endurer 原创
2006-02-18 第4版 补充:瑞星关于bcsysnote.exe的回复
| 发件人: | send@rising.net.cn | 发送时间:2006-02-18 13:27:47 |
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:bcsysnote.exe
不是病毒
2006-02-17 第3版 补充:有网友反映说用杀毒软件清除AdWare.HBang后无法上网,这是由于
O10 - Unknown file in Winsock LSP: c:|windows|system32|hbmter.dll
引起的。
建议先使用lspfix.exe修复此O10项,再杀毒。
在本文中,由于我使用的是瑞星在线查毒,所以扫描出来的染毒软件不会被自动清除。
2006-02-16 第2版 江民KV将bcsysnote.exe报为TrojanClicker.Agent.g
2006-02-16 第1版
一位同事的电脑,在打开IE时会自动弹出窗口,让我帮忙弄弄。
先打开控制面板里的添加删除程序,把雅虎助手、Accoona工具栏之类的东东都卸载了,有个名为“RichMedia”的东东,不熟悉,先放它一马。
再打开IE浏览器,没有再弹出窗口。估计弹出窗口是Accoona工具栏引起的。
先下载安装了Maxthon,然后到http://endurer.ys168.com下载HijachThis。
用HijachThis修复了如下项目:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Program Files\Accoona\ASearchAssist.dll (file missing)
O3 - Toolbar: 完美网译通 - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - C:\WINDOWS\WORLD2\TOOLBAR\hmtoolbar.dll
O3 - Toolbar: (no name) - {F60C7D81-8471-4D40-AAFE-56D318F34C2D} - (no file)
在HijachThis扫描的log中,发现如下可疑项目:
O2 - BHO: HBObject Class - {AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1} - C:\PROGRA~1\HBClient\tbhelper.dll
O4 - HKLM\..\Run: [ADShow] C:\WINDOWS\system32\bcsysnote.ex
O4 - HKLM\..\Run: [RichMedia] C:\WINDOWS\system32\Rundll32.exe "C:\PROGRA~1\HBClient\tbhelper.dll",WaitWindows
O10 - Unknown file in Winsock LSP: c:\windows\system32\hbmter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\hbmter.dll
用瑞星在线免费查毒扫描C盘,结果如下:
2006-2-16 9:54:52 瑞星杀毒助手
Windows XP Service Pack 2(5.1.2600)
文件名 病毒名
C:\WINDOWS\system32\hbmter.dll AdWare.HBang.e
C:\WINDOWS\HHelp.dll AdWare.HBang.e
C:\Program Files\HBClient\tbhelper.dll AdWare.HBang.c
C:\System Volume Information\_restore{1F034AFA-4C43-49F7-AC54-375A02EF3410}\RP27\A0007902.dll AdWare.HBang.e
...............(endurer注:都在系统还原文件夹中,几十个,这里省略了。)
C:\System Volume Information\_restore{1F034AFA-4C43-49F7-AC54-375A02EF3410}\RP41\A0019849.rbf AdWare.Hbang.a
C:\System Volume Information\_restore{1F034AFA-4C43-49F7-AC54-375A02EF3410}\RP41\A0019850.msi>>Msi.e.exe AdWare.Hbang.a
原来那个“添加删除程序”里的那个名为“RichMedia”的东东居然是AdWare.Hbang。
到http://endurer.ys168.com下载lspfix.exe修复了
O10 - Unknown file in Winsock LSP: c:\windows\system32\hbmter.dll
这一项。
到http://endurer.ys168.com下载“瑞星杀毒助手”,先点击复制瑞星查杀结果列表,然后“保存扫描结果”,接着把病毒文件打包备份,接下来把“直接删除染毒文件,不放入回收站”钩上,再点击“删除所有染毒文件”。
除了
C:\WINDOWS\system32\hbmter.dll
C:\WINDOWS\HHelp.dll
这两个外,其它染毒文件都成功删除了。(还发现一个C:\WINDOWS\HHelp.dat,也删除了。)
点击“改所有文件名”,再点击“下次启动计时删除”。
关于
O4 - HKLM\..\Run: [ADShow] C:\WINDOWS\system32\bcsysnote.ex
用http://virusscan.jotti.org/扫描结果如下:
| File: | bcsysnote.exe |
| Status: | INFECTED/MALWARE |
| MD5 | ae6c494a421c7194be5d14a959cbbbec |
| Packers detected: | UPX |
| Scanner results | |
| AntiVir | Found Trojan/Click.Agent.EE.1 |
| ArcaVir | Found Trojan.Clicker.Agent.Ee |
| Avast | Found Win32:Trojan-gen. |
| AVG Antivirus | Found Clicker.OW |
| BitDefender | Found Trojan.Clicker.Agent.EE |
| ClamAV | Found Trojan.Clicker.Agent-36 |
| Dr.Web | Found Adware.BlogMark |
| F-Prot Antivirus | Found nothing |
| Fortinet | Found Adware/Agent |
| Kaspersky Anti-Virus | Found Trojan-Clicker.Win32.Agent.ee |
| NOD32 | Found probably unknown NewHeur_PE (probable variant) |
| Norman Virus Control | Found W32/Agent.HJR |
| UNA | Found TrojanClicker.Win32.Agent |
| VBA32 | Found Trojan-Clicker.Win32.Agent.ee |
