sohu游戏也流氓？

endurer　原创

2006-09-10 第1版

有位网友的电脑的桌面莫名其妙地出现了名为sohu游戏的图标，到控制面板的“添加删除程序”卸载以后，下次系统启动时又出了。并发来了 HijackThis（你可以到 http://endurer.ys168.com 下载）扫描的log。

在 log 发现如下可疑项目：

/--------------
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      21:33:37, 日期 2006-9-10
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         

C:\Program Files\Common Files\UPDATE2\Update.exe
C:\Program Files\CNNIC\Cdn\cdnunins.exe

O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Common Files\CPUSH\cpush.dll

O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll

O2 - BHO: QuickBtn - {D1BB7CF4-4463-4e91-88D7-ECC3CE0A13B7} - C:\Program Files\kuzhan\kuzhan.dll

O4 - 启动项HKLM\\Run: [Update] C:\Program Files\Common Files\UPDATE2\Update.exe

O4 - 启动项HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe

O8 - IE右键菜单中的新增项目: 访问通用网址 - C:\Program Files\CNNIC\Cdn\cnnic.htm

O9 - 浏览器额外的按钮: 酷站导航 - {1D901067-2529-4A9B-9B6B-7A1DB3A44CB5} - C:\Program Files\kuzhan\kuzhan.dll

O9 - 浏览器额外的按钮: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll

O9 - 浏览器额外的“工具”菜单项: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll

O11 - Options group: [CDNCLIENT]  中文上网
--------------/

修复建议：

卸载：kuzhan，中文上网

终止进程：C:\Program Files\Common Files\UPDATE2\Update.exe

到 http://purpleendurer.ys168.com 下载 Cmd GUI Shell（图形界面的命令提示符壳）
，检查相关文件夹：
/--------------
D:\tools\CmdShell>cmd /c dir "C:\Program Files\Common Files\CPUSH" /a
 驱动器 C 中的卷没有标签。
 卷的序列号是 1013-3AFE
 C:\Program Files\Common Files\CPUSH 的目录

2006-09-05  22:37    <DIR>          .
2006-09-05  22:37    <DIR>          ..
2006-09-09  19:15            32,913 Uninst.exe
2006-09-08  07:57           155,648 cpush0.dll
2006-09-05  20:59           151,552 cpush.dll
               3 个文件        340,113 字节

D:\tools\CmdShell>cmd /c dir "C:\Program Files\Common Files\UPDATE2" /a
 驱动器 C 中的卷没有标签。
 卷的序列号是 1013-3AFE
 C:\Program Files\Common Files\UPDATE2 的目录
2006-09-06  19:04    <DIR>          .
2006-09-06  19:04    <DIR>          ..
2004-06-06  13:16           143,360 Update.exe
               1 个文件        143,360 字节
               2 个目录  1,350,053,888 可用字节
               2 个目录  1,351,753,728 可用字节
--------------/

用 WinRAR打包备份后删除。

关闭所有浏览器和文件夹窗口，用HijackThis扫描并修复上面所列项目。

清空IE临时文件夹

清空 c:\Documents and Settings\user\Local Settings\temp（其中 user 为用户名）

清空 c:\windows\temp