資訊 - 首頁綁架者剋星HijackThis 日誌分析!!! - 第3頁

psac · 2004-10-23, 06:01 AM

許多不熟悉瀏覽器綁架的人發表文章，詢問如何通過份析HijackThis的日誌來獲得說明，因為他們不理解哪些內容是無害的，而哪些內容是有害的。

本文是一個關於日誌含義的基本指南，並包含一些有助於獨立閱讀本文的提示。

本文決不能替代在請求說明的解答，而只是在某種程度上說明您自己理解日誌的含義。

已做好的Word文件我已已壓縮成RAR文件上傳，在附件中，直接下載就ok了。

HijackThis 日誌分析
——如何識別有害訊息

________________________________________
概述
HijcakThis日誌中的每一行以一個分類名稱開始。

（要檢視這一主旨的技術訊息，按下主視窗中的「Info」按鈕，並向下滾動視窗，突出顯示某一行並按下「More info on this item」按鈕即可。）

要檢視實用訊息，按下需要獲得說明的分類名稱：

• R0, R1, R2, R3 – IE起始頁/搜尋頁 URL
• F0, F1 – 自動載入程序
• N1, N2, N3, N4 – Netscape/Mozilla 起始頁/搜尋頁 URL
• O1 – 主機文件重轉發IP
• O2 – 瀏覽器輔助對像
• O3 – IE工作列
• O4 – 從註冊表自動載入程序
• O5 – 使IE選項的圖示在控制台中不可見
• O6 –由管理員限制的對IE選項的訪問
• O7 –由管理員限制的對註冊表編輯器的訪問
• O8 – IE右鍵表單中的額外項
• O9 – 主IE按鈕工作列上的額外按鈕，或IE「工具」表單中的額外項
• O10 – Winsock綁架程序
• O11 – IE「進階選項」視窗中的額外組
• O12 – IE插件
• O13 – IE DefaultPrefix綁架
• O14 – 「重置Web設定」綁架
• O15 – 受信任區域中的有害站點
• O16 – ActiveX對像（aka 下載的程式文件）
• O17 – Lop.com域綁架程序
• O18 – 額外傳輸協定和傳輸協定綁架程序
• O19 – 用戶樣式表綁架
R0、R1、R2、R3－IE起始頁和搜尋頁

症狀：

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
R3 –Default URLSearchHook is missing

治療方案：

如果結尾的URL是您的主頁或搜尋引擎，那就不用管它。如果您不認可，請檢查一下並用HijcakThis修復。

對於R3項，始終修復它們，直到它提及一個您認可的程序為止，比如Copernic。
________________________________________
F0、F1－自動載入程序

症狀：

F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched

治療方案：

F0項始終是有害的，因此要修復它們。

F1項通常是存在很長時間的安全程序，因此您應該根據其檔案名搜尋與該檔案有關的更多訊息，以確定它是無害的還是有害的。

________________________________________
N1、N2、N3、N4－Netscape/Mozilla起始頁和搜尋頁

症狀：

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

治療方案：

通常情況下，Netacape和Mozilla的主頁及搜尋頁是安全的。

它們極少被綁架。主頁和搜尋頁的URL不是您認可的，請用HilackThis修復它。

________________________________________
O1－主機文件重轉發IP

症狀：

O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch

治療方案：

這種綁架將通向正確IP位址的位址重轉發IP到錯誤的IP位址。如果IP不屬於該位址，那麼在您每次按鍵輸入該位址時，您將被重轉發IP到一個錯誤的站點。

始終用HilackThis修復它們，除非您故意將這些行放到主機文件中。

________________________________________
O2－瀏覽器輔助對像

症狀：

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

治療方案：

如果您無法直接識別某個瀏覽器輔助對象的名稱，可以使用TonyK的 BHO 列表通過類ID（CLSID，位於大括號中的編號）進行搜尋，以確定它是無害的還是有害的。

在BHO列表中，『X』代表偵探軟體，『L』代表安全。

________________________________________
O3－IE工作列

症狀：

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

治療方案：

如果您不能直接識別工作列的名稱，可以使用TonyK的工作列列表通過類ID（CLSID，位於大括號中的編號）進行搜尋，以確定它是無害的還是有害的。

在工作列列表中，『X』代表偵探軟體，『L』代表安全。

如果它不在列表中，而且其名稱似乎是一個隨機的字元串，並且該檔案位於一個名為『Application Data』的資料夾中的某處（比如上述例子中的最後一個），那麼它肯定是有害的，應該用HilackThis修復它。

________________________________________

psac · 2006-06-24, 05:44 AM

Q:
【求助】那位大俠幫我看下日誌，看看是哪出了問題

我現在看PPS，只要點擊某個屏道，就會彈出一個網頁：http://count.51yes.com
下面是我的日誌，請幫我診斷下，並告之清理方法，謝謝了先！
HijackThis_zww漢化版掃瞄日誌 V1.99.1
儲存於 15:41:05, 日期 2006-6-22
操作系統： Windows XP SP2 (WinNT 5.01.2600)
瀏覽器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

當前執行的工作行程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
d:\KAV6\KAVSvc.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
d:\KAV6\KWatchUI.EXE
D:\KAV6\KpopMon.EXE
D:\KAV6\KAVPFW.EXE
C:\WINDOWS\system32\ctfmon.exe
d:\KAV6\MailMon.EXE
d:\KAV6\KAVPlus.EXE
D:\Program Files\Tencent\QQ\QQ.exe
D:\Program Files\Tencent\QQ\TIMPlatform.exe
D:\HijackThis\HijackThis.exe

O1 - Hosts: 202.103.67.180 auto.search.msn.com
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - d:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - IE工具欄增項: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O3 - IE工具欄增項: 金山毒霸 - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - d:\KAV6\KAIEPlus.DLL
O3 - IE工具欄增項: (no name) - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - (no file)
O3 - IE工具欄增項: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - 啟動項HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 啟動項HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 啟動項HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 啟動項HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 啟動項HKLM\\Run: [KAVRun] d:\KAV6\KAVRun.EXE
O4 - 啟動項HKLM\\Run: [Kulansyn] d:\KAV6\Kulansyn.EXE
O4 - 啟動項HKLM\\Run: [KpopMon] d:\KAV6\KpopMon.EXE
O4 - 啟動項HKLM\\Run: [iDuba Personal FireWall] D:\KAV6\KAVPFW.EXE
O4 - 啟動項HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 啟動項HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 啟動項HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 啟動項HKCU\\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - 啟動項HKCU\\Run: [iDuba Personal FireWall] D:\KAV6\KAVPFW.EXE
O8 - IE右鍵表菜單中的新增專案: &使用迅雷下載 - d:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - IE右鍵表菜單中的新增專案: &使用迅雷下載全部鏈接 - d:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - IE右鍵表菜單中的新增專案: Google 搜索(&G) - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - IE右鍵表菜單中的新增專案: 使用網際快車下載 - D:\Program Files\FlashGet\jc_link.htm
O8 - IE右鍵表菜單中的新增專案: 使用網際快車下載全部鏈接 - D:\Program Files\FlashGet\jc_all.htm
O8 - IE右鍵表菜單中的新增專案: 反向鏈接 - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - IE右鍵表菜單中的新增專案: 新增到QQ自定義面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右鍵表菜單中的新增專案: 新增到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右鍵表菜單中的新增專案: 用QQ彩信發送該圖片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O8 - IE右鍵表菜單中的新增專案: 類似網頁 - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - IE右鍵表菜單中的新增專案: 快取記憶體的網頁快照 - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - IE右鍵表菜單中的新增專案: 翻譯英文字詞(&T) - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O9 - 瀏覽器額外的按鈕: 金山卓越 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - url:http://www.joyo.com (file missing)
O9 - 瀏覽器額外的按鈕: 訊息檢索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - 瀏覽器額外的按鈕: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - d:\Program Files\Tencent\QQ\QQ.EXE
O9 - 瀏覽器額外的「工具」表菜單項: 騰訊QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - d:\Program Files\Tencent\QQ\QQ.EXE
O9 - 瀏覽器額外的按鈕: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - 瀏覽器額外的「工具」表菜單項: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - 瀏覽器額外的按鈕: 金山毒霸網站 - {e1fc9760-7b95-49cd-80b9-8c9e41017b93} - url:http://www.duba.net (file missing)
O9 - 瀏覽器額外的按鈕: 線上查毒 - {f58d36c3-40be-4418-a786-d8fbe3eb3554} - d:\KAV6\kavie.HTM
O9 - 瀏覽器額外的按鈕: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 瀏覽器額外的「工具」表菜單項: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/1007/aliedit.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1133421299656
O17 - HKLM\System\CCS\Services\Tcpip\..\{76142965-3429-4F52-A1C0-FF4A7FD9581B}: NameServer = 218.2.135.1 61.147.37.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{76142965-3429-4F52-A1C0-FF4A7FD9581B}: NameServer = 218.2.135.1 61.147.37.1
O20 - AppInit_DLLs: apihookdll.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - NT 服務: Kingsoft AntiVirus Service (KAVSvc) - kingsoft Antivirus - d:\KAV6\KAVSvc.EXE
O23 - NT 服務: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

A:

看上去似乎沒有甚麼問題

找出以下檔案,使用 VirusTotal 或 Jotti Online Malware Scan 掃瞄以下檔案,並貼上掃瞄結果(可以兩個網址都掃瞄):

apihookdll.dll

O3 - IE工具欄增項: (no name) - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - (no file)
貌似這個要修復下滴說

hXXp://count.51yes.com 是站點流量計數器,本身沒有惡意行為

PPS 是什麼版本的? 是官方版本的嗎? 具體點擊哪個頻道出現問題的?

Q:

我已經修復了O3 - IE工具欄增項: (no name) - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - (no file)，但是沒有用，另外，掃瞄什麼檔案？

我使用的就是官方版本，具體的是：點擊鳳凰中文台和鳳凰資訊台就會出現彈出網頁面，其他的正常，無奈的是，這2個台我收看率特別高：（

A:

apihookdll.dll

psac · 2006-07-06, 08:49 AM

Q:

求助】幫忙看看 HijackThis 掃瞄日誌

掃瞄日誌如下：

Logfile of HijackThis v1.99.1
Scan saved at 19:05:33, on 2006-7-5
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Tencent\QQ\QQ.exe
C:\WINDOWS\system32\system\explerer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Thunder\Program\Thunder5.exe
D:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\COUNAL~1\LOCALS~1\Temp\Rar$EX00.364\HijackThis.exe

O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\Thunder\ComDlls\XunLeiBHO_001.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [Thunder] D:\Thunder\Thunder.exe /s
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\system\explerer.exe
O4 - HKLM\..\Run: [systray] http://yy888.900me.com
O4 - HKLM\..\Run: [SystemTray] http://158.7net.cn
O4 - HKLM\..\Run: [SysteTray] http://5678.7net.cn
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 使用迅雷下載 - D:\Thunder\Program\GetUrl.htm
O16 - DPF: {C661F36D-DF85-4EF4-83C7-E107B83D04B1} (WebActivater Control) - http://dl_dir.qq.com/3dshow/3DShowVM.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B142D058-9E3E-4B72-BBE1-DB7C17B40F4A}: NameServer = 211.98.4.1 211.98.2.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3B78CAF-4275-4B85-BEEF-2244AB48C100}: NameServer = 211.98.2.4,211.98.4.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Promise Technology, Inc. - (no file)

好像主要就是這三個東東：
O4 - HKLM\..\Run: [systray] http://yy888.900me.com
O4 - HKLM\..\Run: [SystemTray] http://158.7net.cn
O4 - HKLM\..\Run: [SysteTray] http://5678.7net.cn

用「upiea_v2_beta6」無法清除？暈死~~~~~~~~~~

在打開一個音樂網站後，不知為何，就更改了我的主頁，並自執行網頁。。。

A:C:\WINDOWS\system32\system\explerer.exe
O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\system\explerer.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Promise Technology, Inc. - (no file)

修復並刪除相關的文件！

Q:
可否再說的明白點啊？謝謝！

還想請問下幾個不明白之處：
1> 在組策略下已禁止了「註冊表、批處理」功能；
2> 將「組策略、註冊表」已壓縮打包為壓縮包裝；

註冊表已經死死的鎖死了，為什麼還能修改到註冊啊？多謝！

A:

