shinomen68
一般會員
積分 524
發文 131
註冊 2008-3-31
狀態 離線
|
#1 【已解決】關于HHClientName.dll病毒
電腦開機NOD32Antivirus3.0.658.0報告如下:
“檔案 C:\Windows\system32\HHClientName.dll
威脅 Win32/FlyStudio.NUH木馬
一些計劃要清除的檔案正在執行中或被其他程式使用中。要令清楚的過程有效,重新啟動電腦是必要的。”
重新啟動後還是出現同樣的警告,請問各位高手,上述檔案是什麼檔案?為何無法刪除?要如何處理?感恩!!!
[ Last edited by shinomen68 on 2009-10-23 at 11:29 AM ]
|
|
2009-10-2 02:42 AM |
|
rambocnc
中級會員
積分 864
發文 162
註冊 2006-8-7
狀態 離線
|
#2
建議你先到更新病毒碼後,再去安全模式下去執行。
或是去趨勢(pccilin)的網站,下載病毒清除工具sysclean + tsc和]最新的病毒碼。把它們解壓到同一個資料夾內,放到桌面上,重開機到安全模式下,再去執裡頭的sysclean.com,幫您掃瞄及清毒。
提供連結請按下方
毒清除工具sysclean + tsc
病毒碼
[ Last edited by rambocnc on 2009-10-2 at 11:32 AM ]
|
|
2009-10-2 11:12 AM |
|
shinomen68
一般會員
積分 524
發文 131
註冊 2008-3-31
狀態 離線
|
#3
謝謝你的指教,不過小弟還是不會用。能否指教C:\Windows\system32\HHClientName.dll到底是什么類型的檔案?如果刪除後有沒有什么後果?該檔案是不是WINDOWS程式裡的檔案?
|
|
2009-10-3 10:45 AM |
|
rambocnc
中級會員
積分 864
發文 162
註冊 2006-8-7
狀態 離線
|
#4
Quote: | Originally posted by shinomen68 at 2009-10-3 10:45 AM:
謝謝你的指教,不過小弟還是不會用。能否指教C:\Windows\system32\HHClientName.dll到底是什么類型的檔案?如果刪除後有沒有什么後果?該檔案是不是WINDOWS程式裡的檔案? |
|
因為我使用的兩台電腦中並沒有 HHClientName.dll 這個檔案,所以它應不屬 Windows 作業系統本身的檔案。 請回想您最近是否安裝什麼軟體或執行過什麼動作(例:開啟並執行E-mail或MSN之類的附加檔)。
依據prevx防毒的說法:
這個檔案是俗稱偽裝(或匿名)檔案的惡意軟體檔
它的目的是
1.會在磁碟機上建立成為一個處理序的程式。
2.以處理序從磁碟上執行刪除動作。
3.註冊為一個動態連結程式庫檔案。
這隻病毒是在2009年9月17號於台灣在第一次被發現到。
其檔案大小為:2,536,960 位元組
[ Last edited by rambocnc on 2009-10-3 at 06:00 PM ]
|
|
2009-10-3 05:55 PM |
|
shinomen68
一般會員
積分 524
發文 131
註冊 2008-3-31
狀態 離線
|
#5
謝謝大大的賜教,我試過了各種方法,可是還是沒辦法清除掉。
|
|
2009-10-15 06:19 AM |
|
rambocnc
中級會員
積分 864
發文 162
註冊 2006-8-7
狀態 離線
|
#6
請問您HHClientName.dll這個檔案, 還留在C:\Windows\system32\嗎?
