查看: 706|回复: 4
|
[询问] Cydoor ?
[复制链接]
|
|
请问 cydoor 是什么来得 ???
为何我每次 run spybot 都有它的份...
洗了再scan 还是有在 !!! |
|
|
|
|
|
|
|
发表于 22-3-2005 10:11 PM
|
显示全部楼层
|
|
|
|
|
|
|
发表于 23-3-2005 07:51 PM
|
显示全部楼层
转载自http://sarc.com/avcenter/venc/data/adware.cydoor.html
经过http://babelfish.altavista.com/ 的翻译
Adware.Cydoor
为时被更新: 2004 年12月28 日下午05:54:16
型: Adware
名字: 不可利用
版本: 2.0
出版者: Cydoor 技术
系统影响了: 视窗95, 视窗98, 视窗NT, 视窗2000, Windows XP, 窗口我
系统没影响: DOS, Linux, Macintosh, OS/2, UNIX, 窗口3.x
风险冲击: 媒介
侦查
# 聪明的Updater 定义*
2003 年8月18 日
# LiveUpdate™ 定义 **
2003 年8月18 日
*
聪明的Updater 定义每日被发布, 但要求手工下载和设施。
点击 这里 手工下载。
**
LiveUpdate 定义每星期三通常被发布。
点击 这里 为指示在使用LiveUpdate 。
这种风险可能只由支持安全风险的Symantec 产品查出。对于更多信息关于安全风险, 请去 这里。
总结
行为
Adware.Cydoor 是下载广告从服务器和显示他们在您的计算机的adware 节目。
症状
文件在系统被查出作为Adware.Cydoor 。
传输
这个adware 节目必须手工被安装。但是, 有有Adware.Cydoor 在他们之内并且安装它的几个已知的节目当节目被安装。
技术细节
文件名字: cd_clint.dll; cd_load.exe
Adware.Cydoor 是显示广告的adware 节目。当Adware.Cydoor 被执行, 它进行以下行动:
1. 创造文件:
* %System%\Cd_clint.dll
* %System%\Cd_load.exe
注: %System% 是可变物。adware 组分找出系统文件夹和复制自己对那个地点。, 这是C:\Windows\System (视窗95/98/Me), C:\Winnt\System32 (窗口NT/2000), 或C:\Windows\System32 (Windows XP) 。
2. 创造登记钥匙:
HKEY_USERS\.DEFAULT\Software\Cydoor
HKEY_USERS\.DEFAULT\Software\Cydoor 服务
HKEY_CURRENT_USER\Software\Cydoor
HKEY_CURRENT_USER\Software\Cydoor 服务
HKEY_LOCAL_MACHINE\Software\Cydoor
其它节目通常安装Adware.Cydoor 。它不增加登记价值来发射在起动。反而, 它允许安装它发射它的节目当节目被起动。然后, 节目使用Adware.Cydoor 下载和显示广告。
Cd_load.exe 文件只被安装当安装Adware.Cydoor 的节目不要求与作用的互联网连接。这个文件只被使用检查活跃互联网连接。文件, Cd_clint.dll, 包含所有功能。
何时Adware.Cydoor 被发射在设施, 它以后与服务器联系www.rgs?.net (在哪些? 是一个数字在1 – 之间; 4) 在口岸80 。但是, 它对这台服务器不被限制。这adware 可能接受其它服务器名单从这台最初的服务器和改为连接到他们。这些服务器是广告服务器, 并且是从这些服务器cydoor 检索广告。
撤除指示
注: 去除这个adware 组分从系统可能将导致安装它不起作用按照计划的节目。uninstaller 一般辨认不会运作在uninstallation 以后的节目。
在您之前开始: 这是一个一般撤除做法。它不包括步设法取消adware 使用窗口Add/Remove 节目附属程序。信息关于怎么对做这也许是可得到从这adware, Cydoor 桌面媒介的 出版者。为Cydoor 的指示关于怎样取消这adware, 去 http://www.cydoor.com/Cydoor/。点击支持连接和纸卷通过常见问题解答对"怎么我取消您的软件" 部分。您能并且与Cydoor 支持联系使用形式在他们的常见问题解答页底端。
以下指示附属对支持安全风险侦查的所有Symantec antivirus 产品。
1. 更新定义。
2. 重新开始计算机在安全模式下
3. 跑充分的系统扫瞄和删除所有文件被查出作为Adware.Cydoor 。
4. 删除增加来登记的价值。
为具体细节在每个这些步, 读以下指示。
1 。更新定义
获得最近定义, 起动您的Symantec 节目和跑LiveUpdate 。
2 。重新开始计算机在安全模式下
关闭计算机和关闭电源。等至少30 秒, 和然后重新开始计算机在安全模式或VGA 方式下。为指示, 读文件, "怎么发动计算机在安全模式下。"
3 。扫描为和删除文件
1. 起动您的Symantec 反病毒程序和跑充分的系统扫瞄。