1.開啟HijackThis,按 Do a system scan only,選取以下專案,按 Fix checked 修復

O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\system\explerer.exe
O4 - HKLM\..\Run: [systray] http://yy888.900me.com
O4 - HKLM\..\Run: [SystemTray] http://158.7net.cn
O4 - HKLM\..\Run: [SysteTray] http://5678.7net.cn

2.
找尋以下檔案/資料夾並將之刪除，方法:

1)

開始>搜尋>立即搜尋下方的"搜尋選項">點選"進階選項">除"大小寫視為相異"之外全部選取>在"名稱"一欄打上想找之名字>搜尋

2)人手搵:搵唔到檔案/Folder,可試試作出以下設定

a) 控制台--->資料夾選項--->檢視
b) 不要選隱藏保護的作業系統檔案
c) 選顯示所有檔案和資料夾
d) 按確定即可

應刪除之檔案/資料夾名稱:

C:\WINDOWS\system32\system\explerer.exe

刪不到可重新開機按f8進入安全模式剷除
結束工作行程
C:\WINDOWS\system32\system\explerer.exe
修復
O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\system\explerer.exe
O4 - HKLM\..\Run: [systray] http://yy888.900me.com
O4 - HKLM\..\Run: [SystemTray] http://158.7net.cn
O4 - HKLM\..\Run: [SysteTray] http://5678.7net.cn
重啟電腦
刪除 C:\WINDOWS\system32\system\explerer.exe
修復O23 - Service: Windows User Mode Driver Framework (UMWdf) - Promise Technology, Inc. - (no file)

psac · 2006-07-07, 06:59 PM

授之以魚不如授之以漁：HijackThis詳解

寫在前面的話

自從HijackThis這個強力工具出現以後，各大論壇就不乏求道解惑的帖子。
而網上各種版本的中文教程也層出不窮，但都大同小異，特別是對於HijackThis的運作機理剖析不夠，
以至於很多人盲目使用，輕則沒有效果，重則損壞系統，讓好好的一個工具成了擺好看。
本文依據bleepcomputer.com的HijackThis Tutorial & Guide翻譯而來。
文章詳細分析了HijackThis的執行機制和修復手段，對每一個區段都作了詳細的說明，並隨著版本的更新而不斷修訂。

HijackThis專案詳解

R0，R1，R2，R3 區段

這一個區段包括Internet Explorer起始頁、主頁以及Url搜索鉤子。

R0 對應於Internet Explorer起始頁和搜索助手。

R1 對應於Internet Explorer搜尋功能和其他特性。

R2 目前沒被使用。

R3 對應於 Url 搜索鉤子。Url搜尋鉤子用於當你在瀏覽器的地址欄中鍵入一個http:// 或者ftp:// 等協議的地址的時候。
當你輸入這種地址時，瀏覽器將會嘗試靠它自己理解選擇正確的協議，如果失敗了它將會使用在 R3 區段中列出的 UrlSearchHook 試著找到你輸入的地址。

註冊表鍵：
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page
HKCU\Software\Microsoft\Internet Explorer\Main: Start Page
HKLM\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKLM\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default)
HKCU\Software\Microsoft\Internet Explorer\Main: Window Title
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyOverride
HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext
HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=
HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant

例子列表 R0 - HKCU\software\Microsoft\Internet Explorer\Main,Start = http://www.google.com/

一個通常的疑問是緊接著其中一些專案的Obfuscated代表什麼意思。當某項被標注為Obfuscated的時候意味著它將難以被察覺或者瞭解。
在間諜軟件術語中那意謂著間諜軟件或者劫持程式藉由把數值轉換成它容易地瞭解，但人類難以理解的一些其它的形式來隱藏它們的專案，
例如把專案以十六進制的形式加入註冊表。這是隱藏它們的存在且使其難以被移除的慣用伎倆。

如果你不認識R0和R1中任何一個所指向的網站，並且你想要改變它，那麼你可以讓 HijackThis 安全地修復它們，
使它們不會對你的 Internet Explorer 設置造成危害。如果你想看看它們是怎樣的網站，你可以去訪問那些站點，
而且如果它有許多彈出視窗和鏈接，你幾乎可以總是刪除它們。需要注意的是如果R0/R1指向的是一個文件，
當你用 HijackThis 修復該專案時，Hijackthis 將不會刪除指定的文件，你必須手動刪除它。

有些以下劃線(_)結束的特定的 R3 專案。比如它會看起來像是下面這個例子：

R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file)

注意 CLSID，它是在 {} 之間的那些數位，有一個 _ 跟在它的末尾，用 HijackThis 移除它們有些時候可能會有困難。
要修復它你需要去下面的註冊表鍵手動刪除指定的註冊表專案：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

刪除在它下面的你想要移除的CLSID專案。請不要改動 CFBFAE00-17A6-11D0-99CB-00C04FD64497 這個CLSID，因為它是合法的預定值之一。

除非你認識被用於 UrlSearchHook 的軟件，否則你通常應該 Google 一下並在做過一些研究之後，再讓 HijackThis 修復它。

F0，F1，F2，F3 區段

這些區段包括從你的.ini文件，system.ini，win.ini以及註冊表中等效的位置載入的應用程式。

F0 對應於 system.ini中的 Shell= 語句。在 system.ini 的 shell= 語句在 Windows 9X 及以下(ME也有使用?)的操作系統中被用於
指定哪個程式會為作為操作系統的外殼。外殼是負責載入你的桌面，處理窗囗管理，而且讓使用者與系統互動的程式。當Windows啟動時，
在shell語句之後列出的任何的程式都會被載入，並且充當預定的外殼。有一些程式可以被做為合法的外殼替代品，
但是他們通常已經不再被使用。
Windows 95 和 98 (Windows ME?)使用 Explorer.exe 作為它們的預定外殼。Windows 3.X 使用 Progman.exe 作為它的外殼。
也可以在與 shell= 的同一行上列出多個將在Windows載入同時啟動的其他程式，例如 Shell=explorer.exe badprogram.exe。
當 Windows 啟動的的時候，這一行將會載入兩個程式。

F1 對應於在 win.ini 中的 Run= 或者 Load= 專案。在 Run= 或者 Load= 之後列出的任何的程式將會在Windows啟動的時候載入。
Run= 語句主要在 Windows 3.1，95和98 時期用於保持和較舊的程式的向後相容性。大多數的現代程式不再使用這個 ini 設定，
而且如果你並不使用較舊的程式你可以確定它們是可疑的。而Load= 語句被用於為你的硬體載入驅動程式。

F2 和 F3 專案對應於 F0 和 F1 的等效位置，但是它們在Windows XP，2000 和 NT中改為在註冊表中儲存。
這些版本的Windows通常不使用 system.ini 和 win.ini 文件。他們使用被稱為 IniFileMapping 的一個功能來代替向後相容性。
IniFileMapping 將.ini文件的所有的內容加入註冊表中，用鍵來存儲.ini中的的每一行。
當你執行一個需要從.ini文件中讀取它的設置的程式時，它將會首先檢查註冊表鍵：
HKEY_LOCAL_MACHINE\software\Microsoft\ windows nt\CurrentVersion\ IniFileMapping 做.ini 映射，
如果順利找到將會改為讀取來自那裡的設置。你可以看到這個鍵包含了IniFileMapping所引用的.ini文件。

在 F2 經常出現的另外一個專案是UserInit項，對應於Windows NT，2000，XP以及2003中的：
HKLM\Software\Microsoft\ windows nt\CurrentVersion\Winlogon\Userinit。
這個鍵指明哪個程式應該在用戶登入之後啟動。這個鍵的預定程式是 C:\windows\system32\userinit.exe。
Userinit.exe是為你的用戶賬戶恢復自己的的配置，字型，色彩等設置的程式。可以通過將要執行的程式以逗號隔開來增加的更多的程式。
舉例來說：
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit=C:\windows\system32\userinit.exe,c:\windows\badprogram.exe。
當你登入的時候，這兩個程式都會啟動，這是一個常被特洛伊木馬、劫持程式和間諜軟件所利用的位置。

註冊表鍵：
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

使用的文件：
c:\windows\system.ini
c:\windows\win.ini

例子列表 F0- system.ini: shell=Explorer.exe Something.exe
F2-REG:system.ini: UserInit=userinit,nddeagnt.exe
F2-REG:system.ini: shell=explorer.exe beta.exe

對於 F0 ，如果你見到一個類似 Shell=Explorer.exe something.exe 的描述，那麼你應該確實的刪除它。你通常可以刪除這些專案，
但是你應該查詢 Google 和在下面列出的網站。

對於 F1 專案你應該google下在這裡找到的專案以確定他們是否合法的程式。你也可以在下面的網站搜尋這些專案看看它是什麼。

對於 F2, 如果你見到「UserInit=userinit.exe,」有或者沒有「nddeagnt.exe」，就像上述的例子中那樣，那麼你可以不理會它。
如果你見到 UserInit=userinit.exe(注意沒有逗點) 那仍然沒有問題，因此你應該不需要理會它。
如果你在 userinit.exe 後面發現其它的專案,那很可能是特洛伊木馬或其他的惡意程式。
F2 Shell=也是一樣：如果你單獨見到「explorer.exe」，它應該沒有問題，否則，如果類似上面的例子，
那麼它可能是潛在的特洛伊木馬或惡意程式。你通常可以刪除這些專案，但是你應該查詢 Google 和在下面列出的站點。

請注意當修復這些專案的時候 HijackThis 不會刪除除與它關連的文件。你一定要手動刪除這些文件。

你可以在下面的站點尋找相關訊息：

Bleeping Computer Startup Database
Answers that work
Greatis Startup Application Database
Pacman's Startup Programs List
Pacman's Startup Lists for Offline Reading
Kephyr File Database
Wintasks Process Library

N1，N2，N3，N4 區段

這些區段對應於Netscape和 Mozilla 瀏覽器的起始頁和預定搜索頁。

這些專案被儲存在C:\Documents and Settings\YourUserName\Application Data 資料夾下不同的位置的 prefs.js 文件中。
Netscpae4 專案在通常存儲在應用程式目錄的 prefs.js 文件中，類似下面的位置C:\Program Files\Netscape\user\default\prefs.js。

N1 對應Netscape4 啟始頁和預定搜尋頁。

N2 對應Netscape6 啟始頁和預定搜尋頁。

N3 對應Netscape7 啟始頁和預定搜尋頁。

N4 對應Mozilla 啟始頁和預定搜尋頁。

使用的文件：prefs.js

由於間諜程式和劫機程式大多傾向於瞄準Internet Explorer所以這些專案通常是安全的。如果您發現在這裡列出的網站不是您設置的，
您可以使用HijackThis修復它。目前只有一個已知的會改變這些設定的網站，就是在這裡被討論的 Lop.com。

O1 區段

這個區段對應主機（Host）文件重定向。

主機文件包含主機名（hostnames）到IP地址的映射。舉例來說，如果我在我的主機文件中輸入：

127.0.0.1 www.bleepingcomputer.com

當你試圖訪問 http://www.bleepingcomputer.com的�...換成IP地址 127.0.0.1 而不是它的正確地址。

主機文件重定向是指，一個劫持程式修改了你的主機文件，在你的試圖訪問一個特定的網站時候將你重定向到另外一個網站。
因此如果某人增加一個專案類似於：

127.0.0.1 www.google.com

那麼當你試圖訪問 www.google.com時你會被重定向到 127.0.0.1 這個你自己的電腦的地址。

例子列表 O1 - Hosts: 192.168.1.1 www.google.com

使用的文件：主機文件是能被任何文本文件編輯程式編輯的一個文本文件，在不同操作系統被預先設定儲存在下列的位置中，除非你選擇了不同的安裝路徑 -

操作系統位置
Windows 3.1 C:\WINDOWS\HOSTS
Windows 95 C:\WINDOWS\HOSTS
Windows 98 C:\WINDOWS\HOSTS
Windows ME C:\WINDOWS\HOSTS
Windows XP C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Windows NT C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

在Windows NT/2000/XP中主機文件的位置能夠通過修改註冊表鍵來改變。

註冊表鍵： HKEY_LOCAL_MACHINE\system\CurrentControlSet\Service\Tcpip\Parameter\: DatabasePath

如果你見到某個專案類似於上面的例子，並且你知道他們不是作為特定的原因存在的，你可以安全地移除他們。

如果你發現一個專案的主機文件位於 C:\Windows\Help\Host，這意味著你感染了 CoolWebSearch。
如果主機文件不在上表中的操作系統的預定位置上，那麼它很有可能是由於被感染而引起的，你應該讓 HijackThis 修復它。

