当前位置：首页 → 问答吧 → 求救好似中左TR-BProtector.GEN既病毒[已解决]

求救好似中左TR-BProtector.GEN既病毒[已解决]

时间：2014-05-29

来源：互联网

我唔识点移除

求高手指点

好想移删左佢

唔该你地帮帮手

TR-BProtector.GEN<---系咪木马病毒黎架?

[ 本帖最后由 csk15 於 2014-5-22 05:36 PM 编辑 ]

123.jpg (22.8 KB)

2014-5-18 07:10 PM

用开依个防毒一禁移除就死机

作者: csk15 发布时间: 2014-05-29

引用:原帖由 csk15 於 2014-5-18 07:10 PM 发表
我唔识点移除

求高手指点

好想移删左佢

唔该你地帮帮手

TR-BProtector.GEN

楼主先做Hijackthis扫瞄报告贴上:

下载Hijackthis至桌面 > 按 Install > 按[ Accept] > 按 [Do a system scan and save a logfile ] > 完成扫瞄系统，hijackthis会弹出报告。

储存该扫瞄报告於桌面。把Hijackthis 扫瞄报告贴上。

作者: SILVESTERABEND 发布时间: 2014-05-29

咁样?

hijackthis.log (16.39 KB)

2014-5-19 12:09 AM, 下载次数: 9

this?

作者: csk15 发布时间: 2014-05-29

开机按F8,入安全模式做Fix checked & OTM 删除。
1. 执行Hijackthis > Do a system scan only > 勾选下列项目 > 按Fix Checked (fix checked时关闭所有browsers/程式) > 按"是"。

引用:
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: 瑞俴弝畦温挚狟婥郪璃 - {4ADBABBD-E1CA-4f11-BD01-73B0B6E4B5BA} - C:\Users\User\funshion\funshiontools\FunshionHelper.dll
O2 - BHO: IESpeakDoc - {8D10F6C4-0E01-4BD4-8601-11AC1FDF8126} - C:\Program Files (x86)\Bluetooth Suite\IEPlugIn.dll
C:\Program Files (x86)\Bluetooth Suite\IEPlugIn.dllO2 - BHO: iToolsBHO - {E1499FE7-129D-4B6E-B681-DDF21E14172C} - C:\Program Files (x86)\ThinkSky\iTools 2.0\Extensions\iToolsBHO.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [BrStsMon00] C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe /AUTORUN
O4 - HKLM\..\Run: [QWi-Fi] "D:\Program Files (x86)\Wifigxjl\QWi-Fi.exe"
O4 - HKLM\..\Run: [WSHelperSetup.exe] C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
O4 - HKLM\..\Run: [Wondershare Helper Compact.exe] C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
O4 - HKCU\..\Run: [GarenaPlus] "C:\Program Files (x86)\Garena Plus\GarenaMessenger.exe" -autolaunch
O4 - HKCU\..\Run: [iCloudServices] D:\iCloudServices.exe
O4 - HKCU\..\Run: [ApplePhotoStreams] D:\ApplePhotoStreams.exe
O4 - HKCU\..\Run: [WSHelperSetup.exe] C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
O4 - HKCU\..\Run: [LiveSupport] "C:\Program Files (x86)\LiveSupport\LiveSupport.exe" /noshow /log
O4 - HKCU\..\Run: [QiyiClient] "D:\IQIYI_PPS\iQIYI\QiyiClient.exe" autostart
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - Global Startup: AsusVibeLauncher.lnk = C:\Program Files (x86)\ASUS\AsusVibe\AsusVibeLauncher.exe

O8 - Extra context menu item: &妏蚚&捃泞烛盄狟婥 - C:\Program Files (x86)\Thunder Network\Thunder\BHO\OfflineDownload.htm
O8 - Extra context menu item: &妏蚚&捃泞狟婥 - C:\Program Files (x86)\Thunder Network\Thunder\BHO\geturl.htm
O8 - Extra context menu item: &妏蚚&捃泞狟婥窒蝈诿 - C:\Program Files (x86)\Thunder Network\Thunder\BHO\GetAllUrl.htm
O23 - Service: DriverGenius Core Service (DGPNPSEV) - Unknown owner - D:\KuaiwanGames\AssistantTool\tool\??精?\DgService.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: WIFIGXDHCPSER - Unknown owner - D:\Program Files (x86)\Wifigxjl\bmser.exe

2. 下载/执行 OTM做删除。
copy & paste 以下项目於Paste Instructions for Items to be Moved的框格内。
按MoveIt > OK > 重启电脑。

引用:
:files
D:\IQIYI_PPS\iQIYI\QiyiService.exe
D:\Program Files (x86)\Wifigxjl\bmser.exe
C:\Windows\SysWOW64\dfrg\svc.exe
D:\iCloudServices.exe
D:\ApplePhotoStreams.exe
C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
D:\IQIYI_PPS\iQIYI\QiyiClient.exe
C:\Users\Public\QiYi\QiyiKernel\App\QiyiKernel.exe
D:\IQIYI_PPS\iQIYI\QYFollowVideo.exe
D:\IQIYI_PPS\iQIYI\QiyiFragment.exe
D:\IQIYI_PPS\iQIYI\QiyiPlayer.exe
D:\APSDaemon.exe
C:\Users\User\funshion\funshiontools\FunshionHelper.dll
C:\Program Files (x86)\Bluetooth Suite\IEPlugIn.dll
C:\Program Files (x86)\ThinkSky\iTools 2.0\Extensions\iToolsBHO.dll
C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe
D:\Program Files (x86)\Wifigxjl\QWi-Fi.exe
C:\Program Files (x86)\LiveSupport\LiveSupport.exe

