当前位置：首页 → 问答吧 → 疑似中了 AdWare

疑似中了 AdWare

时间：2014-01-01

来源：互联网

用 FireFox 就有好多网页弹出来，用 IE 就有写明系 Ad by Lucky Leap 出来
曾经爬过文，看过有类似 Case, 因为不想麻烦版主，我会尝试跟随之前的帖去试做，但系有一个问题想请教版主
就系第一次做 HijackThis Scan 既时候，有无咩需要注意的地方，因为我留意到版主会叫人用 Safe Mode 去做 Check and Fix, 咁系唔系第一次做既时候就唔需要在 Safe Mode 做呢 ?
另外如果有个 Log File 之后，怎样可以知道那些是恶意程式呢 ???
我用的是 Windows Vista, 先谢谢版主

[ 本帖最后由 kitsing 於 2013-12-14 10:28 PM 编辑 ]

作者: kitsing 发布时间: 2014-01-01

引用:原帖由 kitsing 於 2013-12-13 01:44 AM 发表
用 FireFox 就有好多网页弹出来，用 IE 就有写明系 Ad by Lucky Leap 出来
曾经爬过文，看过有类似 Case, 因为不想麻烦版主，我会尝试跟随之前的帖去试做，但系有一个问题想请教版主
就系第一次做 HijackThis Scan ...

楼主先做份Hijackthis扫瞄报告贴上。

事非必要,请勿在安全模式做Hijackthis扫瞄报告。

每个中Adware个案都会唔同,fix checked档案亦会因系统及其他问题而定; 在安全模式fix checked是可以较彻底删除可疑程式。

作者: SILVESTERABEND 发布时间: 2014-01-01

引用:原帖由 SILVESTERABEND 於 2013-12-13 10:02 AM 发表

楼主先做份Hijackthis扫瞄报告贴上。

事非必要,请勿在安全模式做Hijackthis扫瞄报告。

每个中Adware个案都会唔同,fix checked档案亦会因系统及其他问题而定; 在安全模式fix checked是可以较彻底删除可疑 ...

先谢谢版主，待回家后再把昨晚所做的Hijackthis扫瞄报告上载

作者: kitsing 发布时间: 2014-01-01

现在附上刚刚重新开机后所做的 HijackThis 扫瞄报告

hijackthis.log (8.72 KB)

2013-12-13 10:38 PM, 下载次数: 5

作者: kitsing 发布时间: 2014-01-01

引用:原帖由 kitsing 於 2013-12-13 10:38 PM 发表

现在附上刚刚重新开机后所做的 HijackThis 扫瞄报告

楼主系统装左两套防毒软件Avast & Ad-Aware Antivirus,建议先移除其中1套。

作者: SILVESTERABEND 发布时间: 2014-01-01

开机按F8,入安全模式做Fix checked & OTM 删除。
1. 执行Hijackthis > Do a system scan only > 勾选下列项目 > 按Fix Checked (fix checked时关闭所有browsers/程式) > 按"是"。

引用:
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.5.4.11.dll
O2 - BHO: BrowserHelper - {4BF2CB0E-658A-442B-AC83-A64EC2150BFC} - C:\ProgramData\PPBrowserHelper\BHO\TipsBHO.dll
O2 - BHO: lucky leap - {d77aa852-def3-43cb-a3f5-bd679de72f32} - C:\Program Files\lucky leap\luckyleapbho.dll
O2 - BHO: PPStream Video Acc Helper - {FB4F6285-4C32-49F2-950F-A5998F9CEC6C} - C:\Program Files\PPStream\plugins\IEHelper.dll