你也可以下載Hoster程式使你能夠恢復預定的主機文件。只要下載Hoster程式並執行它，點擊Restore Original Hosts按鈕然後退出即可。

O2 區段

這個區段對應於瀏覽器輔助程式對像（Browser Helper Object）。

瀏覽器輔助程式對象是為你的瀏覽器擴充功能的插件。他們可能被用於間諜程式和合法的程式，像是 Google 工具欄和 Adobe Acrobat Reader。
當你要決定是否移除它們的時候，你最好先研究下它們是否可能是合法的。

註冊表鍵： HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
例子列表 O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872}- C:\Program Files\Norton Antivirus\NavShExt.dll

這裡有一個由Tony Klein 編譯的關於瀏覽器輔助程式對像和工具欄的已知 CSLIDs 的優良列表，在這裡:CLSID 列表。
當查閱列表的時候，使用列出的在花括弧({})之間的數位作為 CLSID。
這些列出的 CLSID 相關的註冊表專案包含了關於瀏覽器輔助程式對像和工具欄的訊息。

當你用 HijackThis 修復這一類型的專案的時候， HijackThis 將會嘗試刪除列出的引起問題的文件。
有時即使Internet Explorer已經關閉，文件卻仍然在使用中。如果在你用 HijackThis 修復它之後，文件仍然存在，
建議你重新啟動進入安全模式刪除有問題的文件。

O3 區段

這個區段對應於Internet Explorer 工具欄。

這些是在Internet Explorer的導航欄的下面的工具欄以及表菜單。

註冊表鍵： HKLM\Software\Microsoft\Internet Explorer\Toolbar
例子列表 O3 - Toolbar: Norton Antivrius - {42CDD1 BF-3 FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll

這裡有一個由Tony Klein 編譯的關於瀏覽器輔助程式對像和工具欄的已知 CSLIDs 的優良列表，在這裡:CLSID 列表。
當查閱列表的時候，使用列出的在花括弧({})之間的數位作為 CLSID。
這些列出的 CLSID 相關的註冊表專案包含了關於瀏覽器輔助程式對像和工具欄的訊息。

當你用 HijackThis 修復這一類型的專案的時候， HijackThis 將會嘗試刪除列出的引起問題的文件。
有時即使Internet Explorer已經關閉，文件卻仍然在使用中。如果在你用 HijackThis 修復它之後，文件仍然存在，
建議你重新啟動進入安全模式刪除有問題的文件。

O4 區段

這個區段對應在確定的註冊表鍵處和啟動資料夾中列出的將自動在Windows 啟動時被載入的應用程式。
在這裡被列出的註冊表鍵適用於 Windows XP，NT，和 2000。如果它們也適用於其他的操作系統，請告訴我：

如果它看起來像一個註冊表鍵，它應該在下面列出註冊表鍵列表之中。

Startup: 這些專案提及的應用程式藉由把它們放入已登入的使用者的啟動組中來載入。

Global Startup: 這些專案提及的應用程式藉由把他們放入所有的使用者的啟動組中來載入。

啟動註冊表鍵：
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

注意: HKLM 代表 HKEY_LOCAL_MACHINE，而 HKCU 代表 HKEY_CURRENT_USER。

啟動位置的完整列表和它們的作用可以在這裡找到：Windows Program Automatic Startup Locations

使用的目錄：
Startup: c:\documents and setting\username\start menu\program\startup
Global: c:\documents and setting\all user\start menu\program\startup

例子列表 04- HKLM\..\Run: [nwiz] nwiz.exe/install

當你修復 O4 專案的時候，HijackThis不會刪除與專案關連的文件。你通常必須重新啟動進入安全模式手動刪除它們，
清除Global Startup和Startup專案的工作稍微有些不同。HijackThis 將會刪除這些專案中找到的快捷方式，而不是他們所指向的文件。
如果是一個可執行程式駐留在Global Sartup或者Startup目錄中那麼有問題的專案將被刪除。

雖然許多合法的程式也已這種方式啟動，一個專案可能看起來像正常的但仍然可能是一個惡意程式。
你應該為 O4 專案查詢下面的列表：

Bleeping Computer Startup Database
Answers that work
Greatis Startup Application Database
Pacman's Startup Programs List
Pacman's Startup Lists for Offline Reading
Kephyr File Database
Wintasks Process Library
Windows Startup Online Database

O5 區段

這個區段對應於控制板中的Internet選項顯示控制。

至少在Windows XP中你可以藉由在 c:\windows\control.ini 中增加條目來制定哪些特定的控制板不可見的。

使用的文件： control.ini

例子列表 O5 - control.ini: inetcpl.cpl=no

如果你見到類似上面那行，那麼那可能是一個信號：某個軟件正在嘗試使你難以改變你的設定。
除非它這麼做是出於某個特定的已知理由，比如系統管理員設定的策略或者 Spybot- S&D 所做的限制，否則你可以讓HijackThis修復它。

O6 區段

這個區段對應於通過變更註冊表的特定設置對在Internet Explorer的選項或主頁進行一個管理性的鎖定。

註冊表鍵： HKCU\Software\Policy\Microsoft\Internet Explorer\Restrictions

例子列表 O6 - HKCU\Software\Policy\Microsoft\Internet Explorer\Restrictions

這些項應該只在系統管理員故意如此設定或者使用了Spybots的Mode->Advanced Mode->Tools->IE Tweaks中的首頁和選擇項鎖定時出現。

O7 區段

這個區段對應於通過變更註冊表的一個專案從而不允許執行註冊表編輯器。

註冊表鍵： HKCU\Software\Microsoft\Windows\CurrentVersion\Policy\System

例子列表 O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policy\System: DisableRegedit=1

請注意，許多系統管理員在辦公室環境下故意將此項鎖定，這時讓 HijackThis 修復它可能會違背的企業的政策。
如果你是系統管理員而它在沒有經你許可下就被啟用了，那麼讓 HijackThis 修復它。

O8 區段

這一個區段對應於在Internet Explorer的上下文表菜單中發現的額外的專案。

這意謂當你在你當前瀏覽的網頁上右擊的時候，你將會見到這些選項。

註冊表鍵： HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

例子列表 O8 - Extra content menu item: &Google Search - res：//c:\windows\GoogleToolbar1.dll/cmsearch.html

這些列出的專案表示當你右擊一下的時候，將會在表菜單中出現的物件，以及當你實際按下某個選項時會呼叫的程式。
特定例子，類似 "Browser Pal" 總是應該被移除，而且其餘的應該使用Google研究下。在這裡你可能找的一個合法程式的例子是Google Toolbar。

當你修復這些類型的專案的時候，HijackThis 不會刪除列出的有問題的文件。建議你重新啟動進入安全模式刪除有問題的文件。

O9 區段

這個區段對應於在Internet Explorer工具欄上的按鈕或者在Internet Explorer的『工具』表菜單中非預定安裝的專案。

註冊表鍵： HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extension registry key。

例子列表 O9 - Extra Button: AIM (HKLM)

如果你不需要這些按鈕和表菜單項或者知道他們是惡意程式，你可以安全地移除他們。

當你修復這些類型的專案的時候，HijackThis 不會刪除列出的有問題的文件。建議你重新啟動進入安全模式刪除有問題的文件。

O10 區段

這個區段對應於 Winsock 劫持程式或者其它已知的LSP.(Layered Service Provider)

LSPs 是一種將其它程式鏈接到你的電腦的 Winsock 2 設備一種方法。因為LSPs彼此鏈接在一起，當使用 Winsock 的時候，
資料也會在鏈中的每個LSPs間傳輸。間諜軟件和劫持程式能夠使用 LSPs 監視在你的因特網連接之上傳輸的所有的流量。

當刪除這些對象的時候，你應該極度的小心，如果它在沒有適當地修復鏈中的中斷點之前就被移除，你有可能會失去因特網連接。

例子列表 O10 - Broken Internet access beacuse of LSP Provider 'spsublsp.dll' missing

許多病毒掃瞄軟件開始在Winsock層掃瞄病毒、特洛伊木馬等。問題是它們大多數在刪除有問題的 LSP 之後沒有以正確的順序重建LSPs。
這可能導致 HijackThis 發現一個類似於上面例子的問題並發出警告，即使因特網仍然能夠工作。
在修復這些錯誤的時候，你應該因此尋求來自一個富有經驗的使用者的建議。同時也建議你使用在下面鏈接的 LSPFix 來修復它們。

Spybot通常能夠修復它們但請確認你擁有最新的版本。
或許你可以使用專門為這類型的問題題設計的一個工具，叫做 LSPFix。你也可以訪問Zupe's LSP List Page的列表來檢視它們是否合法。

O11 區段

這個區段對應於已經被新增到 IE 的Internet選項的高階選擇項的一個非預定的選項組。

如果你打開IE的Internet選項，你將會見到一個高階選擇項。通過在一個註冊表鍵下面增加一個專案可以在那裡顯示一個新的組。

註冊表鍵： HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\AdvancedOptions

例子列表 O11 - Options group: [CommonName] CommonName

據 HijackThis 的作者Merijn的表示，目前只有一個已知的劫持程式使用這個專案，它就是 CommonName。
如果你在列表中見到 CommonName，你可以安全地移除它。如果它是另外的一個專案，你應該 Google 一下。

O12 區段

這個區段對應於IE瀏覽器擴展。

IE瀏覽器擴展是當IE啟動時載入的，為IE提供功能擴展的一些程式。有許多瀏覽器擴展是合法的，比如PDF檢視器和非標準圖像檢視器。

註冊表鍵： HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Plugins

例子列表 Plugin for .PDF: C:\ Program Files\Internet explorer\plugin\nppdf32.dll

大多數的瀏覽器擴展是合法的，在你刪除它們之前因此你應該先Google一下你不認識的專案。
一個已知的你應該刪除的瀏覽器擴展是以OFB為延伸名的Onflow plugin。

當你用 HijackThis 修復這些類型的專案的時候，HijackThis 將會嘗試刪除列出的有問題的文件。有時候即使IE已經關閉，文件可能仍被使用。
如果在你用 HijackThis 修復它之後，文件仍然存在，建議你重新啟動進入安全模式刪除有問題的文件。

O13 區段

這個區段對應於一個 IE 預定前綴（DefaultPrefix）劫持。

預定前綴是一個Windows設置，指定如何處理沒有在前面輸入http://、ftp:// 等的網址。
預定情況下 Windows 將會在開頭附加 http://做為預定的 Windows 前綴。你可以通過編輯註冊表將這換成一個你選擇的預定前綴。
CoolWebSearch 這種劫持程式正是通過將其改為 http://ehttp.cc/? 來作惡。這意謂當你想連接一個網址比如說 www.google.com，
你將會訪問 http://ehttp.cc/?< wind_code_48 > ，這實際上是 CoolWebSearch 的網站。

註冊表鍵： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\

例子列表 O13 - WWW. Prefix: http:// ehttp.cc/?