3. 下载/执行Junkware Removal Tool扫毒。执行扫毒前请关闭所有浏览器同程式。
(JRT会自动删除附於浏览器的恶意程式/档案/登录档)

4. 关闭所有防毒软件(包括Windows Defender),下载ComboFix至桌面 ,执行 ComboFix 扫毒。
扫瞄时不要执行其他程式或点击 ComboFix视窗。
完成扫瞄后,ComboFix 报告会自动弹出。

5. 下载 OTL.exe於桌面。双按OTL.exe > 按Run Scan > 完成后请将OTL扫瞄报告(OTL.txt)贴上。
(OTL扫瞄需时较长,请耐心等候)

请贴上以下报告:
a. JRT扫毒报告。
b. ComboFix扫毒报告。
c. OTL.txt扫瞄报告。

作者: SILVESTERABEND 发布时间: 2014-05-29

Finish All Then What Should I Do?

[ 本帖最后由 csk15 於 2014-5-19 08:46 PM 编辑 ]

JRT.txt (5.16 KB)

2014-5-19 08:34 PM, 下载次数: 5

ComboFix扫毒报告.txt (29.35 KB)

2014-5-19 08:34 PM, 下载次数: 4

OTL.Txt (113.6 KB)

2014-5-19 08:38 PM, 下载次数: 6

123.jpg (32.53 KB)

2014-5-19 08:46 PM

完成你所讲既歩骤后系桌面出现左依d野...

作者: csk15 发布时间: 2014-05-29

1. 双按OTL.exe > 将下列档案copy & paste 到Custom Scans/Fixes框架内 > 按左上角[Run Fix];执行fix前要关闭浏览器。
成功fixed (删除)会有通知(Fix complete! Click OK to open the fix log.) >按OK > 重启电脑。

请将OTL fix log贴上。

引用:
:OTL
PRC - [2014/03/27 00:02:48 | 000,053,760 | ---- | M] () -- C:\Windows\SysWOW64\dfrg\svc.exe
IE - HKLM\..\SearchScopes,DefaultScope = {BB74DE59-BC4C-4172-9AC4-73315F71CFFE}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www2.delta-search.com/?affID=119776&babsrc=HP_ss&mntrId=5EEE0008CAF8233D
IE - HKCU\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@funshion.com/npFunshion: C:\Users\User\funshion\funshiontools\npFunshion.dll File not found
[2013/05/02 08:57:50 | 000,000,000 | ---D | M] (No name found) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\profiles\[ofr2][opt]rs0\extensions
[2013/05/02 08:58:58 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\Mozilla Firefox\extensions
CHR - homepage: http://websearch.amaizingsearches.info/?pid=34&r=2014/04/24&hid=7366865989847922326&lg=EN&cc=HK&unqvl=51
CHR - plugin: Error reading preferences file
O2:64bit: - BHO: (no name) - {004B0726-A010-4ABF-8556-FCDB7F1FCA1E} - No CLSID value found.
O2:64bit: - BHO: (BHOImpl Class) - {E1499FE7-129D-4B6E-B681-DDF21E14172C} - C:\Program Files (x86)\ThinkSky\iTools 2.0\Extensions\iToolsBHO64.dll (iTools.hk)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O13 - gopher Prefix: missing
O18:64bit: - Protocol\Handler\livecall - No CLSID value found
O18:64bit: - Protocol\Handler\msnim - No CLSID value found
O18:64bit: - Protocol\Handler\wlmailhtml - No CLSID value found
O18:64bit: - Protocol\Handler\wlpg - No CLSID value found
O20:64bit: - AppInit_DLLs: (c:\PROGRA~3\BitGuard\271832~1.68\{C16C1~1\loader.dll) - c:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\loader.dll ()
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:373E1720

:Files
C:\Program Files\Enigma Software Group
C:\Users\User\AppData\Roaming\PPStream
C:\Users\User\AppData\Roaming\Qiyi
C:\ProgramData\Rightapp software
C:\Users\User\AppData\Roaming\SendSpace
C:\Users\User\AppData\Roaming\Funshion
C:\Users\User\AppData\Roaming\TeamViewer
C:\Users\User\AppData\Roaming\CloudMedia
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\tasks\iToolsDaemon.job
C:\Windows\tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d-Logon.job
C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Users\User\funshion.ini

ipconfig /flushdns /c

:Commands
[PURITY]
[EMPTYTEMP]
[reboot]

2. 下载/执行 AdwCleaner (Xplode) 扫毒。(按[Clean] 扫毒/删除)
(执行AdwCleaner关闭所有浏览器/程式)

3. 下载/安装Malwarebytes Anti-Malware Free 扫毒。更新后做[Threat Scan]扫瞄,扫到毒按Select all > 再按Remove Selected做删除。

请贴上以下报告:
a. AdwCleaner删毒报告。
b. MBAM扫毒报告。
c. 新1份OTL.txt扫瞄报告。

PS:请依次序做上述扫瞄。

作者: SILVESTERABEND 发布时间: 2014-05-29

Finish~Then?