您說過用PREVX3.0及它掃毒程式說找不到。如此問,只是要確認一下,檔案是否已刪掉了,尚有其它可能(例:登錄機碼還留著沒清除)。
PREVX都已發佈了這個訊息,並表示尚未對此檔做處理,應該是解毒方法還沒出來,但不至偵測不到(因為NOD32都偵測到了)。
如果防毒軟體尚未有解毒程式或方法,建議你使用微軟提供(站內也有)Autoruns或Process Monitor搭配Unlock,來自行解決。只是您要懂得操作這些程式。
如有需要請把檔案複製一個出來,重新命名並壓縮檔,寄到我的信箱。幫您研究看看。
[ Last edited by rambocnc on 2009-10-15 at 07:02 AM ]
|
|
2009-10-15 06:37 AM |
|
shinomen68
一般會員
積分 524
發文 131
註冊 2008-3-31
狀態 離線
|
#7
真的感謝大大這樣一直指教,確實我每次開機HHClientName.dll這個檔案, 還留在C:\Windows\system32\裡,NOD說已利用刪除的方式清除,並說已隔離。可是隔一下又會跑出來同樣的警告,我有擷圖出來,可是在回覆主題這裡沒辦法貼上,大大可否告訴我要如何操作,或給我信箱地址,我再寄給你。我用PREVX3.0有掃到別的木馬,就是掃不到HHClientName.dll,而且要code才能刪除,所以也不知道要如何辦?
|
|
2009-10-16 04:27 AM |
|
rambocnc
中級會員
積分 864
發文 162
註冊 2006-8-7
狀態 離線
|
#8
Quote: | Originally posted by shinomen68 at 2009-10-16 04:27 AM:
真的感謝大大這樣一直指教,確實我每次開機HHClientName.dll這個檔案, 還留在C:\Windows\system32\裡,NOD說已利用刪除的方式清除,並說已隔離。可是隔一下又會跑出來同樣的警告,我有擷圖出來,可是在回覆主題這 ... |
|
擷圖您必須將圖片放到網路硬碟或部落格之類的空間(例如:box.net、skydrive),再用插人圖像超連結該圖檔,到論壇上。
依您所述這隻病毒的HHClientName.dl(動能連結檔),應該會和其它程式的處理序相結合或共用某些程式。
所以並不容易處理,極有可能會偽裝成一個處理序,並和網路相關的程式結合或共用它的處理序或連結檔之類...。
或許你尚需要拔掉網路線,關閉系統還原(如有開啟的話),並清除瀏覽器所有的暫存檔包括cookies...(磁碟清理),再到安全模式執行清毒。
之後再用清除登錄機碼的程式(例:CCleaner、RegSeeker....)清理不必要的登錄機碼。
PS.如果你電腦有安裝並使用其它的"瀏覽器"都要去執行清除暫存檔。
另外想問的是你有沒有使用msn或即時通的軟體(含信箱),有的話,最近會不會收到联絡人寄送的附加檔案
[ Last edited by rambocnc on 2009-10-21 at 06:29 PM ]
|
|
2009-10-16 06:09 AM |
|
shinomen68
一般會員
積分 524
發文 131
註冊 2008-3-31
狀態 離線
|
#9
[ Last edited by shinomen68 on 2009-10-16 at 06:50 AM ]
|
|
2009-10-16 06:47 AM |
|
rambocnc
中級會員
積分 864
發文 162
註冊 2006-8-7
狀態 離線
|
|
2009-10-16 07:16 AM |
|
shinomen68
一般會員
積分 524
發文 131
註冊 2008-3-31
狀態 離線
|
#11 請大大幫忙解決
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 下午 09:35:11, on 2009/10/15
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Google\Google Pinyin 2\GooglePinyinDaemon.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Users\123\應用程式\WinCam_2.0\Windows照相機\wincam.exe
C:\Users\123\Downloads\HiJackThis\HijackThis.exe
C:\Windows\system32\SearchProtocolHost.exe
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.32.0\gears.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Dr.eye WebPage Translation - {92B255FE-94E2-4BCA-958D-3926CE38913F} - C:\Program Files\Inventec\Dreye\DreyeMT\DreyeIEBar.dll
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Google Pinyin 2 Autoupdater] "C:\Program Files\Google\Google Pinyin 2\GooglePinyinDaemon.exe"
O4 - HKLM\..\Run: [FinePrint 分派器 v5] "C:\Windows\system32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: 匯出至 Microsoft Excel(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: 匯出至 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.32.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears Settings - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.32.0\gears.dll
O9 - Extra button: 參考資料 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {AEF9B8DB-0DEF-4c0b-8209-661C9E82B8C3} - (no file)
O13 - Gopher Prefix:
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Google Update Service (gupdate1c9ac3f2567ab70) (gupdate1c9ac3f2567ab70) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HHServerName - Unknown owner - C:\Windows\system32\HHClientName.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Program Files\Photodex\ProShowProducer\ScsiAccess.exe
O23 - Service: Surzzzuii - Unknown owner - C:\Windows\system32\Aeoeruzio.exe