2. 如果任何文件被查出作为Adware.Cydoor, 点击删除。
注: 如果您的Symantec antivirus 产品报道它无法删除一个检测文件, 注意道路和文件名。然后使用窗口探险家寻找和删除文件。
4 。删除钥匙从登记
警告: Symantec 强烈推荐, 您支持登记在做对它的些变动之前。对登记的不正确变动可能导致永久数据损失或讹误文件。修改指定的钥匙唯一。读文件, "怎么做备份窗口登记," 为指示。
1. 点击开始, 和然后点击奔跑。(奔跑对话箱出现。)
2. 键入 regedit
然后点击好。(登记编辑打开。)
3. 驾驶对和删除钥匙(如果他们存在):
HKEY_USERS\.DEFAULT\Software\Cydoor
HKEY_USERS\.DEFAULT\Software\Cydoor 服务
HKEY_CURRENT_USER\Software\Cydoor
HKEY_CURRENT_USER\Software\Cydoor 服务
HKEY_LOCAL_MACHINE\Software\Cydoor
4. 退出登记编辑。 |
|
|
|
|
|
|
|
楼主 |
发表于 24-3-2005 10:31 PM
|
显示全部楼层
scan 了之后 ....
Logfile of HijackThis v1.99.1
Scan saved at 10:37:27 PM, on 3/24/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\rmctrl.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\FarStone\VirtualDrive\vdtask.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe
C:\Program Files\UnH Solutions\Easy Go Back\EasyGoBack.exe
C:\Program Files\FarStone\VirtualDrive\Netsrv.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\BitComet\BitComet.exe
C:\Program Files\ClocX\ClocX.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Chinese Star XP\CStar.exe
C:\Program Files\Chinese Star XP\ImfServer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\LIM\Desktop\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Virtual Drive] "C:\Program Files\FarStone\VirtualDrive\vdtask.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE PHILIPS PC Camera
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe
O4 - HKCU\..\Run: [EasyGoBack] "C:\Program Files\UnH Solutions\Easy Go Back\EasyGoBack.exe" -autorun
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: PowerWord - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - C:\PROGRA~1\KINGSOFT\XDICT\ieplugin.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Joyo - {C8CE29C5-7589-11D3-B81B-0080C8DC5DC8} - C:\PROGRA~1\KINGSOFT\XDICT\ieplugin.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{12988B1D-4215-4285-9B46-29FE5E5C38AD}: NameServer = 202.188.1.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{12988B1D-4215-4285-9B46-29FE5E5C38AD}: NameServer = 202.188.1.5
O17 - HKLM\System\CS2\Services\Tcpip\..\{12988B1D-4215-4285-9B46-29FE5E5C38AD}: NameServer = 202.188.1.5
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
有什么不妥吗 ??? |
|
|
|
|
|
|
|
发表于 24-3-2005 10:41 PM
|
显示全部楼层
|
|
|
|
|
|
| |
本周最热论坛帖子
|