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [PPS Accelerator] C:\Program Files\PPStream\PPSKernel.exe
O4 - HKCU\..\Run: [PPAP] "C:\Program Files\Common Files\PPLiveNetwork\PPAP.EXE" -background
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\PROGRA~1\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Users\compaq\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [PPS Accelerator] C:\Program Files\PPStream\PPSKernel.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [PPS Accelerator] C:\Program Files\PPStream\PPSKernel.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [PPS Accelerator] C:\Program Files\PPStream\PPSKernel.exe (User 'Default user')
O4 - Global Startup: McAfee Security Scan Plus.lnk = C:\Program Files\McAfee Security Scan\3.0.285\SSScheduler.exe

O8 - Extra context menu item: &使用BitComet下载 - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &使用BitComet下载全部连结 - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Program Files\PPLive\PPTV\PPLive.exe
O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Program Files\PPLive\PPTV\PPLive.exe
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.5.4.11.dll/206 (file missing)
O18 - Protocol: KuGoo - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\PROGRA~1\KuGou\KGMusic\KUGOO3~1.OCX
O18 - Protocol: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\PROGRA~1\KuGou\KGMusic\KUGOO3~1.OCX
O20 - AppInit_DLLs: c:\progra~1\contin~1\sprote~1.dll c:\progra~1\softqu~1\sprote~1.dll
O23 - Service: Update lucky leap - Unknown owner - C:\Program Files\lucky leap\updateluckyleap.exe
O23 - Service: Util lucky leap - Unknown owner - C:\Program Files\lucky leap\bin\utilluckyleap.exe

2. 下载/执行 OTM做删除。
copy & paste 以下项目於Paste Instructions for Items to be Moved的框格内。
按MoveIt > OK > 重启电脑。

引用:
:files
C:\Program Files\PPStream\PPSKernel.exe
C:\Program Files\Tencent\QQ\QQProtect\Bin\QQProtect.exe
C:\Program Files\BitComet\tools\BitCometBHO_1.5.4.11.dll
C:\ProgramData\PPBrowserHelper\BHO\TipsBHO.dll
C:\Program Files\lucky leap\luckyleapbho.dll
C:\Program Files\PPStream\plugins\IEHelper.dll
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files\Common Files\PPLiveNetwork\PPAP.EXE
c:\progra~1\contin~1\sprote~1.dll
c:\progra~1\softqu~1\sprote~1.dll
C:\Program Files\lucky leap\updateluckyleap.exe
C:\Program Files\lucky leap\bin\utilluckyleap.exe

3. 下载/执行Junkware Removal Tool扫毒。执行扫毒前请关闭所有浏览器同程式。
(JRT会自动删除附於浏览器的恶意程式/档案/登录档)

4. 关闭所有防毒软件(包括Windows Defender),下载ComboFix至桌面 ,执行 ComboFix 扫毒。
扫瞄时不要执行其他程式或点击 ComboFix视窗。
完成扫瞄后,ComboFix 报告会自动弹出。

请贴上以下报告:
a. JRT扫毒报告。
b. ComboFix扫毒报告。
c. 新1份Hijackthis扫瞄报告。

作者: SILVESTERABEND 发布时间: 2014-01-01

引用:原帖由 SILVESTERABEND 於 2013-12-14 09:11 AM 发表

楼主系统装左两套防毒软件Avast & Ad-Aware Antivirus,建议先移除其中1套。

我已经移除 Ad-Aware Antivirus 了

作者: kitsing 发布时间: 2014-01-01

引用:原帖由 SILVESTERABEND 於 2013-12-14 09:23 AM 发表
开机按F8,入安全模式做Fix checked & OTM 删除。
1. 执行Hijackthis > Do a system scan only > 勾选下列项目 > 按Fix Checked (fix checked时关闭所有browsers/程式) > 按"是"。

2. 下载/执行 OTM做删除。
cop ...