O23 - Service: UFD Command Service (UFDSVC) - Generic - C:\Windows\system32\ufdsvc.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
--
End of file - 5212 bytes
|
|
2009-10-16 11:42 AM |
|
shinomen68
一般會員
積分 524
發文 131
註冊 2008-3-31
狀態 離線
|
#12
StartupList report, 2009/10/15, 下午 09:36:53
StartupList version: 1.52.2
Started from : C:\Users\123\Downloads\HiJackThis\HijackThis.EXE
Detected: Windows Vista SP2 (WinNT 6.00.1906)
Detected: Internet Explorer v8.00 (8.00.6001.18828)
* Using default options
* Showing rarely important sections
==================================================
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Google\Google Pinyin 2\GooglePinyinDaemon.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Users\123\應用程式\WinCam_2.0\Windows照相機\wincam.exe
C:\Users\123\Downloads\HiJackThis\HijackThis.exe
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\Windows\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
egui = "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
Google Pinyin 2 Autoupdater = "C:\Program Files\Google\Google Pinyin 2\GooglePinyinDaemon.exe"
FinePrint 分派器 v5 = "C:\Windows\system32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
RocketDock = "C:\Program Files\RocketDock\RocketDock.exe"
Sidebar = C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
ISUSPM Startup = "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[OptionalComponents]
=
--------------------------------------------------
Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)
[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\Windows\system32\unregmp2.exe /ShowWMP
[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = C:\Windows\system32\ie4uinit.exe -UserIconConfig
[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] *
StubPath = "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
[{6BF52A52-394A-11d3-B153-00C04F79FAA6}] *
StubPath = %SystemRoot%\system32\unregmp2.exe /FirstLogon /Shortcuts /RegBrowsers /ResetMUI
[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll
[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = C:\Windows\system32\ie4uinit.exe -BaseSettings
[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *
StubPath = C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
--------------------------------------------------
Shell & screensaver key from C:\Windows\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=explorer.exe
SCRNSAVE.EXE=C:\Windows\system32\GPhotos.scr
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Checking for EXPLORER.EXE instances:
C:\Windows\Explorer.exe: PRESENT!
C:\Explorer.exe: not present
C:\Windows\Explorer\Explorer.exe: not present
C:\Windows\System\Explorer.exe: not present
C:\Windows\System32\Explorer.exe: not present
C:\Windows\Command\Explorer.exe: not present
C:\Windows\Fonts\Explorer.exe: not present
--------------------------------------------------
Checking for superhidden extensions:
.lnk: HIDDEN! (arrow overlay: NO!)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: not hidden
.shb: *Registry key not found*
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden
--------------------------------------------------
Verifying REGEDIT.EXE integrity:
- Regedit.exe found in C:\Windows
- .reg open command is normal (regedit.exe %1)
- Company name OK: 'Microsoft Corporation'
- Original filename NOT OK: 'REGEDIT.EXE.MUI'
- File description: 'Registry Editor'
Registry check failed!
