKLM\\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - 启动项HKLM\\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - 启动项HKLM\\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - 启动项HKLM\\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - 启动项HKLM\\Run: [TrackPointSrv] tp4serv.exe
O4 - 启动项HKLM\\Run: [TpShocks] TpShocks.exe
O4 - 启动项HKLM\\Run: [Logitech Utility] Logi_MwX.Exe
O4 - 启动项HKLM\\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - 启动项HKLM\\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [QuickTime Task] ; "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Stardock ObjectDock.lnk = D:\Stardock ObjectDock Plus 1.3\ObjectDock.exe
O4 - Global Startup: IE-Bar.lnk = C:\Program Files\Common Files\IE-Bar\iebar.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - IE右键菜单中的新增项目: 使用迷你迅雷下载 - D:\ThunderMini\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\cdnns.dll' missing
O18 - 列举现有的协议: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.0.0792.00.dll
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.0.0792.00.dll
O20 - Winlogon Notify: tpfnf2 - C:\WINDOWS\SYSTEM32\notifyf2.dll
O20 - Winlogon Notify: tphotkey - C:\WINDOWS\SYSTEM32\tphklock.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - NT 服务: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - NT 服务: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - NT 服务: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - NT 服务: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - NT 服务: McAfee Framework 服务 (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - NT 服务: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - NT 服务: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - NT 服务: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - NT 服务: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - NT 服务: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - NT 服务: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE

回15楼热心的xd 那个专杀也删不掉ie-bar那个子目录 贴上hijackthis的报告 达人帮忙瞅瞅

tangjianbin1979

我也遇到这样的情况，就是在华南区下载了那个文件中的IE-BAR，现在在\Program Files\Common Files下有个目录IE-BAR，而且IE偶尔会出现什么内存不能为读的对话框，但是IE不会被关掉，正在找解决的方法

林佑威

我也中了,后来直接选择IE-BAR文件夹里的卸载,就好了...

cimery

谢谢楼上得高人.... 铁鞋原来就是这样得到得...

tangjianbin1979

问题是我的是IE-BAR空目录，谁有IE-BAR的安装程序，我要再装一次

[ 本帖最后由 tangjianbin1979 于 2006-9-16 21:47 编辑 ]

truewater

QUOTE:

原帖由 cimery 于 2006-9-16 21:22 发表
谢谢楼上得高人.... 铁鞋原来就是这样得到得...

楼主一定没仔细看我的帖子，我在前面的帖子就说了用控制面板里面的“添加和删除”可以删除ie－bar的那个文件夹。

DarkClouds

最终如何搞定的？？？？

cimery

QUOTE:

原帖由 truewater 于 2006-9-16 21:48 发表

楼主一定没仔细看我的帖子，我在前面的帖子就说了用控制面板里面的“添加和删除”可以删除ie－bar的那个文件夹。

呵呵 我看到了 但是我得控制面板里得添加删除项没有 我是直接到子目录里运行uninstall得

不过现在还有一个问题就是win+e 依然失效 继续求助...

truewater

QUOTE:

原帖由 DarkClouds 于 2006-9-16 21:56 发表
最终如何搞定的？？？？

估计楼主是用ie-bar自带的卸载的。

cimery

嗯 我是运行ie-bar的子目录里面的uminstall.exe 卸载的

cimery

现在每次按win+e就会有两个后台程序启动 但不知道是什么 然后mcafee就报毒 大家给看看

cimery

顶起来!!!!

DarkClouds

前些日子朋友的机子也是win＋e开不了explore。
同问，
顶上去

cimery

而且一用win+e就报毒