谢谢版主的帮忙，现在附上三份报告

JRT.txt (7.95 KB)

2013-12-14 12:04 PM, 下载次数: 2

ComboFix.txt (24.14 KB)

2013-12-14 12:04 PM, 下载次数: 4

hijackthis.log (5.06 KB)

2013-12-14 12:04 PM, 下载次数: 2

作者: kitsing 发布时间: 2014-01-01

1. 下载/执行 AdwCleaner (Xplode) 扫毒。(先按Scan扫瞄,扫到毒按[Clean] 删除)
(执行AdwCleaner关闭所有浏览器/程式)

2.下载 OTL.exe於桌面。双按OTL.exe > 按Run Scan > 完成后请将OTL扫瞄报告(OTL.txt)贴上。
(OTL扫瞄需时较长,请耐心等候)

请贴上以下报告:
a. AdwCleaner删毒报告。
b. OTL.txt扫瞄报告。

作者: SILVESTERABEND 发布时间: 2014-01-01

引用:原帖由 SILVESTERABEND 於 2013-12-14 03:03 PM 发表
1. 下载/执行 AdwCleaner (Xplode) 扫毒。(先按Scan扫瞄,扫到毒按[Clean] 删除)
(执行AdwCleaner关闭所有浏览器/程式)

2.下载 OTL.exe於桌面。双按OTL.exe > 按Run Scan > 完成后请将OTL扫瞄报告(OTL.txt)贴上。 ...

谢谢版主，现在附上两份报告

AdwCleaner.txt (1.85 KB)

2013-12-14 03:27 PM, 下载次数: 3

OTL.Txt (87.32 KB)

2013-12-14 03:27 PM, 下载次数: 3

作者: kitsing 发布时间: 2014-01-01

引用:原帖由 kitsing 於 2013-12-14 03:27 PM 发表

谢谢版主，现在附上两份报告

开网页重见唔见有lucky leap ?

建议移除Firefox(不要保留旧设定) > 重启电脑 > 重新安装Firefox。

作者: SILVESTERABEND 发布时间: 2014-01-01

引用:原帖由 SILVESTERABEND 於 2013-12-14 04:16 PM 发表

开网页重见唔见有lucky leap ?

建议移除Firefox(不要保留旧设定) > 重启电脑 > 重新安装Firefox。

用 IE 开已经无左 Ad by Lucky Leap
但系有时用 Firebox 同 IE 开同一个网页，Firebox 顶部有个位系 Ad, 写著 Ads not by this site
如果我重新安装 Firebox，我可唔可以留返低 d bookmarks ???

作者: kitsing 发布时间: 2014-01-01

引用:原帖由 kitsing 於 2013-12-14 04:25 PM 发表

用 IE 开已经无左 Ad by Lucky Leap
但系有时用 Firebox 同 IE 开同一个网页，Firebox 顶部有个位系 Ad, 写著 Ads not by this site
如果我重新安装 Firebox，我可唔可以留返低 d bookmarks ???

我重新安装 Firebox 之后，已经没有问题了，谢谢版主

作者: kitsing 发布时间: 2014-01-01

引用:原帖由 kitsing 於 2013-12-14 04:56 PM 发表

我重新安装 Firebox 之后，已经没有问题了，谢谢版主

You're welcome.

1. 如果系统运作正常,请跟#8帖移除Hijackthis/ComboFix等等的扫瞄软件。
http://computer.uwants.com/viewthread.php?tid=12999541&extra=page%3D1

2. 请用CCleaner Free删除temp files/登录档,用Windows预载defrag功能,做番1次磁碟重组(defrag)。

3. 请将[病毒移除]主题改为[已解决]。Tks.

作者: SILVESTERABEND 发布时间: 2014-01-01

引用:原帖由 SILVESTERABEND 於 2013-12-14 09:23 PM 发表

You're welcome.

1. 如果系统运作正常,请跟#8帖移除Hijackthis/ComboFix等等的扫瞄软件。
http://computer.uwants.com/viewthread.php?tid=12999541&extra=page%3D1

2. 请用CCleaner Free ...

已移除扫瞄软件和删除temp files/登录档，主题已改为[已解决]
谢谢版主帮忙

作者: kitsing 发布时间: 2014-01-01