--------------------------------------------------
Enumerating Browser Helper Objects:
(no name) - (no file) - {02478D38-C3F9-4efb-9B51-7695ECA05670}
(no name) - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
Google Gears Helper - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.32.0\gears.dll - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53}
--------------------------------------------------
Enumerating Task Scheduler jobs:
GoogleUpdateTaskMachineCore.job
GoogleUpdateTaskMachineUA.job
SmartDefrag.job
User_Feed_Synchronization-{BD3F459D-1E5B-4ACD-824F-7080E721AC84}.job
User_Feed_Synchronization-{DC52B80B-D23C-47D8-8664-581EF72DF5DE}.job
--------------------------------------------------
Enumerating Winsock LSP files:
NameSpace #1: C:\Windows\system32\NLAapi.dll
NameSpace #2: C:\Windows\system32\napinsp.dll
NameSpace #3: C:\Windows\system32\pnrpnsp.dll
NameSpace #4: C:\Windows\system32\pnrpnsp.dll
--------------------------------------------------
Enumerating Windows NT/2000/XP services
@%SystemRoot%\system32\aelupsvc.dll,-1: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Agere Modem Call Progress Audio: C:\Windows\system32\agrsmsvc.exe (autostart)
@%SystemRoot%\system32\audiosrv.dll,-204: %SystemRoot%\System32\svchost.exe -k LocalSystemNetworkRestricted (autostart)
@%SystemRoot%\system32\audiosrv.dll,-200: %SystemRoot%\System32\svchost.exe -k LocalServiceNetworkRestricted (autostart)
@%SystemRoot%\system32\bfe.dll,-1001: %systemroot%\system32\svchost.exe -k LocalServiceNoNetwork (autostart)
@%SystemRoot%\system32\qmgr.dll,-1000: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
@%systemroot%\system32\browser.dll,-100: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
@%SystemRoot%\system32\cryptsvc.dll,-1001: %SystemRoot%\system32\svchost.exe -k NetworkService (autostart)
@oleres.dll,-5012: %SystemRoot%\system32\svchost.exe -k DcomLaunch (autostart)
@%SystemRoot%\system32\dhcpcsvc.dll,-100: %SystemRoot%\system32\svchost.exe -k LocalServiceNetworkRestricted (autostart)
@%SystemRoot%\System32\dnsapi.dll,-101: %SystemRoot%\system32\svchost.exe -k NetworkService (autostart)
@%systemroot%\system32\dps.dll,-500: %SystemRoot%\System32\svchost.exe -k LocalServiceNoNetwork (autostart)
EAMON: system32\DRIVERS\eamon.sys (autostart)
Eset Service: "C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe" (autostart)
eLock Service: C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe (autostart)
@%SystemRoot%\system32\emdmgmt.dll,-1000: %systemroot%\system32\svchost.exe -k LocalSystemNetworkRestricted (autostart)
eNet Service: C:\Acer\Empowering Technology\eNet\eNet Service.exe (autostart)
eRecovery Service: C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe (autostart)
eSettings Service: C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe (autostart)
@%SystemRoot%\system32\wevtsvc.dll,-200: %SystemRoot%\System32\svchost.exe -k LocalServiceNetworkRestricted (autostart)
@comres.dll,-2450: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
@%systemroot%\system32\fdrespub.dll,-100: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
@gpapi.dll,-112: %windir%\system32\svchost.exe -k GPSvcGroup (autostart)