如果你遇到類似上面那個例子的問題，你應該執行 CWShredder。這個程式可以移除在你的機器上的 CoolWebSearch 的所有的已知變種。
你可以該在這裡閱讀如何使用 CWShredder 的指導：

How to remove CoolWebSearch with CoolWeb Shredder

如果 CWShredder 沒找到和修復問題，你應該總是讓 HijackThis 來修復這個專案。

O14 區段

這個區段對應於『重置 Web 設置』劫持。

在你的電腦上有一個文件用於將IE的選項重置回他們的 Windows 預定值。
這個文件儲存在 c:\windows\inf\iereset.inf 中而且包含需要使用的所有的預定設定。當你重置一個設定的時候，
它將會讀取該文件並且將指定的設定改為在文件中描述的值。如果一個劫持程式改變了在那一個文件中的訊息，
那麼當你重置那一個設定的時候，你將再次被感染，因為它將會讀取來自 iereset.inf 文件的不正確的訊息。

例子列表 O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

請注意這個設定有可能已經合法地被一個電腦製造商或機器的系統管理員改變。如果你不認識那些地址你應該修復它。

O15 區段

這個區段對應於在IE受信區域和預定協議中的站點或 IP 地址。

受信區域

IE的安全性以一組區域為基礎。每個區域有不同的安全措施來確定在此區域中的站點可以執行什麼腳本和應用程式。
這裡有被稱為受信區域的一個安全區域。這一個區域有最低的安全措施而且允許其中的站點在不需要你確認的情況下執行腳本和應用程式。
它因此成為惡意站點使用的一個常見伎倆，以便以後能很容易地通過在受信區域中的站點感染你的電腦。

註冊表鍵：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Internet Settings\ZoneMap\Domains
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges

例子列表 O15 - Trusted Zone: http://www.bleepingcomputer.com
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149(HKLM)

Domains或Ranges哪個將被IE使用決定於使用者正在嘗試訪問的網址。如果網址中包含一個域名，那麼它將會將會在Domains子鍵中搜尋符合的項。
如果它包含一個IP地址那就搜尋Ranges子鍵來查找符合的項。當網域新增為一個受信站點或者受限站點他們將被分配一個值來表示。
如果他們被分配到 *=4 這個值，那一個網域將會被新增到受限區域。如果他們的值為 *=2，那麼那一個網域將會被加到受信區域。

增加一個 IP 地址的工作稍微有些不同。在 Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges 鍵下，
你可以找到名為Ranges1，Ranges2，Ranges3，Ranges4，...的其他的鍵。每個子鍵對應於一個特定的信任區域/協議。
如果你增加一個 IP地址到一個安全區域，Windows 將會在以 Ranges1 為開始創建一個包涵該區域所有IP地址及特定協議的子鍵。
舉例來說，如果你增加如一個受信站點 http://192.168.1.1 ，Windows 會產生第一個可用的的Ranges鍵 (Ranges1) 而且增加一個數值 http=2。
任何將來的可信賴的 http:// IP 地址將會被新增加到 Range1 鍵。現在如果你增加一個使用 http 協議的受限的站點 (例如 http://192.16.1.10) ，
Windows 會按順序創建一個新的鍵，叫做Range 2。它的值會是 http=4，而且任何以後新增到受限站點的 IP 地址將會被放在這個鍵下。
每個協定和信任區域設定組合都會延續這種方式。

如果你曾經在這裡見到任何域名或者IP地址，除非它是一個你認識的網址，比如你的公司使用的，否則通常應該移除它。如果你希望修復它們，
你可以在free.aol.com找到一個公共的列表。當他們基本上是不必要的時候，
對我個人來講會把所有的專案從受信區域移除。

ProtocolDefaults

當你使用 IE 連接到一個站點的時候，那一個站點的安全權限授權於它所在的區域。5個區域中的每一個都有一種相關的具體的識別號碼。
這些區域以及它們相關聯的號碼的是：

區域區域映射
My Computer 0
Intranet 1
Trusted 2
Internet 3
Restricted 4

每一個用於連接到站點的協議，像是 HTTP、FTP、HTTPS，都被映射到這些區域其中的一個。下列各項是預定的映射：

協議區域映射
HTTP 3
HTTPS 3
FTP 3
@vit 1
shell 0

舉例來說，如果你連接到一個使用 http:// 的站點那麼將會是預定的Internet區域的一部份。這是因為 http 的預定區域是 3 即Internet區域。
如果惡意軟件改變了特定協議的預定區域那麼就會發生問題。舉例來說，如果惡意軟件已經將 HTTP 協議的預定區域改為 2，
那麼你使用 http 連接到的任何站點將會被認為是處於受信區域中。到現在為止尚沒有已知的惡意軟件利用它，但我們可能會看到HJT正在枚舉這個鍵。

註冊表鍵：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

如果預定的設定被改變你們將會見到一個類似下面的 HJT 專案：

例子列表 O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)

你可以簡單的通過HJT專案來修復這些設定使他們回到預定值。

O16 區段

這個區段對應於 ActiveX 對象也被稱為Downloaded Program Files。

ActiveX 對象是從網站下載到你的電腦上的程式。這些對像被儲存在 C:\Windows\Download Program Files下。
它們同樣以在花括號之間的那串數值作為 CLSID 來被註冊表引用。這裡有許多合法的 ActiveX，比如這個iPix Viewer的例子。

例子列表 O16 - DPF: {11260943-421B-11D0-8 EAC-0000C07D88 CF}-(iPix ActiveX 控制) http:// www.ipix.com/download/ipixx.cab

如果你發現不認識的名字或地址，你應該 Google 下看看它們是否是合法的。如果你感覺它們不是，你可以修復它們。
即便刪除了你電腦上的幾乎所有 ActiveX 對象也不會有什麼問題，因為你可以再次下載它們，
要知道有一些公司的應用程式也會使用ActiveX對象，所以要小心。你應該總是刪除帶有sex、porn、dialer、free、casino等詞語的 016 專案。

有一個叫做SpywareBlaster的帶有大量惡意 ActiveX 對象的資料庫的程式。你可以下載和通過它搜尋已知的 ActiveX 對像資料庫。
關於使用 SpywareBlaster 的指南可以在這裡找到：

Using SpywareBlaster to protect your computer from Spyware, Hijackers, and Malware.

當你修復 O16 專案的時候，HijackThis 將會嘗試從你的硬碟刪除他們。通常這不會有什麼問題，但是有時候 HijackThis 可能不能刪除有問題的文件。
如果發生了這種情況，請重新啟動進入安全模式刪除它。

O17 區段

這個區段對應於 Lop.com 域名入侵。

當你使用主機名像是 www.bleepingcomputer.com 而不是IP地址訪問一個網站的時候，你的電腦通過一個DNS服務器將主機名解析為一個IP地址。
域名入侵是指，劫持程式改變你的機器上的 DNS 服務器指向他們自己的服務器，他們能將你定向到他們希望的任何的位置。
藉由把 google.com 加入他們的 DNS 服務器，他們能在你試圖訪問 www.google.com 的時候，把你重定向到一個他們的選擇的網站。

例子列表 017- HKLM\system\CS1\service\VxD\ MSTCP: NameServer=69.57.146.14,69.57.147.175

如果你見到此專案而它並不屬於你所認識的ISP或者公司的網域，以及 DNS 服務器不屬於你的ISP或者公司，那麼你應該讓HijackThis修復它。
你可以到 Arin 查詢下 whois a 通過DNS服務器的IP地址來判斷他們屬於哪個公司。

O18 區段

這個區段對應於額外的協議和協議劫持。

這個方法通過將你的電腦使用的標準協議驅動更改為劫持程式所提供的驅動來實現。這讓劫持程式可以控制你的電腦以特定方式發送接受訊息。

註冊表鍵：
HKEY_LOCAL_MACHINE\Software\Class\PROTOCOLS\
HKEY_LOCAL_MACHINE\Software\Class\CLSID
HKEY_LOCAL_MACHINE\Software\Class\Protocol\Handler
HKEY_LOCAL_MACHINE\Software\Class\Protocol\Filter

HijackThis 首先讀取非標準的協議的註冊表協議區段。一但找到便在列出的CLSID中查詢於關於它的文件路徑的訊息。

例子列表 O18 - Protocol: relatedlinks - {5AB65DD4-01 FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll

通常嫌犯是CoolWebSearch，Related Links和Lop.com。如果你發現了這些項，你可以讓 HijackThis 修復它。

使用Google來看看文件是否是合法的。你也可以使用Castlecop's O18 List來幫助你確認文件。

需要注意的是修復這些專案似乎不會刪除與它有關的註冊表專案或文件。你應該重新啟動進入安全模式手動刪除有問題的文件。

O19 區段

這個區段對應於用戶式樣表劫持。

式樣表是描述html網頁面的佈局，彩色和字型如何顯示的一個模板。這一類型的劫持程式會重寫為殘障人士設計的預定式樣表單，
並引起大量的彈出視窗和潛在的速度降低。

註冊表鍵： HKEY_CURRENT_USER\software\Microsoft\Internet Explorer\Style\: User Stylesheets

例子列表 O19 - User style sheet: c:\Windows\Java\my.css

除非你確實創建了自己的式樣，否則你通常可以移除它們。

當你修復專案的這些類型的時候, HijackThis 不會刪除在列的有問題的文件。建議你重新啟動到安全模式刪除式樣表單。

O20 區段

AppInit_DLLs

這個區段對應於通過 AppInit_DLLs 的註冊表值和 Winlogon Notify 子鍵載入文件

AppInit_DLLs 註冊表值包含了當 user32.dll被載入時將會載入的一連串的動態鏈接庫。而大多數的 Windows 可執行程式都會使用user32.dll，
這意謂著任何在 AppInit_DLLs 註冊表鍵列出的DLL也會被載入。當它被多個工作行程裡面載入的時候，要移除 DLL 將會變得非常困難，
其中一些很難在不引起系統不穩定的情況下被終止。user32.dll文件也被很多當你登入時系統自動啟動的工作行程使用。
這意謂著 AppInit_DLLs 中的文件將會非常早在我們可以訪問系統之前就被載入，Windows 啟動程式可以允許DLL隱藏自身或保護自身。

這一個方法已知被一個 CoolWebSearch 的變種使用而且只能在註冊表編輯器中同過右擊數值檢視，並且選擇修改二進制資料。
另外 Registrar Lite 也可以相對容易的檢視這些DLL。

註冊表鍵： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

例子列表 O20 - AppInit_DLLs: C:\Windows\system32\winifhi.dll

有些使用這個註冊表鍵的合法程式，所以當刪除在列的文件的時候，你應該小心。
使用我們的Bleeping Computer Startup Database或Castlecops O20 list 來幫助你確認文件。

當你修復這一類型的專案的時候，HijackThis 不會刪除在列的有問題的文件。建議你重新啟動進入安全模式刪除有問題的文件。

Winlogon Notify

Winlogon Notify鍵通常被 Look2Me 感染。HijackThis 將會列出所有非標準的Winlogon Notify鍵，以便你能容易地發現哪一個是本不屬於那裡的。
你可以通過列出的在%SYSTEM%目錄下的一個隨機名字的Dll來確認 Look2ME 感染的鍵。即使它並不屬於那裡，該鍵也會有一個看似正常名字。

註冊表鍵： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

例子列表 O20 - Winlogon Notify: Extensions -C:\Windows\system32\i042laho1d4c.dll

當你修復這個專案的時候它將會移除註冊表中的鍵但保留文件。你必須手動刪除這個文件。

O21 區段

這個區段對應於通過 ShellServiceObjectDelayLoad 註冊表鍵載入的文件。

這個註冊表以於Run鍵相似的方式包含數值。與直接指向文件本身不同的是，它指向CLSID的InProcServer，它包含有關於正在被使用的特定DLL文件的資訊。

當你的電腦啟動的時候，在這個鍵下面的文件自動地被 Explorer.exe 載入。因為 Explorer.exe 是你的電腦的外殼程式，它總是會啟動，
那麼這樣一來在這個鍵下面的文件也總是會被載入。因此這些文件在任何人為干預發生之前就早在啟動過程中載入了。

使用方法的劫持程式能被下列專案辨認出：

例子列表 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\Windows\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\Windows\secure.html

註冊表鍵： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

例子列表 O21 - SSODL: System - {3CE8EED5-112D-4E37-B671-74326D12971E} - C:\Windows\system32\system32.dll

HijackThis 使用內部的的白名單來排除這個鍵下面的合法專案。如果你為這見到了這個個列表，那麼它就不是標準的而且應該被視為可疑的。
使用我們的Bleeping Computer Startup Database或Castlecops O20 list 來幫助你確認文件。

當你修復這些類型的專案時，HijackThis 不會刪除在列的有問題的文件。建議你重新啟動進入安全的模式刪除有問題的文件。

O22 區段

這個區段對應於通過 SharedTaskScheduler 註冊表值載入的文件。

當你啟動Windows的時候，這一個註冊表專案會自動地執行。當前只有CWS.Smartfinder使用這個鍵。

註冊表鍵： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

例子列表 O22 - SharedTaskScheduler: (no name){3F143C3A-1457-6CCA-03A7-7AAA23B61E40F} - c:\windows\system32\mtwirl32.dll

小心地移除該鍵所列出的專案，因為有些是合法的。你的可以使用 google 來瞭解它是否合法的。CWS.Smartfinder可以用CWShredder移除。
使用我們的Bleeping Computer Startup Database或Castlecops O20 list 來幫助你確認文件。

Hijackthis 將會刪除與SharedTaskScheduler相關的專案，但不會刪除它指向的 CLSID 以及CSLID 的 Inprocserver32 指向的文件。
因此你應該總是重新啟動到安全模式手動刪除這些文件。

