endurer  原创
2006-09-01  第1版

打开瑞星在线免费查毒网页，立即弹出金山毒霸的广告窗口；瑞星查完病毒，弹出扫描结果窗口时，又弹出金山毒霸的广告窗口。

真的是瑞星在力荐金山毒霸吗？

一位网友的电脑，电脑工作缓慢，不定期弹出广告窗口，如：
/----------
hxxp://cg.9e3.com/register3.html
hxxp://photo.9158.com/tg/pic10.html
hxxp://vod.5617.com/5617/index.html
hxxp://dm21.fx120.net/120shop.htm
hxxp://www.cyworld.com.cn/event/markting/myminiroom/163_event.php?from=49&str_ad=linkid%3D4365%26channelid%3D200508
hxxp://my.chinahr.com/NewAccount.aspx
hxxp://www.duduw.com/web/dudu-07.htm
hxxp://stbanner.allyes.com/sm/gmi/800600/index.php?channelid=201178&linkid=5794
----------/
等，桌面出现YOK搜索图标，卸载了下次开机又出现……

重启电脑，选择带网络连接的安全模式。

到 http://endurer.ys168.com 下载 HijackThis扫描log，发现可疑项：

/----------
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      0:09:39, 日期 2006-8-31
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:/WINDOWS/system/java.exe

R3 - URLSearchHook: YOK Search Class - {88351CEF-BAC0-4A9B-8380-31A173E2926F} - C:/Program Files/YOK.com/SuperSearch/YOK_SuperSearch.dll

O2 - BHO: MonitorURL Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:/PROGRA~1/DESKAD~1/deskipn.dll

O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:/WINDOWS/system32/wmpdrm.dll

O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} - C:/Documents and Settings/All Users/Application Data/Microsoft/IEHelper/IEHelper2006814_4593.dll (file missing)

O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:/PROGRA~1/CNNIC/Cdn/cdnforie.dll

O2 - BHO: JMX.JmxCenter - {63859236-76BF-493C-A587-DF479EBA2D4B} - C:/WINDOWS/system32/EJMX.dll

O2 - BHO: YOK超级搜索 - {75FE2B5A-D3A4-4EFA-AC11-ADC9C9459688} - C:/Program Files/YOK.com/SuperSearch/YOK_SuperSearch.dll

O2 - BHO: NewWeb Controller - {9ACEEE31-1440-471B-AA46-72B061FE7D61} - C:/WINDOWS/system32/WinSC32.dll

O2 - BHO: (no name) - {D424FE4E-CAF9-4fdd-BC5F-E6E6B91D53BF} - (no file)

O2 - BHO: BHelper Class - {F2E37336-BFDB-409B-8D0E-6F013C438B20} - C:/WINDOWS/system/487o0611.dll

O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:/PROGRA~1/CNNIC/Cdn/wmhlpr.dll (file missing)

O3 - IE工具栏增项: YOK超级搜索 - {F869BB38-FFEF-4589-B986-610B7AD0ADA2} - C:/Program Files/YOK.com/SuperSearch/YOK_SuperSearch.dll

O4 - 启动项HKLM//Run: [C:/WINDOWS/wd2_051117_WIS205_mini.exe] C:/WINDOWS/wd2_051117_WIS205_mini.exe

O4 - 启动项HKLM//Run: [C:/WINDOWS/setup_110017.exe] C:/WINDOWS/setup_110017.exe

O4 - 启动项HKLM//Run: [C:/WINDOWS/10045_setup.exe] C:/WINDOWS/10045_setup.exe

O4 - 启动项HKLM//Run: [C:/WINDOWS/101628.exe] C:/WINDOWS/101628.exe

O4 - 启动项HKLM//Run: [spoolsv] C:/WINDOWS/system32/spoolsv/spoolsv.exe -printer

O4 - 启动项HKLM//Run: [C:/WINDOWS/newweb10317.EXE] C:/WINDOWS/newweb10317.EXE

O4 - 启动项HKLM//Run: [C:/WINDOWS/tshz168.exe] C:/WINDOWS/tshz168.exe

O4 - 启动项HKLM//Run: [C:/WINDOWS/Setup-168.exe] C:/WINDOWS/Setup-168.exe

O4 - 启动项HKLM//Run: [C:/WINDOWS/YOK_904_1007.exe] C:/WINDOWS/YOK_904_1007.exe

O4 - 启动项HKLM//Run: [MSService_v1.0] C:/WINDOWS/system/java.exe

O4 - 启动项HKLM//Run: [Desktop] C:/WINDOWS/system32/rundll32.exe "C:/Program Files/DeskAdTop/Run.dll" ,Rundll

O4 - 启动项HKLM//Run: [CdnCtr] C:/Program Files/CNNIC/Cdn/cdnup.exe

O4 - Global Startup: IE-Bar.lnk = C:/Program Files/Common Files/IE-Bar/iebar.exe

O8 - IE右键菜单中的新增项目: YOK超级搜索 - C:/Program Files/YOK.com/SuperSearch/yoksch.htm

O8 - IE右键菜单中的新增项目: 用炫彩图铃发送该图片 - C:/Program Files/CaiShow Tech/CaiShow/SendMMS.htm

O9 - 浏览器额外的按钮: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:/PROGRA~1/CNNIC/Cdn/cdnforie.dll

O9 - 浏览器额外的“工具”菜单项: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:/PROGRA~1/CNNIC/Cdn/cdnforie.dll

