【求助】IE劫持、开机弹窗的流氓程序找不出

4O4

朋友电脑中招，在下小白一枚，水平太次，被这个恶意程序困扰好多天，特来卡饭求助。

目前观察到的具体表现为：

1、开机后不久，

在桌面中央弹出1个 无关闭按钮 的广告窗口（只能用windows快捷键关闭）；

同时在右下角弹窗广告，点关闭“×”后会弹出系统提示“svchost.exe错误信息”。

2、右击IE查看属性，如下图被该网址劫持，在查不出后台程序情况下，修改注册表无效，刷新注册表随即发现又被改回；


3、开机后开启Process Explorer观察，如未插网线，没有发现异常。

一旦插上网线连上外网不久，就会发现CPU占有率飙升，多个rundll32.exe和svchost.exe被调用，抓图如下：




该2个动态链接库文件均有采集，详见附件（只能附上小于500K的，另一个1M多再想办法），但直觉告诉我随机启动程序还是藏在某处，否则2个dll文件折腾不起来。

竟然带有个人拼音签名...


4、查看系统临时文件夹的那个1M多大小的“nbk随机数字.tmp“，竟然带有签名，看拼音是”zhengzhou shengshichuanmei ××ד，应该是”郑州盛世传媒科技有限公司“，以此为关键词搜索，仅查到一个帖子 ，见 http://bbs.duba.net/thread-23238758-1-1.html
看了后还是觉得用处有限。

-------------------------------------------------------
暂时写到这里，该怎么附上另一个dll文件呢？大家常用的××云盘我都没有。。。

先在这里拱手拜谢，求各位大大一伸援手。

PS：另一个名为tmp文件，实际签名是某公司的dll文件，忙中出乱，竟然忘了是采集了4个相同异名文件，现附上：

开开心心卖手机

附件蛋挞杀
Website blocked!
G DATA INTERNET SECURITY has denied access to this website.
The site contains infected code: Gen:Variant.Graftor.210104 (Engine A).

4O4

PS：劫持IE的网址，疑似下载网址均已屏蔽。

我去申请个邮箱，看看能否利用上。

为你心碎

小A不杀这个DLL文件，还是用原版镜像重装
给你个原汁原味的系统，用软蝶通写入时选择打开所有文件，文件是dll格式
http://share.weiyun.com/a3ee4521e4f374f7c4343a9c10ee9a77

XywCloud

BAV Killed

欧阳宣

mcafee miss

https://www.metascan-online.com/ ... 61bb925c97ec9908fb0

4O4

为你心碎 发表于 2015-7-22 22:41
小A不杀这个DLL文件，还是用原版镜像重装
给你个原汁原味的系统，用软蝶通写入时选择打开所有文件，文件是 ...

谢谢 为你心碎 的建议。

因朋友电脑工作用途，重装是最后万不得已时才考虑的。我劝服朋友多给我几天时间，本着”人人为我 我为人人“原则，我很想揪出幕后流氓，让他们不再危害别人的电脑。

发帖时着急了，也是没经验，连电脑系统及防护都没写。万分抱歉。

朋友的老电脑，一直是 XP pro sp3，杀软是 小红伞9。该流氓软件过红伞9及最新版15 ？
我还动用过 Nod32，Windows清理助手（该软件没落了遗憾），均无功而返。

4O4

XywCloud 发表于 2015-7-22 22:44
BAV Killed

感谢 XywCloud 测试及回复

非冒犯之意，您说的是百度杀毒软件？其引擎不就是用的红伞引擎么？（说错处请多包涵和指教）

看那个100来K的dll文件名字，bdrwei_×××.dll，很让人好奇的一个名字。

为你心碎

4O4 发表于 2015-7-22 23:08
感谢 XywCloud 测试及回复

非冒犯之意，您说的是百度杀毒软件？其引擎不就是用的红伞引擎么？（说错处 ...

百度是用的卡巴的引擎，如果没有记错的话。

4O4

开开心心卖手机 发表于 2015-7-22 22:36
附件蛋挞杀
Website blocked!
G DATA INTERNET SECURITY has denied access to this website.

谢谢 开开心心卖手机

我又要去搜索什么是 蛋挞 ，汗～