O23 區段

這個區段對應於XP，NT和2003的系統服務。

服務是在Windows啟動時自動載入的程式。這些服務無論是否有使用者登入到電腦都會被載入，而且經常被廣泛用處理系統任務，
像是Windows操作系統功能，防病毒軟件或應用程式服務器。近來惡意軟件利用服務來感染電腦呈增加趨勢。
因此仔細調查列出的看起來不正確的每一個服務是很重要的。你可能找到的常見的惡意軟件服務是Home Search Assistant和Bargain Buddy的新變種。
你可以在下面找到一些相關的例子。

多數的微軟服務已經被加到白名單，因此他們將不會被列出。如果你想同時檢視它們你可以使用 /ihatewhitelists 參數啟動 HijackThis。

合法服務的例子：

例子列表 O23 - Service: AVG7 Alert Manager Server (Avg7 Alrt)- GRISOFT ， s.r.o。 - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

Home Search Assistant的例子：

例子列表 O23 - Service: Workstation NetLogon Service - Unknown - C:\Windows\system32\crxu.exe

Bargain Buddy 的例子：

例子列表 O23 - Service: ZESOFT - Unknown - C:\Windows\zeta.exe
O23 - Service: ISEXEng - Unknown - C:\Windows\system32\angelex.exe

當你修復一個 O23 專案的時候 Hijackthis 將會將這一個服務改為已禁用，並停止該服務，然後要求使用者重新啟動。
它將不會刪除註冊表中的服務或者它指向的文件。為了刪除它你需要知道服務名。這個名字是在括號之間的文本。
如果顯示出的名字和服務名字相同，那麼它就不會再列出服務名字。

有你可以用三種方法來刪除服務：

1. 通過在命令行提示字元下鍵入 XP 的 SC 指令來刪除它：

sc delete servicename

你可以使用下列的例子中的註冊表文件來刪除服務：

2. 使用註冊表文件刪除服務。下面的註冊表文件是一個該如何移除 Angelex.exe Bargain Buddy變種的例子：

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ISEXENG]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ISEXEng]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ISEXENG]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ISEXEng]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ISEXENG]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ISEXEng]

3. 使用 HijackThis 刪除服務。你可以點擊Config，MiscTools，按下Delete an NT service.. 按鈕。當它打開以後你應該輸入服務名按下OK。

要小心的移除這些鍵中列出的專案，它們大部分是合法的。你可以使用Bleeping Computer Startup Database來研究 O23 專案。

結論

HijackThis 是檢查瀏覽器的細節以及Windows 正在執行什麼的一個非常有力的工具。不幸地是要診斷 HijackThis 的掃瞄結果可能會很複雜。
希望我的忠告和解釋將會略微減輕它的複雜度。這個程式需要謹慎的使用，如果不正確地移除了一些專案會引起合法的程式出問題。
如果你有任何的疑問可以在我們的間諜軟體論壇中貼出來。

如果你希望得到關於使用HijackThis和其他的反間諜軟件移除的惡意軟件的更多資訊，你可以參加 Bleeping Computer HijackThis Trainee 計劃。

--
Lawrence Abrams
Bleeping Computer Internet Security and Spyware Tutorials

校訂訊息：
03/30/04: 增加所有的啟動位置到 O4 區段。增加關於 F2 區段的資訊。增加在文件末尾的已命名的錨鏈標籤使人們能夠鏈接到我。
03/31/04: 增加更完整的關於 F2 和 F3 區段的資訊。
04/01/04: 增加更多的迫切的關於病毒掃瞄器的不適當地鏈接了 LSPs的警告到 O10 區段。
04/09/04: 增加關於 CWShredder 的資訊到 O13 區段。
04/24/04: 增加關於 Obfuscated 的意義的資訊到 R 區段。
04/25/04: 增加在上頭位置的騙子警告並改變了風格以反映較新的指南。
05/21/04: 增加關於以_結束的 R3 專案的資訊。
07/09/04: 增加關於新的 O20，O21，O22 專案，新的工作行程管理和主機文件管理的資訊，以及在 1.98 版中的錯誤修正校訂。
12/24/04: 增加關於 1.99.0 版的新功能擴展更新了 O15 專案的資訊，在 O23 專案方面的訊息以及新功能像是多工作行程終止、廣告間諜和程式介面的訊息。
02/16/05: 增加關於 1.99.1 版的新功能的資訊。以及在新的 O15 專案的重點：預定協議和 O20 Winlogon Notify 鍵。
5/29/06: 更新了 O6 專案以反映免疫功能的正確位置。

本文為chenke_ikari翻譯，首發於豆腐的簡陋小屋
本文采用Creative Commons 署名-非商業性使用-相同方式共享 2.5 China 許可協議進行許可

psac · 2006-07-12, 11:33 AM

Q:

瀏覽IE時經常會自動彈出視窗

前一陣子裝了一個軟件，結果中標
那個程式就是往我電腦了裝了一堆沒有的助手啊或者啥的
我都一一刪了
但是後遺症是我每次打開ie都會彈出廣告的視窗（確定不是打開網站的彈出廣告）
而且在瀏覽中也是不是彈個廣告出來，奶奶的

但是我用TheWorld瀏覽網頁的時候沒問題，
哪位幫忙看看Hijackthis的日誌吧，多謝多謝

Logfile of HijackThis v1.99.1
Scan saved at 11:35:09, on 2006-7-9
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AWS\WeatherBug\Weather.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\acer\eRecovery\Monitor.exe
D:\Program Files\TheWorld\TheWorld.exe
D:\Program Files\Winamp\WINAMP.EXE
D:\Soft\殺毒軟件\ha_hijackthis_1991\HijackThis.exe

O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v11.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll
O2 - BHO: MyIEHelper Class - {16A770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_4687.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\Program Files\Tencent\QQ2006hack\騰訊QQ\QQIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: HBObject Class - {AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1} - C:\PROGRA~1\hbclient\HBHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [KAVPersonal50] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
O4 - HKLM\..\Run: [RichMedia] C:\WINDOWS\system32\Rundll32.exe "C:\PROGRA~1\hbclient\HBHelper.dll",WaitWindows
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Weather] C:\Program Files\AWS\WeatherBug\Weather.exe 1
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: 使用迅雷下載 - D:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: 使用迅雷下載全部鏈接 - D:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - Extra context menu item: 匯出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: 訊息檢索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PowerWord - {9A687CA6-D585-4947-9ED9-BE96071F5CD9} - C:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\Tencent\QQ2006hack\騰訊QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具條設置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\Tencent\QQ2006hack\騰訊QQ\QQIEHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O18 - Protocol: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} - C:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: talkto - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

A:

1. 用HijackThis,按 Do a system scan only,勾選以下專案,按 Fix checked 修復
O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll
O2 - BHO: MyIEHelper Class - {16A770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_4687.dll
2. 下載 惡意軟件清理助手 ,並儲存到桌面 (如有需要,把使用方法的圖同時儲存到桌面)

http://xs201.xs.to/xs201/06214/RogueCleaner.png

重新啟動,按 F8 進入安全模式 ,使用惡意軟件清理助手清理一次 ,之後回到正常模式,用HijackThis 掃瞄一個新log上來

Q:

多謝多謝，這回貌似好了，呵呵
多謝

這是整完之後的Hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 11:59:33, on 2006-7-9
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AWS\WeatherBug\Weather.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\acer\eRecovery\Monitor.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Soft\殺毒軟件\ha_hijackthis_1991\HijackThis.exe

O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v11.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\Program Files\Tencent\QQ2006hack\騰訊QQ\QQIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [KAVPersonal50] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Weather] C:\Program Files\AWS\WeatherBug\Weather.exe 1
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: 使用迅雷下載 - D:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: 使用迅雷下載全部鏈接 - D:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - Extra context menu item: 匯出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: 訊息檢索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PowerWord - {9A687CA6-D585-4947-9ED9-BE96071F5CD9} - C:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\Tencent\QQ2006hack\騰訊QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具條設置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\Tencent\QQ2006hack\騰訊QQ\QQIEHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O18 - Protocol: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} - C:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: talkto - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

[quote]引用第1樓tkabc於2006-07-09 23:48發表的「」:
1. 用HijackThis,按 Do a system scan only,勾選以下專案,按 Fix checked 修復
O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:WINDOWSsystem32wmpdrm.dll
O2 - BHO: MyIEHelper Class - {16A770A0-0E87-4278-B748-2460D64A8386} - C

ocuments and SettingsAll UsersApplication DataMicrosoftIEHelperIEHelper_4687.dll

A:

看上出沒大問題了~
如果已解決的話,把【求助】改做【已解決】

psac · 2006-07-13, 05:36 PM

Q:

【求助】請大俠看看我的電腦中了什麼病毒

症狀: 每次開機之後殺軟件自動檢測到很多被病毒感染的.EXE文件,沒辦,只有將被感染的文件冊除.但這樣電腦裡很多軟件因此不能用.很煩人.請大俠指點.
我用的是卡吧, 病毒就是清理不完.每次開機就會有提示有病毒
掃瞄日誌如下:
Logfile of HijackThis v1.99.1
Scan saved at 下午 09:00:49, on 2006-07-12
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\crypserv.exe
D:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
D:\WINPENJR\Win32\pphidpad.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\Twain_32\F6580\HotKey.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\TurboFTP\tftpsvc.exe
D:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\COMMON~1\DATADY~1\ACTIVE~1\WEBCAC~1.EXE
D:\Program Files\ACD\ACDSee\ACDSee.exe
D:\WINDOWS\system32\ntvdm.exe
D:\Documents and Settings\A Xing\桌面\HijackThis.exe

R3 - URLSearchHook: Tencent Url Search Hook - {DB8B2393-7A6C-4C76-88CE-6B1F6FF6FFE9} - D:\WINDOWS\Downloaded Program Files\TBHMain.dll
O2 - BHO: Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - D:\WINDOWS\Downloaded Program Files\TBHMain.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: 收音機(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PPHIDPAD] D:\WINPENJR\Win32\pphidpad.exe
O4 - HKLM\..\Run: [KAVPersonal50] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [HotKey] D:\WINDOWS\Twain_32\F6580\HotKey.exe
O4 - HKLM\..\Run: [shoket] D:\WINDOWS\System32\SHELLEXT\svchs0t.exe
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: Download all by Net Transport - D:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Download by Net Transport - D:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 匯出至 Microsoft Excel(&X) - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: 新增到QQ自定義面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 新增到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 新增到QQ自定義面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 新增到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ MMS傳送該圖片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O8 - Extra context menu item: 用QQ彩信發送該圖片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra button: PowerWord - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - D:\PROGRA~1\KINGSOFT\XDICT\ieplugin.DLL
O9 - Extra button: Joyo - {C8CE29C5-7589-11D3-B81B-0080C8DC5DC8} - D:\PROGRA~1\KINGSOFT\XDICT\ieplugin.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\QQ\QQ.EXE (file missing)
O9 - Extra 'Tools' menuitem: 騰訊QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\QQ\QQ.EXE (file missing)
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ嚃粗馱撿沭扢離 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\Tencent\QQ\QQIEHelper.dll
O11 - Options group: [TBH] QQ華硊戲刲坰
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Crypkey License - Unknown owner - D:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TurboFTP Sync Service (TBFTPSyncService) - TurboSoft,Inc - D:\Program Files\TurboFTP\tftpsvc.exe
O23 - Service: WebCacheService - Data Dynamics - D:\PROGRA~1\COMMON~1\DATADY~1\ACTIVE~1\WEBCAC~1.EXE

A:

請提供殺毒軟件發現EXE感染病毒的具體名稱
1）再次執行HijackThis軟件，選擇掃瞄系統報告
掃瞄完畢後，勾選下列專案並選擇修復
O4 - HKLM\..\Run: [shoket] D:\WINDOWS\System32\SHELLEXT\svchs0t.exe

並把...強烈建議到Windows Update把修正檔都裝上

描述：000
圖片：

http://bbs.crsky.com/1128632305/Mon_0607/64_90095_0ce896dcd0b7a5d.jpg

描述：111
圖片：

http://bbs.crsky.com/1128632305/Mon_0607/64_90095_be020f649de051e.jpg

問題依舊,此病毒專門感染共享文夾的中exe文件,
如下圖:

A:掃瞄日誌如下:
Logfile of HijackThis v1.99.1
Scan saved at 上午 09:31:37, on 2006-07-13
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\crypserv.exe
D:\WINDOWS\system32\slserv.exe
D:\Program Files\SoftEther\SoftEther.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\WFXSVC.EXE
D:\Program Files\Symantec\WinFax\WFXMOD32.EXE
D:\WINDOWS\slrundll.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Microtek\ScanWizard DI\ScannerFinder.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Symantec\WinFax\WFXCTL32.EXE
D:\Documents and Settings\ACCOUNT\桌面\HijackThis.exe

