解決彈出窗口及AdWare.HBang（第4版）

2019-11-17 04:50:06

字體：大中小

來源：轉載

供稿：網友

endurer　原創2006-02-18　第4版補充：瑞星關于bcsysnote.exe的回復發件人： send@rising.net.cn   發送時間：2006-02-18 13:27:47 尊敬的客戶，您好！
    您的郵件已經收到，感謝您對瑞星的支持。

    我們已經具體分析過您的問題和文件，以下是您上傳的文件的分析結果：
    1.文件名：bcsysnote.exe
    不是病毒
2006-02-17　第3版補充：有網友反映說用殺毒軟件清除AdWare.HBang后無法上網，這是由于O10 - Unknown file in Winsock LSP: c:windowssystem32hbmter.dll
引起的。建議先使用lspfix.exe修復此O10項，再殺毒。

在本文中，由于我使用的是瑞星在線查毒，所以掃描出來的染毒軟件不會被自動清除。2006-02-16　第2版江民KV將bcsysnote.exe報為TrojanClicker.Agent.g2006-02-16　第1版一位同事的電腦，在打開IE時會自動彈出窗口，讓我幫忙弄弄。先打開控制面板里的添加刪除程序，把雅虎助手、Accoona工具欄之類的東東都卸載了，有個名為“RichMedia”的東東，不熟悉，先放它一馬。再打開IE瀏覽器，沒有再彈出窗口。估計彈出窗口是Accoona工具欄引起的。先下載安裝了Maxthon，然后到http://endurer.ys168.com下載HijachThis。用HijachThis修復了如下項目：

R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:/PRogram Files/Accoona/ASearchAssist.dll (file missing)O3 - Toolbar: 完美網譯通 - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - C:/WINDOWS/WORLD2/TOOLBAR/hmtoolbar.dllO3 - Toolbar: (no name) - {F60C7D81-8471-4D40-AAFE-56D318F34C2D} - (no file)

在HijachThis掃描的log中，發現如下可疑項目：

O2 - BHO: HBObject Class - {AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1} - C:/PROGRA~1/HBClient/tbhelper.dllO4 - HKLM/../Run: [ADShow] C:/WINDOWS/system32/bcsysnote.exO4 - HKLM/../Run: [RichMedia] C:/WINDOWS/system32/Rundll32.exe "C:/PROGRA~1/HBClient/tbhelper.dll",WaitWindowsO10 - Unknown file in Winsock LSP: c:/windows/system32/hbmter.dll
O10 - Unknown file in Winsock LSP: c:/windows/system32/hbmter.dll

用瑞星在線免費查毒掃描C盤，結果如下：

2006-2-16 9:54:52 瑞星殺毒助手
Windows xp Service Pack 2(5.1.2600)
文件名病毒名
C:/WINDOWS/system32/hbmter.dll AdWare.HBang.e
C:/WINDOWS/HHelp.dll AdWare.HBang.e
C:/Program Files/HBClient/tbhelper.dll AdWare.HBang.c
C:/System Volume Information/_restore{1F034AFA-4C43-49F7-AC54-375A02EF3410}/RP27/A0007902.dll AdWare.HBang.e
...............（endurer注：都在系統還原文件夾中，幾十個，這里省略了。）
C:/System Volume Information/_restore{1F034AFA-4C43-49F7-AC54-375A02EF3410}/RP41/A0019849.rbf AdWare.Hbang.a
C:/System Volume Information/_restore{1F034AFA-4C43-49F7-AC54-375A02EF3410}/RP41/A0019850.msi>>Msi.e.exe AdWare.Hbang.a

原來那個“添加刪除程序”里的那個名為“RichMedia”的東東居然是AdWare.Hbang。到http://endurer.ys168.com下載lspfix.exe修復了

O10 - Unknown file in Winsock LSP: c:/windows/system32/hbmter.dll

這一項。到http://endurer.ys168.com下載“瑞星殺毒助手”，先點擊復制瑞星查殺結果列表，然后“保存掃描結果”，接著把病毒文件打包備份，接下來把“直接刪除染毒文件，不放入回收站”鉤上，再點擊“刪除所有染毒文件”。除了C:/WINDOWS/system32/hbmter.dll
C:/WINDOWS/HHelp.dll這兩個外，其它染毒文件都成功刪除了。（還發現一個C:/WINDOWS/HHelp.dat，也刪除了。）點擊“改所有文件名”，再點擊“下次啟動計時刪除”。關于O4 - HKLM/../Run: [ADShow] C:/WINDOWS/system32/bcsysnote.ex用http://virusscan.jotti.org/掃描結果如下： File: bcsysnote.exe Status: INFECTED/MALWARE md5 ae6c494a421c7194be5d14a959cbbbec Packers detected: UPX Scanner results AntiVir Found Trojan/Click.Agent.EE.1 ArcaVir Found Trojan.Clicker.Agent.Ee Avast Found Win32:Trojan-gen. AVG Antivirus Found Clicker.OW BitDefender Found Trojan.Clicker.Agent.EE ClamAV Found Trojan.Clicker.Agent-36 Dr.Web Found Adware.BlogMark F-Prot Antivirus Found nothing Fortinet Found Adware/Agent Kaspersky Anti-Virus Found Trojan-Clicker.Win32.Agent.ee NOD32 Found probably unknown NewHeur_PE (probable variant) Norman Virus Control Found W32/Agent.HJR UNA Found TrojanClicker.Win32.Agent VBA32 Found Trojan-Clicker.Win32.Agent.ee
也是一個病毒。把C:/WINDOWS/system32/bcsysnote.exe打包備份后刪除。*2006-02-16　第2版補充：江民KV將bcsysnote.exe報為TrojanClicker.Agent.g關閉所有瀏覽器和文件夾窗口，用HijackThis重新掃描并修復上面這些可疑項目。重新啟動計算機。重新用瑞星在線免費掃描，沒有發現病毒。

上一篇：Bash readline 使用技巧

下一篇：Apache中的表格實現剖析(1)