Google Update Service (gupdate1c9ac3f2567ab70): "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc (autostart)
HHServerName: C:\Windows\system32\HHClientName.exe (autostart)
@%SystemRoot%\System32\hidserv.dll,-101: %SystemRoot%\system32\svchost.exe -k LocalSystemNetworkRestricted (autostart)
@%SystemRoot%\system32\ikeext.dll,-501: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
int15: \??\C:\Acer\Empowering Technology\eRecovery\int15.sys (autostart)
IrDA Protocol: system32\DRIVERS\irda.sys (autostart)
@%SystemRoot%\System32\irmon.dll,-2000: %SystemRoot%\system32\svchost.exe -k LocalSystemNetworkRestricted (autostart)
@comres.dll,-2946: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart)
@%systemroot%\system32\srvsvc.dll,-100: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
@%systemroot%\system32\wkssvc.dll,-100: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
LightScribeService Direct Disc Labeling Service: "C:\Program Files\Common Files\LightScribe\LSSrvc.exe" (autostart)
Link-Layer Topology Discovery Mapper I/O Driver: system32\DRIVERS\lltdio.sys (autostart)
@%SystemRoot%\system32\lmhsvc.dll,-101: %SystemRoot%\system32\svchost.exe -k LocalServiceNetworkRestricted (autostart)
UAC File Virtualization: \SystemRoot\system32\drivers\luafv.sys (autostart)
Machine Debug Manager: "C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE" (autostart)
@%systemroot%\system32\mmcss.dll,-100: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
MobilityService: C:\Acer\Mobility Center\MobilityService.exe -p (autostart)
@%SystemRoot%\system32\FirewallAPI.dll,-23090: %SystemRoot%\system32\svchost.exe -k LocalServiceNoNetwork (autostart)
@%SystemRoot%\system32\netprof.dll,-246: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
@%SystemRoot%\System32\nlasvc.dll,-1: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart)
@%SystemRoot%\system32\nsisvc.dll,-200: %systemroot%\system32\svchost.exe -k LocalService (autostart)
Parvdm: system32\DRIVERS\parvdm.sys (autostart)
@%SystemRoot%\system32\pcasvc.dll,-1: %systemroot%\system32\svchost.exe -k LocalSystemNetworkRestricted (autostart)
PEAUTH: system32\drivers\peauth.sys (autostart)
@%SystemRoot%\system32\umpnpmgr.dll,-100: %SystemRoot%\system32\svchost.exe -k DcomLaunch (autostart)
@%systemroot%\system32\profsvc.dll,-300: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
ProtexisLicensing: C:\Windows\system32\PSIService.exe (autostart)
@oleres.dll,-5010: %SystemRoot%\system32\svchost.exe -k rpcss (autostart)
Link-Layer Topology Discovery Responder: system32\DRIVERS\rspndr.sys (autostart)
@%SystemRoot%\system32\samsrv.dll,-1: %SystemRoot%\system32\lsass.exe (autostart)
@%SystemRoot%\system32\schedsvc.dll,-100: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
ScsiAccess: C:\Program Files\Photodex\ProShowProducer\ScsiAccess.exe (autostart)
@%SystemRoot%\System32\shsvcs.dll,-12288: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
@%SystemRoot%\system32\SLsvc.exe,-101: %SystemRoot%\system32\SLsvc.exe (autostart)
Print Spooler: %SystemRoot%\System32\spoolsv.exe (autostart)
Windows Image Acquisition (WIA): %SystemRoot%\system32\svchost.exe -k imgsvc (autostart)
Surzzzuii: C:\Windows\system32\Aeoeruzio.exe (autostart)