R3 - URLSearchHook: 捇誥翑忒 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yphtb.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yangling.dll
O2 - BHO: 捇誥翑忒 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - D:\PROGRA~1\KuGoo3\KUGOO3~1.OCX
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: 收音機(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: 捇誥翑忒 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O4 - HKLM\..\Run: [PPHIDPAD] C:\WINPENJR\win32\pphidpad.exe
O4 - HKLM\..\Run: [ScannerFinder] D:\Program Files\Microtek\ScanWizard DI\ScannerFinder.exe
O4 - HKLM\..\Run: [KAVPersonal50] D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: 匯出至 Microsoft Excel(&X) - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: 妏蚚KuGoo3狟婥(&K) - D:\Program Files\KuGoo3\KuGoo3DownX.htm
O8 - Extra context menu item: 新增到QQ自定義面板 - D:\D盤\紅葉\雜\qq\AddPanel.htm
O8 - Extra context menu item: 新增到QQ表情 - D:\D盤\紅葉\雜\qq\AddEmotion.htm
O8 - Extra context menu item: 氝樓善捇誥隆堐(&Y) - res://D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yrss.dll/YRSSMENUEXT
O8 - Extra context menu item: 新增QQ伺服器端我的最愛 - D:\D盤\紅葉\雜\qq\NAF.htm
O8 - Extra context menu item: 用QQ MMS傳送該圖片 - D:\D盤\紅葉\雜\qq\SendMMS.htm
O8 - Extra context menu item: 雅虎搜索 - res://D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll/246
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1109986659564
O23 - Service: Crypkey License - Unknown owner - D:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: SmartLinkService (SLService) - - D:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SoftEther Virtual LAN Card (SoftEther) - Unknown owner - D:\Program Files\SoftEther\SoftEther.exe" service (file missing)
O23 - Service: TurboFTP Sync Service (TBFTPSyncService) - TurboSoft,Inc - D:\Program Files\TurboFTP\tftpsvc.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - D:\WINDOWS\System32\WFXSVC.EXE

A:
此病毒會感染exe文件。
請關閉系統還原，更新windows，關閉不需要的共享，設置複雜的管理員密碼。
斷網進入安全模式查殺病毒。

psac · 2006-07-15, 03:10 PM

Q:

系統最近多出來個svchost.exe工作行程,總訪問網路

原來是沒有這個工作行程的,不知道正不正常.
hijackthis分析如下:
Logfile of HijackThis v1.99.1
Scan saved at 16:57:28, on 2005-9-12
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Tencent\QQ.exe
D:\Program Files\Serv-U\ServUDaemon.exe
D:\Program Files\Serv-U\ServUTray.exe
D:\Program Files\世界之窗瀏覽器(TheWorld Browser) V1.22 多語言完整綠色版\TheWorld.exe
C:\Documents and Settings\wxd\桌面\HijackThis.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v4.dll
O2 - BHO: (no name) - {046167AA-53C2-4576-B362-291D9E852269} - C:\WINDOWS\system32\BBDown.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - d:\Program Files\FlashGet\JCCatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Google 搜索(&G) - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: 使用網際快車下載 - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用網際快車下載全部鏈接 - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 反向鏈接 - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: 匯出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 新增到QQ自定義面板 - D:\Program Files\Tencent\AddPanel.htm
O8 - Extra context menu item: 新增到QQ表情 - D:\Program Files\Tencent\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信發送該圖片 - D:\Program Files\Tencent\SendMMS.htm
O8 - Extra context menu item: 類似網頁 - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: 快取記憶體的網頁快照 - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: 翻譯英文字詞(&T) - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O9 - Extra button: 訊息檢索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: 易趣購物 - {DE607141-AC19-421e-868A-8D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - Extra 'Tools' menuitem: 易趣購物 - {DE607141-AC19-421e-868A-8D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E6B3212-DC72-47D6-A5E5-0B6D59E68716}: NameServer = 202.118.66.6,202.118.66.8
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Cryptographic Servtres - Unknown owner - C:\WINDOWS\system32\temp2.tmp.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

A:

O23 - Service: Cryptographic Servtres - Unknown owner - C:\WINDOWS\system32\temp2.tmp.exe (file missing)
執行HijackThis，在主界面中相應專案前面的正方形裡用滑鼠點擊打勾，接著按下「Fix Checked」按鈕。會有一個安全提示，點擊「Yes」讓它繼續即可。

svchost.exe工作行程是在 C:\WINDOWS\system32\svchost.exe 這個地方的嗎？

他要訪問什麼地方？有Ip和連接阜嗎？

Q:
我按你說的做了,然後該怎麼辦?

不知道svchost.exe工作行程是不是在 C:\WINDOWS\system32\svchost.exe 這個地方,用哪個工具能查了?

它訪問什麼地方和IP,連接阜怎麼查,我不會

謝謝

A:
svchost.exe工作行程一般是在 C:\WINDOWS\system32\svchost.exe 這個地方的
你新開了什麼服務沒有？用工作行程檢視軟件看它呼叫了什麼dll文件。
使用下面工具 Process Explorer
簡介 :
「Windows 工作管理員」取代工具 - Process Explorer，哪個執行中的程式，與哪個特定的檔案有關聯？程式開啟的路徑為何？所執行的 DLL 檔是哪一個？Process Explorer 都能夠清楚地列示！

What's new in Version 10.2:

Vista integrity level and virtualized columns and process properties
Signed driver for 64-bit Vista for x64 processors

Ever wondered which program has a particular file or directory open? Now you can find out. Process Explorer shows you information about which handles and DLLs processes have opened or loaded.

The Process Explorer display consists of two sub-windows. The top window always shows a list of the currently active processes, including the names of their owning accounts, whereas the information displayed in the bottom window depends on the mode that Process Explorer is in: if it is in handle mode you’ll see the handles that the process selected in the top window has opened; if Process Explorer is in DLL mode you’ll see the DLLs and memory-mapped files that the process has loaded. Process Explorer also has a powerful search capability that will quickly show you which processes have particular handles opened or DLLs loaded.

The unique capabilities of Process Explorer make it useful for tracking down DLL-version problems or handle leaks, and provide insight into the way Windows and applications work.

Process Explorer works on Windows 9x/Me, Windows NT 4.0, Windows 2000, Windows XP, Server 2003, and 64-bit versions of Windows for x64 processors, and Windows Vista.

Process Explorer

http://www.sysinternals.com/images/screenshots/ProcessExplorer.gif

psac · 2006-07-24, 01:14 AM

【求助】Backdoor.Gpigeon.zlt
Q:

瑞星殺完毒後重新啟動又會出現老說IE有毒
Logfile of HijackThis v1.99.1
Scan saved at 11:23:31, on 2006-7-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
E:\瑞星\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
E:\瑞星\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
E:\瑞星\Rising\Rav\RavStub.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
E:\瑞星\Rising\Rav\RavTask.exe
C:\WINDOWS\system32\ctfmon.exe
E:\瑞星\Rising\Rav\Ravmon.exe
E:\騰訊QQ\QQ.exe
E:\騰訊QQ\TIMPlatform.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.391\HijackThis.exe

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll (file missing)
O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll (file missing)
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
O2 - BHO: Yahoo Bar - {F60FAB6F-115D-4797-9ED1-89793B930876} - C:\WINDOWS\ODBINT.dll (file missing)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [RavTask] "E:\瑞星\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\RunOnce: [RavStub] "E:\瑞星\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: >>彩信傳送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm
O8 - Extra context menu item: 上傳到QQ網路硬碟 - E:\騰訊QQ\AddToNetDisk.htm
O8 - Extra context menu item: 增加到QQ自訂面板 - E:\騰訊QQ\AddPanel.htm
O8 - Extra context menu item: 增加到QQ表情 - E:\騰訊QQ\AddEmotion.htm
O8 - Extra context menu item: 增加到雅虎收藏+ - http://myweb.cn.yahoo.com/post.html?F=D2_A
O8 - Extra context menu item: 增加到雅虎訂閱(&Y) - res://C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yrss.dll/YRSSMENUEXT
O8 - Extra context menu item: 用QQ彩信傳送該圖片 - E:\騰訊QQ\SendMMS.htm
O9 - Extra button: Yahoo 3.5G電子信箱 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm...&btn=yahoomail (file missing)
O9 - Extra button: 尋寶樂趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm...cns&btn=taobao (file missing)
O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm...ns&btn=yassist (file missing)
O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll (file missing)
O9 - Extra 'Tools' menuitem: 彩E精靈設定 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll (file missing)
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm...s&btn=yahoomsg (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm...cns&btn=repair (file missing)
O9 - Extra 'Tools' menuitem: 修復瀏覽器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm...cns&btn=repair (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm...=cns&btn=clean (file missing)
O9 - Extra 'Tools' menuitem: 清理上網記錄 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm...=cns&btn=clean (file missing)
O11 - Options group: [!CNS] 網路實名
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{59FC5D31-5F64-4DED-B3FF-F289E644BBA7}: NameServer = 202.102.152.3 202.102.154.3
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - E:\瑞星\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\瑞星\Rising\Rav\Ravmond.exe
O23 - Service: Windows XP Vista - Unknown owner - C:\WINDOWS\system32\SVCHOST.ini

A:
病毒救援一般病毒/木馬解決方法索引 (17/07更新)

以下是一些一般病毒/木馬解決方法

Q: 為什麼我的殺毒軟體/清理助手可查出病毒/木馬/惡意軟體,但總是不能徹底清除?
A: 可能病毒/木馬/惡意軟體正在執行/被使用了,你可以試試在安全模式下用殺毒軟體/清理助手清除

Q: 如何清除Win32.Parite,W32/Pate,Win32.Pinfi?
A: 你可以使用BitDefender的Win32.Parite專殺,下載後,按"Scan"即可
http://buy.bitdefender.com/bd/downlo...iparite-en.exe

Q: 如何清除灰鴿子,huigezi,GPigeon,Hupigon,Pigeon,BackDoor-ARR ?
A: 請看 http://bbs.crsky.com/read.php?tid=279444&fpage=1

Q: 如何清除灰鴿子06,Backdoor.Gpigeon.2006 ?
A: 請看 http://bbs.crsky.com/read.php?tid=644670&fpage=1

Q: 如何清除Searchnet.exe (trojan-spy.agent.iw) ??
A: 請看 http://bbs.crsky.com/read.php?tid=465430&fpage=1

Q: 如何清除BDGuard.sys (Rootkit.Win32.Agent.bo/Rookit.Agent.bo) ?
A: 請卸載百度搜霸/百度超級搜霸,卸載方法:
http://www.baidu.com/search/sobar.html#11
Kaspersky已經不報BDGuard.sys,如果你的Kaspersky還是報,請更新到最新的病毒庫

Q: 我的首頁被369.com劫持.....
A: 請看 http://bbs.crsky.com/read.php?tid=686642

Q: 程式的圖標都變花了.....
A: 你應該中了Worm.Viking,除了可用殺毒軟體做全盤查殺,清除所有已感染的檔案外
你還可以試試用瑞星提供的Worm.Viking專殺工具

如果將來有其他病毒/木馬解決方法,都會加到這個索引

有關WINLOGON,LSASS,SMSS這系列的木馬
Dr.Web: Trojan.PWS.Wow
KAV: Trojan-PSW.Win32.Wow/Lmir
Symantec: Infostealer.Wowcraft

啟動項(其中之一):
TProgram
ToP
Torjan Program

工作(其中之一):
%WinDir%\WINLOGON.exe
%WinDir%\SMSS.exe
%WinDir%\LSASS.exe

檔案(包括不同的變種,不同的變種可能有不同):
%WinDir%\1.com
%WinDir%\SMSS.exe
%WinDir%\SERVICES.exe
%WinDir%\LSASS.exe
%WinDir%\WINLOGON.exe
%WinDir%\ExERoute.exe
%WinDir%\EXPLORER.com
%WinDir%\FINDER.com
%WinDir%\EXERT.exe
%WinDir%\IO.SYS.BAK
%WinDir%\Debug\DebugProgram.exe
%WinDir%\Shell.sys
%WinDir%\Winsock32.DLL.SCF
%System%\Anskya0.exe
%System%\Anskya1.exe
%System%\rundll32.com
%System%\finder.com
%System%\msconfig.com
%System%\dxdiag.com
%System%\regedit.com
%System%\command.pif
%System%\i.com
%CommonProgramFiles%\intexplore.pif
%CommonProgramFiles%\inexplore.pif
%CommonProgramFiles%\iexplore.pif
%ProgramFiles%\Internet Explorer\Intexplore.com
%ProgramFiles%\Internet Explorer\Inexplore.com
%ProgramFiles%\Internet Explorer\iexplore.com
%SystemDrive%\bootconf.exe
%SystemDrive%\command.com
%SystemDrive%\command.exe
%SystemDrive%\pagefile.pif
D:\command.com
D:\pagefile.pif

PS:
-%WinDir%是環境變數,一般Windows XP(Windows),2000(WINNT)
-%System%是環境變數,一般Windows XP,2000為System32
-%CommonProgramFiles%是環境變數,一般Windows都是Common Files(在%ProgramFiles%內)
-%ProgramFiles%是環境變數,一般Windows都是Program Files
-%SystemDrive%是環境變數,哪個Drive有%WinDir%,一般都是System Drive(eg. C:\)

修改註冊表:
-修改檔案關聯
-修改Shell = Explorer.exe 1
-修改Protocol (HTTP,FTP,telnet)
還有很多很多......