O9 - 浏览器额外的按钮: YOK超级搜索 - {F869BB38-FFEF-4589-B986-610B7AD0ADA2} - hxxp://www.yok.com (file missing)

O10 - 未知的文件在 Winsock LSP: c:/windows/system32/cdnns.dll
O10 - 未知的文件在 Winsock LSP: c:/windows/system32/msplus.dll
O10 - 未知的文件在 Winsock LSP: c:/windows/system32/msplus.dll

O11 - Options group: [CDNCLIENT]  中文上网

O21 - SSODL: DelayRun - {5A6F2F95-3191-433B-8533-EB0B596A7BAC} - C:/WINDOWS/487d0610.dll
----------/
到 http://endurer.ys168.com 下载LSPFix.EXE 和“瑞星杀毒助手”两个软件。
到 http://www.miisoft.com/soft/22/2006/20060817014.html 下载 WinsockXPFix 这个软件。

卸载：DeskAdTop，NewWeb，YOK超级搜索，中文上网

用WinRAR找到

/----------
C:/WINDOWS/10045_setup.exe
C:/WINDOWS/101628.exe
C:/WINDOWS/newweb10317.EXE
C:/WINDOWS/setup_110017.exe
C:/WINDOWS/Setup-168.exe
C:/WINDOWS/tshz168.exe
C:/WINDOWS/wd2_051117_WIS205_mini.exe
C:/WINDOWS/system32/quartz32.dll
C:/WINDOWS/system32/SCIA.dll
C:/WINDOWS/system32/msplus.dll
C:/WINDOWS/system32/ijcj.dll
C:/WINDOWS/system32/jjbi.dll
C:/WINDOWS/system32/icif.dll
C:/WINDOWS/system32/ejjf.dll
C:/WINDOWS/system32/UpdateModule.dll
C:/WINDOWS/system32/WinSC32.dll
C:/WINDOWS/system32/spoolsv/spoolsv.exe
----------/
打包备份。

删除文件：
/----------
C:/WINDOWS/YOK_904_1007.exe
C:/WINDOWS/system32/msplus1.dll
C:/WINDOWS/system32/WinSC.dll
C:/WINDOWS/system32/WinSC64.dll
----------/

解压“瑞星杀毒助手”并运行，点击“使用瑞星免费查毒”按钮，打开在线免费查毒网页，立即弹出金山毒霸的广告窗口。晕！

扫描 c:/windows 和 c:/program files文件夹，结果如下：
/----------
2006-8-31 2:20:14　瑞星杀毒助手
Windows XP Service Pack 2(5.1.2600)
文件名 病毒名
C:/WINDOWS/system32/msicn/plugins/bm.dll Trojan.Ourxin.e
C:/WINDOWS/system32/msicn/plugins/as.dll Trojan.Ourxin.c
C:/WINDOWS/system32/msicn/msibm.dll Trojan.Spy.Agent.bhs
C:/WINDOWS/system32/1116/ntjdo/ntjcn.emm Trojan.Spy.Agent.bhs
C:/WINDOWS/system32/1116/ntjdo/plugins/cn.emm Trojan.Ourxin.e
C:/WINDOWS/system32/1116/ntjdo/plugins/bt.emm Trojan.Ourxin.c
C:/WINDOWS/system32/1116/tzt/xnqesn.emm Trojan.Ourxin.d
C:/WINDOWS/system32/1116/tqppmtw/tqppmtw.fyf Trojan.DL.Agent.kij
C:/WINDOWS/system32/spoolsv/spoolsv.exe Trojan.DL.Agent.kij
C:/WINDOWS/system32/wmpdrm.dll Trojan.Ourxin.d
C:/WINDOWS/system32/WinSC32.dll Trojan.Clicker.Qhost.i
C:/WINDOWS/system32/UpdateModule.dll Trojan.Clicker.Agent.ads
C:/WINDOWS/system32/ejjf.dll Trojan.DL.Direct.aa
C:/WINDOWS/system32/icif.dll Trojan.DL.Direct.aa
C:/WINDOWS/system32/jjbi.dll Trojan.DL.Direct.aa
C:/WINDOWS/system32/ijcj.dll Trojan.DL.Direct.aa
C:/WINDOWS/101628.exe Trojan.DL.ADLoad.ei
C:/WINDOWS/10045_setup.exe Trojan.StartPage.bnx
C:/Program Files/Common Files/System/ddcckl.dat Trojan.Inject.st
C:/Program Files/NetMeeting/nmview.dll Trojan.Agent.dte
C:/Program Files/NetMeeting/conf.dll Trojan.Agent.dte
C:/Program Files/xerox/fcbzc.exe Trojan.Inject.st
C:/Program Files/CNNIC/iebar_v2.exe Trojan.DL.QQHelper.eo
----------/

瑞星查完弹出扫描结果窗口时，又弹出了金山毒霸的广告窗口！
都用“瑞星杀毒助手”解决了。

请关闭所有文件夹和浏览器程序窗口，运行LSPFix.exe文件，选中选项“I Know What I'm Doing”，然后把左面窗口里的 cdnns.dll 和  msplus.dll 移到右面窗口里（不要动其他文件），然后选“Finish”。

关闭所有浏览器窗口和文件夹窗口，重新使用HijackThis扫描,在上列项目前打上勾，然后点[修复](Fix)。

清空 IE临时文件夹

清空 C:/Documents and Settings/user/Local Settings/temp 文件夹