@%SystemRoot%\system32\sysmain.dll,-1000: %systemroot%\system32\svchost.exe -k LocalSystemNetworkRestricted (autostart)
@%SystemRoot%\system32\TabSvc.dll,-100: %SystemRoot%\System32\svchost.exe -k LocalSystemNetworkRestricted (autostart)
@%SystemRoot%\system32\tbssvc.dll,-100: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
TCP/IP Registry Compatibility: System32\drivers\tcpipreg.sys (autostart)
@%SystemRoot%\System32\termsrv.dll,-268: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart)
@%SystemRoot%\System32\shsvcs.dll,-8192: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
@%SystemRoot%\system32\trkwks.dll,-1: %SystemRoot%\System32\svchost.exe -k LocalSystemNetworkRestricted (autostart)
UFD Command Service: C:\Windows\system32\ufdsvc.exe (autostart)
@%systemroot%\system32\upnphost.dll,-213: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
@%SystemRoot%\system32\dwm.exe,-2000: %SystemRoot%\System32\svchost.exe -k LocalSystemNetworkRestricted (autostart)
@%SystemRoot%\system32\w32time.dll,-200: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
@%systemroot%\system32\webclnt.dll,-100: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
@%ProgramFiles%\Windows Defender\MsMpRes.dll,-103: %SystemRoot%\System32\svchost.exe -k secsvcs (autostart)
@%Systemroot%\system32\wbem\wmisvc.dll,-205: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
@%SystemRoot%\System32\wlansvc.dll,-257: %SystemRoot%\system32\svchost.exe -k LocalSystemNetworkRestricted (autostart)
ePower Service: C:\Acer\Empowering Technology\ePower\ePowerSvc.exe (autostart)
@%SystemRoot%\system32\wpdbusenum.dll,-100: %SystemRoot%\system32\svchost.exe -k LocalSystemNetworkRestricted (autostart)
@%SystemRoot%\System32\wscsvc.dll,-200: %SystemRoot%\System32\svchost.exe -k LocalServiceNetworkRestricted (autostart)
@%systemroot%\system32\SearchIndexer.exe,-103: %systemroot%\system32\SearchIndexer.exe /Embedding (autostart)
@%systemroot%\system32\wuaueng.dll,-105: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
@%SystemRoot%\system32\wudfsvc.dll,-1000: %SystemRoot%\system32\svchost.exe -k LocalSystemNetworkRestricted (autostart)
--------------------------------------------------
Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*
Windows NT checkdisk command:
BootExecute = autocheck autochk *
Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\Windows\system32\HHClientName.dll
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
WebCheck: C:\Windows\System32\webcheck.dll
--------------------------------------------------
End of report, 15,408 bytes
Report generated in 0.171 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
|
|
2009-10-16 11:44 AM |
|
shinomen68
一般會員
積分 524
發文 131
註冊 2008-3-31
狀態 離線
|
#13
順便報告大大一下,我沒有用MSN之類的即時通訊,只有SKYPE,不過已經很久沒有開了,而且該病毒出現在我後來使用SKYPE之前,我也沒收到其他附件,記得前一段時間有上過大陸的某些網站找一些程式,有一些下載到最後NOD自動就擋住了,有一些下載成功後,我都有用NOD掃過沒毒後才安裝,因為亂碼所以又卸載了,也記不得是上過哪些站了。我也有用CCLEANER,Wise Registry Cleaner 3清理過注冊表,firefox,internet暫存檔,cookies,磁碟清理等好幾次了,就是沒辦法把HHClientName.dll清除掉,真是陰魂不散。現在只好請大大出馬了,因我是菜鳥,很多東西都不懂,想請問大大一個問題,像WINDOWS TEMP是不是Windows的暫存檔?PREVX掃出來的都是TEMP裡面的毒,我有曾經把TEMP裡面的東西都刪除掉,可是無法刪除,真不知道是怎麼回事?
|
|
2009-10-16 12:18 PM |
|
fm06
資深會員
積分 4493
發文 536
註冊 2005-10-20 來自 蓬萊仙島
狀態 離線
|
#14
你應該在灌好作業系統.跟你所要使用到的一些程式後.馬上用備份程式.作一個備份檔.當你覺得怪怪的.回覆備份檔.輕輕鬆鬆.
|
|
2009-10-17 06:18 AM |