解決方法:
a) 使用空游標寫的針對WINLOGN系列木馬的批次處理
http://bbs.crsky.com/read.php?tid=684906

b) 使用由本人寫的Trojan.PWS.Wow Removal Tool (在附件)
已測試過的平台: Windows XP SP2
使用方法:
-必須已裝上Microsoft .NET Framework 2.0 or Higher
http://www.microsoft.com/downloads/d...d-aab15c5e04f5
-執行前請先關閉任何正在使用中的程序(eg. QQ.exe,IE等等) 和視窗(eg. "我的電腦"等等)
-執行 Trjwow_rem.com
-建議先用 Do a quick scan and save a logfile 產生報告給說明人員看看
%SystemDrive%\Search_WOW.log
-用 Destroy 就可以進行清除和修復檔案關聯,清除後會有報告產生出來
%SystemDrive%\Remove_WOW.log

十分感謝xbs,cyberarmy,我其他朋友進行測試!
雖然已經經過其他人測試,證明沒有問題,
但使用後如有任何問題,本人不會負責
如發現任何Exception error,可跟本人聯絡

v0.2 Build 0717
MD5: 29149565c72c20701352745678af6ce3

===========
17/07:
a) 5:34pm - 發現Bug + 新變種.....正在更新中,請暫時不要用Build 0716
b) 8:10pm - 更新到v0.2 Build 0717!可以移除多兩個木馬檔案,新增檔案關聯功能,修正部份問題

Q:

試過拉~無效啊
只找出一個mag_hook.dll 案例子其他的文件全搜尋不到~

專殺工具什麼也查不到~》

A:

O23 - Service: Windows XP Vista - Unknown owner - C:\WINDOWS\system32\SVCHOST.ini

這個應該就是鴿子啦，目錄與例子稍有不同，但方法一樣

C:\WINDOWS\system32\SVCHOST.ini
C:\WINDOWS\system32\SVCHOST.dll
C:\WINDOWS\system32\SVCHOST_hook.dll
C:\WINDOWS\system32\SVCHOSTkey.dll
把system32目錄的文件按時間排序，看看和SVCHOST.ini修改時間近似的是否還有類似名字的文件？如果沒有只要你移除了C:\WINDOWS\system32\SVCHOST.ini應該也就可以了

Q:
方法我早試過無用我懷疑那個 mag_hook.dll 刪掉後過幾秒又自己新增。

可是按例子都早不到EXE和其他DLL文件

mag_hook.dll是系統的那個什麼放大鏡功能。如果沒有我說的文件了，瑞星還報毒嗎？

A:

為了更好的解決你的問題，需要你配合提供更多的訊息
1）請下載此貼的工具SYSTEM REPAIR ENGINEER軟體，
2）解壓到硬碟（非開啟壓縮檔案後直接執行）後執行並使用裡面的智能掃瞄功能掃瞄系統，再將掃瞄結果儲存。
3）將儲存的報告開啟後，複製貼上裡面的內容以回覆內容的形式發上論壇你的求助貼處，以便分析問題。
友情提示：請不要在對分析結果作出建議繼續行任何修復操作。

psac · 2006-07-24, 01:21 AM

Q:

煩各位兄弟幫我看看電腦有沒有問題!謝謝大家了!（已解決）

HijackThis_815漢化版掃瞄日誌 V1.99.1
儲存於 22:32:05, 日期 2006-7-19
作業系統： Windows XP SP2 (WinNT 5.01.2600)
瀏覽器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

當前執行的工作：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\VM303_STI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\SkyNet\FireWall\PFW.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\mshta.exe
C:\WINDOWS\system32\mshta.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
G:\系統檢測及最佳化\HijackThis1991漢化版病\HijackThis1991漢化版\HijackThis1991zww.exe

R3 - URLSearchHook: (no name) - {BAB1AC41-6FF7-4F2E-A04E-5C592CCFEA7D} - (no file)
O4 - 啟動項HKLM\\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - 啟動項HKLM\\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [關閉共享] G:\系統檢測及最佳化\關閉共享.bat
O8 - IE右鍵表單中的新增項目: &使用迅雷下載 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - IE右鍵表單中的新增項目: &使用迅雷下載全部連接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - IE右鍵表單中的新增項目: 上傳到QQ網路硬碟 - G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\AddToNetDisk.htm
O8 - IE右鍵表單中的新增項目: 增加到QQ自訂面板 - G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\AddPanel.htm
O8 - IE右鍵表單中的新增項目: 增加到QQ表情 - G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\AddEmotion.htm
O8 - IE右鍵表單中的新增項目: 用QQ彩信傳送該圖片 - G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\SendMMS.htm
O8 - IE右鍵表單中的新增項目: 豪傑超級解霸V8既時播放 - C:\Herosoft\HeroV8\MPURLGET.HTM
O9 - 瀏覽器額外的按鈕: 豪傑超級解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Herosoft\HeroV8\STHSDVD.EXE
O9 - 瀏覽器額外的「工具」表單項: 豪傑超級解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Herosoft\HeroV8\STHSDVD.EXE
O9 - 瀏覽器額外的按鈕: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 瀏覽器額外的「工具」表單項: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - NT 服務: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - NT 服務: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\systemram.exe" /service (file missing)

psac · 2006-07-24, 01:23 AM

Q:

2006-07-19,22:33:51

System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600)
- 管理權限用戶 - 完整功能

以下內容被選：
所有的啟動項目（包括註冊表、啟動檔案夾、服務等）
瀏覽器載入項
正在執行的工作（包括工作模組訊息）
文件關聯

啟動項目
註冊表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [Microsoft Corporation]
<關閉共享><G:\系統檢測及最佳化\關閉共享.bat> []
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<ATIPTA><"C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"> [ATI Technologies, Inc.]
<BigDog303><C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
<WinlogonNotify: AtiExtEvent><Ati2evxx.dll> [ATI Technologies Inc.]

==================================
啟動檔案夾
服務
[Ati HotKey Poller / Ati HotKey Poller]
<C:\WINDOWS\system32\Ati2evxx.exe><ATI Technologies Inc.>
[ATI Smart / ATI Smart]
<C:\WINDOWS\system32\ati2sgag.exe><>
[kavsvc / kavsvc]
<"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe"><Kaspersky Lab>
[Remote Administrator Service / r_server]
<"C:\WINDOWS\system32\systemram.exe" /service><N/A>

==================================
瀏覽器載入項
[豪傑超級解霸V8]
{367E0A21-8601-4986-9C9A-153BF5ACA118} <C:\Herosoft\HeroV8\STHSDVD.EXE, N/A>
[Messenger]
{FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9.ocx, Adobe Systems, Inc.>
[Windows Media Player]
{22D6F312-B0F6-11D0-94AB-0080C74C7E95} <C:\WINDOWS\system32\wmpdxm.dll, Microsoft Corporation>
[HTML Document]
{25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A>
[BitComet工作列]
{3F1ABCDB-A875-46C1-8345-B72A4567E486} <, N/A>
[Windows Media Player]
{6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[Microsoft Web 瀏覽器]
{8856F961-340A-11D0-A96B-00C04FD705A2} <C:\WINDOWS\system32\shdocvw.dll, Microsoft Corporation>
[Thunder Browser Helper]
{889D2FEB-5411-4565-8998-1DD2C5261283} <C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_001.dll, Thunder Networking Technologies,LTD>
[Internet Explorer]
{AC59ECB7-FE7A-43C8-B11D-6A81705F1FA7} <C:\WINDOWS\system32\Inetbar.dll, N/A>
[Microsoft Scriptlet Component]
{AE24FDAE-03C6-11D1-8B76-0080C744F389} <C:\WINDOWS\system32\mshtml.dll, Microsoft Corporation>
[SearchAssistantOC]
{B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A>
[VIDEO__X_MS_WMV Moniker Class]
{CD3AFA94-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[RealPlayer G2 Control]
{CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} <C:\WINDOWS\system32\rmoc3260.dll, RealNetworks, Inc.>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9.ocx, Adobe Systems, Inc.>
[&Yahoo! Companion]
{EF99BD32-C1FB-11D2-892F-0090271D4F88} <, N/A>
[&使用迅雷下載]
<C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm, N/A>
[&使用迅雷下載全部連接]
<C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm, N/A>
[上傳到QQ網路硬碟]
<G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\AddToNetDisk.htm, N/A>
[增加到QQ自訂面板]
<G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\AddPanel.htm, N/A>
[增加到QQ表情]
<G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\AddEmotion.htm, N/A>
[用QQ彩信傳送該圖片]
<G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\SendMMS.htm, N/A>
[豪傑超級解霸V8既時播放]
<C:\Herosoft\HeroV8\MPURLGET.HTM, N/A>