[ 本帖最后由 csk15 於 2014-5-20 03:29 AM 编辑 ]

AdwCleaner删毒报告.txt (4.63 KB)

2014-5-20 01:44 AM, 下载次数: 3

MBAM扫毒报告.txt (1.54 KB)

2014-5-20 01:44 AM, 下载次数: 3

Select all > 再按Remove Selected做删除<找不到扫瞄后自动重启电脑

OTL fix log.txt (14.74 KB)

2014-5-20 01:44 AM, 下载次数: 3

123.jpg (44.81 KB)

2014-5-20 03:29 AM

@@好似少左好多

作者: csk15 发布时间: 2014-05-29

引用:原帖由 csk15 於 2014-5-20 01:44 AM 发表
Finish~Then?

1. 楼主先将4个可疑档案用Avira移除到隔离区(唔使删除)。
2. 从Avira找出上述4个档案路径(位置)贴上黎睇睇。

3. wuzun.dll & loader.dll应该系游戏(game)程式,updater.dll就好多程式都会用(包括防毒),00000001就删除都应该唔会有影响。

基本上系统可疑程式已被删清,楼主睇系咪Avira从其他删毒程式隔离区检测到上述档案。

作者: SILVESTERABEND 发布时间: 2014-05-29

已用Avira移除到隔离区...
同埋我想问下当所有病毒删除之后,系咪可以将你所教我下载既程式删除?(包括所有图文字报告)

我应该用咩防毒软件?(手提电脑) 求介绍

[ 本帖最后由 csk15 於 2014-5-20 08:18 PM 编辑 ]

123.jpg (99.77 KB)

2014-5-20 08:17 PM

URL果个今次扫瞄期间弹出黎~

作者: csk15 发布时间: 2014-05-29

手提电脑同样可以用Avira Antivirus Free。
可以移除所有扫毒程式同报告。

===================
1. 如果系统运作回复正常,请跟#8帖移除Hijackthis/ComboFix等等的扫瞄软件。
http://computer.uwants.com/viewthread.php?tid=12999541&extra=page%3D1

2. 请用CCleaner Free删除temp files/登录档,用Windows预载defrag功能,做番1次磁碟重组(defrag)。

3. 请将[病毒移除]主题改为[已解决]。Tks.

作者: SILVESTERABEND 发布时间: 2014-05-29

我想问下点移除ComboFix JRT OTL..
仲有冇打漏我用过既程式?

我唔知有咩要移除

[ 本帖最后由 csk15 於 2014-5-20 11:25 PM 编辑 ]

作者: csk15 发布时间: 2014-05-29

引用:原帖由 csk15 於 2014-5-20 09:13 PM 发表
我想问下点移除ComboFix JRT MBAM Junkware Removal Tool OTL..
仲有冇打漏我用过既程式?

我唔知有咩要移除

参考: http://computer.uwants.com/viewthread.php?tid=12999541&extra=page%3D1

MBAM可以去程式集移除。

作者: SILVESTERABEND 发布时间: 2014-05-29

唔系好识用CCleaner Free<---要禁D咩?

作者: csk15 发布时间: 2014-05-29

引用:原帖由 csk15 於 2014-5-21 01:30 AM 发表
唔系好识用CCleaner Free

主要用佢[清道夫]同[登录档]功能,删系统垃圾档案/登录档。
[清道夫]功能 > 你自己勾选[Windows]同[应用程式]项目,之后按右下方「开始清理」就可以。

[登录档]功能用预设勾选就可以。先按左下[扫瞄各种问题] > 完成扫瞄后后再按[修复选取问题] > .....备份登录档 ...> 按[修复所有选取问题]。

作者: SILVESTERABEND 发布时间: 2014-05-29

-CCleaner 清左6次果个问题都仲系度 (左边的file系咪可以删除?)
-磁碟重组系咪禁依个?

123.jpg (118.41 KB)

2014-5-21 09:06 PM

系咪咁用?

作者: csk15 发布时间: 2014-05-29

引用:原帖由 csk15 於 2014-5-21 09:06 PM 发表
-CCleaner 清左6次果个问题都仲系度 (左边的file系咪可以删除?)
-磁碟重组系咪禁依个?

1. 乜野问题?
通常你上完网每做1次都会有temp同其他垃圾档案被删。
左边系删除登录档做的备份,等1两星期后至删。

2. 对。磁碟重组系禁依个。
参考#20帖: http://computer.uwants.com/viewthread.php?tid=16828653&extra=page%3D1&page=2

作者: SILVESTERABEND 发布时间: 2014-05-29

唔系应该空架咩?

123.jpg (79.07 KB)

2014-5-21 10:28 PM

仲有两个未使用的副档名