|
rambocnc
中級會員
積分 864
發文 162
註冊 2006-8-7
狀態 離線
|
#15
Quote: | Originally posted by shinomen68 at 2009-10-16 12:18 PM:
順便報告大大一下,我沒有用MSN之類的即時通訊,只有SKYPE,不過已經很久沒有開了,而且該病毒出現在我後來使用SKYPE之前,我也沒收到其他附件,記得前一段時間有上過大陸的某些網站找一些程式,有一些下載到最後 ... |
|
看了HijackThis的 Logfile記錄檔
發現你問題應有如下5項目:
1. O23 - Service: Surzzzuii - Unknown owner - C:\Windows\system32\Aeoeruzio.exe
2. O23 - Service: HHServerName - Unknown owner - C:\Windows\system32\HHClientName.exe
3. HHServerName: C:\Windows\system32\HHClientName.exe (autostart)
4. PendingFileRenameOperations: C:\Windows\system32\HHClientName.dll
5. Enumerating Windows NT logon/logoff scripts:
Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\Windows\system32\HHClientName.dll
所以:
1.你的system32資料夾內應會有HHClientName.exe和Aeoeruzio.exe、HHClientName.dll這個三個檔案
2.到控制台的[系統管理工具/事件檢事器/服務]。查看有無HHClientName或Aeoeruzio相關的名稱,及是否有被設成(已啟動/自動)
3.檢電腦裡是否有'Wininit.ini'檔案存在(C:\WINDOWS),有的用記事本打開或連點2下打開它,看看裡頭是否有 PendingFileRenameOperations: C:\Windows\system32\HHClientName.dll 這段文字的描述。
以上三點請先您確認無誤後,再來解說方法。
另外請打開你的工作排看看裡頭有那些排定的工作存在那裡,因為無法斷定
User_Feed_Synchronization-{BD3F459D-1E5B-4ACD-824F-7080E721AC84}.job
User_Feed_Synchronization-{DC52B80B-D23C-47D8-8664-581EF72DF5DE}.job
這兩個什麼樣的排程程式在執行。
你指的是C:\WINDOWS\TEMP這個對吧!在沒錯WINDOWS TEMP它也是暫存檔資料。
[ Last edited by rambocnc on 2009-10-21 at 06:16 PM ]
|
|
2009-10-18 02:15 AM |
|
shinomen68
一般會員
積分 524
發文 131
註冊 2008-3-31
狀態 離線
|
|
2009-10-18 11:00 AM |
|
shinomen68
一般會員
積分 524
發文 131
註冊 2008-3-31
狀態 離線
|
#17
|
|
2009-10-18 11:07 AM |
|
rambocnc
中級會員
積分 864
發文 162
註冊 2006-8-7
狀態 離線
|
|
2009-10-19 02:27 AM |
|
rambocnc
中級會員
積分 864
發文 162
註冊 2006-8-7
狀態 離線
|
#19
試試以下解決步驟:
1.拔掉網路線、關閉系統還原,重新開機到安全模式
至控制台的[系統管理工具/事件檢事器/服務]。在HHClientName點二下,進入後將HHClientName的啟動頪;Automatic(自動)改成停用,服務狀態:如為已啟動請改成停止,如有Aeoeruzio這項目也比照辦理。
2.因你提供工作排程的圖片,沒有看到{BD3F459D-1E5B-4ACD-824F-7080E721AC84}.job及{DC52B80B-D23C-47D8-8664-581EF72DF5DE}.job這兩項,所以我無法判斷它是什麼程式也無從判斷,所以請您先停用全部的工作排程。
3.執行C:\WINDOWS\regedit.exe的登錄編輯程式,於程式介面,先點選[我的電腦]先按[檔案]/匯出,命名為regbackup或自取命稱。存到你指定資料夾。
再選[編輯/尋找]輸入HHClientName.dll,並配合F3鍵,或找下一個的功能,一一找出所有的HHClientName.dll 機碼,在找到機碼處,按右鍵選刪除。直到出現完成的對話框。
HHClientName.exe和Aeoeruzio.exe比照辦理,全部三個完成尋找及刪除後,關閉登錄編輯程式
4.在工作列按右鍵打開[工作管理員]找出HHClientName或Aeoeruzio的處理序,按結束處理程序,把它結束執行。如遇到無法結束,可借Unlock,把它解除並結束它的處理序。
5.將C:\Windows\system32\Aeoeruzio.exe、HHClientName.exe和HHClientName.dll,這三個檔案刪除。
(或把它重新命Aeoeruzio.vir、HHClientName.vir和HHClientName.vir或壓縮軟體將它們做成壓縮檔,並將它移動到其它磁碟機的資料夾暫時存放,此方式必免防毒誤判可以方便檔案回復並放回原始資料夾,日後證實確為病毒再將它們刪除即可)。
6.原先提供的log在'Wininit.ini'的內文有
PendingFileRenameOperations: C:\Windows\system32\HHClientName.dll 這段文字的描述,但目前提供圖片並沒有。所以請再檢查一次,如有的話,請把那段文字刪除並儲檔,沒有的話就不理會它了。
7.重開機再用防毒軟去掃瞄一次。
如果可正常開機且沒有再出現C:\Windows\system32\HHClientName病毒表示病毒已清除。
如果還會有請再找找是否有以下這些檔案(包括登錄檔)
TEAD.EXE
bb91e5908de5ad97L1 e4bcaae8a385e5869be8a194e7ad89L5.EXE
MVNUVCINE.EXE
MOVSOISIO.EXE
74665437.EXE43688131.EXE
02418258.EXE
因為HHCLIENTNAME.EXE 除了使用Aeoeruzio.exe檔案名稱外,還會使用上述的檔案名稱。
PS.煩請以後發問問題時,請尊重版規,以詢問內容相關做為發問標題,不要以求救、高手之類的標題,否則日後您再發問時,可能會無法得到版友的幫肋。因為遇到相同的問題的版友,就不必再發問可輕易找到相關的文章。
[ Last edited by rambocnc on 2009-10-21 at 08:45 PM ]
|
|
2009-10-20 01:50 AM |
|
shinomen68
一般會員
積分 524
發文 131
註冊 2008-3-31
狀態 離線
|
#20
照著大大所教的,一步一步地做,終於把C:\Windows\system32\HHClientName這隻病毒清除掉了。萬分感謝大大的賜教。
|
|
2009-10-21 11:50 AM |
|