==================================
正在執行的工作
[PID: 484][\SystemRoot\System32\smss.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 536][\??\C:\WINDOWS\system32\csrss.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 568][\??\C:\WINDOWS\system32\winlogon.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\Ati2evxx.dll] <ATI Technologies Inc.><6.14.10.4119>
[PID: 612][C:\WINDOWS\system32\services.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 624][C:\WINDOWS\system32\lsass.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 780][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 824][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 896][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 952][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1028][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1244][C:\WINDOWS\system32\spoolsv.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1620][C:\WINDOWS\System32\alg.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 272][C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe] <ATI Technologies, Inc.><6.14.10.5166>
[C:\Program Files\ATI Technologies\ATI Control Panel\atipdsxx.dll] <ATI Technologies, Inc.><6.14.10.5166>
[C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATRPUIXX.CHS] <ATI Technologies, Inc.><6.14.10.5166>
[C:\Program Files\ATI Technologies\ATI Control Panel\atipdxxx.dll] <ATI Technologies, Inc.><6.14.10.5166>
[PID: 336][C:\WINDOWS\VM303_STI.EXE] <Vimicro><4, 3, 625, 61>
[C:\WINDOWS\system32\msdmo.dll] <N/A><N/A>
[C:\WINDOWS\system32\VM303Prp.Ax] <Vimicro><4.3. 625.61>
[PID: 344][C:\WINDOWS\system32\ctfmon.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 372][C:\WINDOWS\system32\conime.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1992][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 708][C:\Program Files\SkyNet\FireWall\PFW.exe] <廣州眾達天網技術有限公司><2.7.7.1004>
[C:\Program Files\SkyNet\FireWall\SKYMISC.DLL] <N/A><N/A>
[C:\Program Files\SkyNet\FireWall\COMPRESSWRAP.DLL] <N/A><N/A>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\scrchpg.dll] <Kaspersky Lab><5.0.1.18>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\scrch_ag.dll] <Kaspersky Lab><5.0.383.1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\FSSync.dll] <Kaspersky Lab><5.0.383.0>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\pr_rmt.dll] <Kaspersky Lab><5.0.383.0>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ccclient.dll] <Kaspersky Lab><5.0.383.1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\klipc.dll] <Kaspersky Lab><5.0.383.0>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\KLUtil.dll] <Kaspersky Lab><5.0.383.1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\rpt.dll] <Kaspersky Lab><5.0.383.2>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\CCIFACE.dll] <Kaspersky Lab><5.0.383.1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\prloader.dll] <Kaspersky Lab><5.0.383.0>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\prkernel.ppl] <Kaspersky Lab><5.0.383.0>
[c:\program files\kaspersky lab\kaspersky anti-virus personal pro\prstring.ppl] <Kaspersky Lab><5.0.383.0>
[c:\program files\kaspersky lab\kaspersky anti-virus personal pro\pr_srv.ppl] <Kaspersky Lab><5.0.383.0>
[c:\program files\kaspersky lab\kaspersky anti-virus personal pro\pr_clnt.ppl] <Kaspersky Lab><5.0.383.0>
[c:\program files\kaspersky lab\kaspersky anti-virus personal pro\tempfile.ppl] <Kaspersky Lab><5.0.383.0>
[PID: 3696][C:\WINDOWS\explorer.exe] <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\Program Files\WinRAR\rarext.dll] <N/A><N/A>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\shellex.dll] <Kaspersky Lab><5.0.383.1>
[C:\Herosoft\HeroV8\VCvtShell.dll] <herosoft><1, 0, 0, 1>
[PID: 2468][C:\WINDOWS\system32\mshta.exe] <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 3996][C:\WINDOWS\system32\mshta.exe] <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\scrchpg.dll] <Kaspersky Lab><5.0.1.18>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\scrch_ag.dll] <Kaspersky Lab><5.0.383.1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\FSSync.dll] <Kaspersky Lab><5.0.383.0>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\pr_rmt.dll] <Kaspersky Lab><5.0.383.0>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ccclient.dll] <Kaspersky Lab><5.0.383.1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\klipc.dll] <Kaspersky Lab><5.0.383.0>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\KLUtil.dll] <Kaspersky Lab><5.0.383.1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\rpt.dll] <Kaspersky Lab><5.0.383.2>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\CCIFACE.dll] <Kaspersky Lab><5.0.383.1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\prloader.dll] <Kaspersky Lab><5.0.383.0>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\prkernel.ppl] <Kaspersky Lab><5.0.383.0>
[c:\program files\kaspersky lab\kaspersky anti-virus personal pro\prstring.ppl] <Kaspersky Lab><5.0.383.0>
[c:\program files\kaspersky lab\kaspersky anti-virus personal pro\pr_srv.ppl] <Kaspersky Lab><5.0.383.0>
[c:\program files\kaspersky lab\kaspersky anti-virus personal pro\pr_clnt.ppl] <Kaspersky Lab><5.0.383.0>
[c:\program files\kaspersky lab\kaspersky anti-virus personal pro\tempfile.ppl] <Kaspersky Lab><5.0.383.0>
[PID: 2584][C:\Program Files\Internet Explorer\IEXPLORE.EXE] <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\scrchpg.dll] <Kaspersky Lab><5.0.1.18>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\scrch_ag.dll] <Kaspersky Lab><5.0.383.1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\FSSync.dll] <Kaspersky Lab><5.0.383.0>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\pr_rmt.dll] <Kaspersky Lab><5.0.383.0>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ccclient.dll] <Kaspersky Lab><5.0.383.1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\klipc.dll] <Kaspersky Lab><5.0.383.0>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\KLUtil.dll] <Kaspersky Lab><5.0.383.1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\rpt.dll] <Kaspersky Lab><5.0.383.2>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\CCIFACE.dll] <Kaspersky Lab><5.0.383.1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\prloader.dll] <Kaspersky Lab><5.0.383.0>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\prkernel.ppl] <Kaspersky Lab><5.0.383.0>
[c:\program files\kaspersky lab\kaspersky anti-virus personal pro\prstring.ppl] <Kaspersky Lab><5.0.383.0>
[c:\program files\kaspersky lab\kaspersky anti-virus personal pro\pr_srv.ppl] <Kaspersky Lab><5.0.383.0>
[c:\program files\kaspersky lab\kaspersky anti-virus personal pro\pr_clnt.ppl] <Kaspersky Lab><5.0.383.0>
[c:\program files\kaspersky lab\kaspersky anti-virus personal pro\tempfile.ppl] <Kaspersky Lab><5.0.383.0>
[PID: 3448][G:\系統檢測及最佳化\sreng2\sreng2\SREng2\SREng.exe] <Smallfrogs Studio><2.0.21.505>

==================================
文件關聯
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["C:\WINDOWS\hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者

==================================

A:

用sreng移除(禁止)服務
[Remote Administrator Service / r_server]
<"C:\WINDOWS\system32\systemram.exe" /service><N/A>
在安全模式下移除
C:\WINDOWS\system32\systemram.exe(按照灰鴿子處理!)

Q:

怎麼移除只要進安全模式把哪個移除就可以了嗎？？

還要不要怎麼樣

謝謝你那麼晚了還回貼說明我！~

A:

開始——執行——services.msc
找服務 Remote Administrator Service （指向 C:WINDOWS\system32\systemram.exe 以指向為準）停止它

開始——執行——regedit
分別開啟註冊表下面根鍵
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services
瀏覽其中的子項，如果存在和 r_server （指向 C:WINDOWS\system32\systemram.exe 以指向為準）相關的註冊表項，請移除掉。
如果提示無法移除，請右鍵點擊該項，更改權限為完全控制

然後移除文件：
**\systemram*.*

Q:

謝謝wangk0998大使！~

我回去的時候做一下！~

最後的哪個然後移除文件：
**\systemram*.*

怎麼移除啊！~具體的是哪個資料夾啊！~

不知道去下載一個灰鴿子清除器好用嗎？？

A:

你對照的帖子看一下吧。

因為灰鴿子的變種已經不僅僅限於在c:\windows目錄下了，所以我用了「**\」
後面的「*.*」代表的名字根據上面的帖子去推吧。

如果找不到以上檔案,可以試試先作出以下設定。
1. 重新啟動動電腦，按 F8 鍵，進入安全模式
2. 在我的電腦,點擊工具--->資料夾選項
3. 點檢視選擇項,然後去掉隱藏受保護的作業系統文件前的勾,點選顯示所有文件和資料夾 ,最後確定
同時可以借助置頂帖子中的 killbox輔助處理

====================================================================
如果正常處理病毒，且不再出現問題的話，請將標題標籤改為【已解決

psac · 2006-07-24, 06:23 PM

Q:

【求助】區域網路頻繁離線 (有附圖）
描述：登入傳奇世界的時候彈出
圖片：

http://bbs.crsky.com/1128632305/Mon_0607/64_142830_f1a03bf0499e25b.jpg

圖片：

http://bbs.crsky.com/1128632305/Mon_0607/64_142830_1121288a5b5c93a.jpg

區域網路頻繁離線,經常會出現這樣的情況，網上的好好的，會忽然之間沒有，玩網路遊戲根本玩不了。如果幾個人一起玩的話，有一個上線，肯定會有另外一個人離線，離線的人會有幾分鍾登入不了，過一段時間才正常，再上，其他有人就會下，。。。。。
登入網路遊戲的時候會彈出這樣一個對會框（圖）
用居域網掃瞄工具檢視居域網的時候會出現這樣一種情況（圖）

附上HijackThis_815漢化版掃瞄日誌 V1.99.1
HijackThis_815漢化版掃瞄日誌 V1.99.1
儲存於 9:11:08, 日期 2006-7-23
作業系統： Windows XP SP2 (WinNT 5.01.2600)
瀏覽器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

當前執行的工作：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
D:\program files\Ewido Security Suite 3.5 綠色免安裝中文破解版病毒庫0614\ewidoguard.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
D:\program files\Tencent\qq\QQ.exe
D:\program files\Tencent\qq\TIMPlatform.exe
C:\WINDOWS\system32\conime.exe
D:\program files\Maxthon\Maxthon.exe
D:\game\Woool\woool.exe
D:\安全防護\HijackThis1991漢化版\HijackThis1991zww.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\program files\Thunder\ComDlls\XunLeiBHO_001.dll
O4 - 啟動項HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 啟動項HKLM\\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - 啟動項HKLM\\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - 啟動項HKLM\\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - 啟動項HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 啟動項HKLM\\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - 啟動項HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右鍵表單中的新增項目: &使用迅雷下載 - D:\program files\迅雷(Thunder) v5.1.3.168 去廣告綠色簡便版\geturl.htm
O8 - IE右鍵表單中的新增項目: &使用迅雷下載全部連接 - D:\program files\迅雷(Thunder) v5.1.3.168 去廣告綠色簡便版\getallurl.htm
O8 - IE右鍵表單中的新增項目: 使用迅雷下載 - D:\program files\Thunder\Program\GetUrl.htm
O8 - IE右鍵表單中的新增項目: 使用迅雷下載全部連接 - D:\program files\Thunder\Program\GetAllUrl.htm
O8 - IE右鍵表單中的新增項目: 匯出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - 瀏覽器額外的按鈕: 浩方對戰平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - D:\program files\浩方對戰平台最佳化版 v2.38\GameClient.exe
O9 - 瀏覽器額外的按鈕: 訊息檢索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - 瀏覽器額外的按鈕: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 瀏覽器額外的「工具」表單項: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1137848367978
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1137891690281
O17 - HKLM\System\CCS\Services\Tcpip\..\{177DBD8F-81C5-42CC-A489-F25A53CED7B4}: NameServer = 211.139.2.18,211.139.2.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{8593F1B3-CD68-4C75-B6B6-8C9BD02B6F6E}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{177DBD8F-81C5-42CC-A489-F25A53CED7B4}: NameServer = 211.139.2.18,211.139.2.19
O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll
O23 - NT 服務: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - NT 服務: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - NT 服務: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - NT 服務: ewido security suite guard - ewido networks - D:\program files\Ewido Security Suite 3.5 綠色免安裝中文破解版病毒庫0614\ewidoguard.exe
O23 - NT 服務: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - NT 服務: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - NT 服務: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - NT 服務: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - NT 服務: WLANKEEPER - Intel? Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

還有System Repair Engineer 2.0.21.505 (2.0 RC 2)

2006-07-23,09:12:24

System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600)
- 管理權限用戶 - 完整功能

以下內容被選：
所有的啟動項目（包括註冊表、啟動檔案夾、服務等）
瀏覽器載入項
正在執行的工作（包括工作模組訊息）
文件關聯

啟動項目
註冊表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [Microsoft Corporation]
<IntelWireless><C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless> [Intel Corporation]
<ATIPTA><C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe> [ATI Technologies, Inc.]
<Dell QuickSet><C:\Program Files\Dell\QuickSet\quickset.exe> [Dell Inc]
<IMSCMig><C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload> [Microsoft Corporation]
<KAVPersonal50><"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize> [Kaspersky Lab]
<BigDogPath><C:\WINDOWS\VM_STI.EXE USB PC Camera 301P> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{54D9498B-CF93-414F-8984-8CE7FDE0D391}><D:\program files\Ewido Security Suite 3.5 綠色免安裝中文破解版病毒庫0614\shellhook.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
<WinlogonNotify: AtiExtEvent><Ati2evxx.dll> [ATI Technologies Inc.]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\IntelWireless]
<WinlogonNotify: IntelWireless><C:\Program Files\Intel\Wireless\Bin\LgNotify.dll> [Intel Corporation]

==================================
啟動檔案夾
服務
[Ati HotKey Poller / Ati HotKey Poller]
<C:\WINDOWS\System32\Ati2evxx.exe><ATI Technologies Inc.>
[Autodesk Licensing Service / Autodesk Licensing Service]
<"C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe"><Autodesk>
[EvtEng / EvtEng]
<C:\Program Files\Intel\Wireless\Bin\EvtEng.exe><Intel Corporation>
[ewido security suite guard / ewido security suite guard]
<D:\program files\Ewido Security Suite 3.5 綠色免安裝中文破解版病毒庫0614\ewidoguard.exe><ewido networks>
[kavsvc / kavsvc]
<"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe"><Kaspersky Lab>
[NICCONFIGSVC / NICCONFIGSVC]
<C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe><Dell Inc.>
[RegSrvc / RegSrvc]
<C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe><Intel Corporation>
[Spectrum24 Event Monitor / S24EventMonitor]
<C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe><Intel Corporation>
[WLANKEEPER / WLANKEEPER]
<C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe><Intel? Corporation>

==================================
瀏覽器載入項
[AcroIEHlprObj Class]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated>
[Thunder Browser Helper]
{889D2FEB-5411-4565-8998-1DD2C5261283} <D:\program files\Thunder\ComDlls\XunLeiBHO_001.dll, Thunder Networking Technologies,LTD>
[浩方對戰平台]
{0A155D3C-68E2-4215-A47A-E800A446447A} <D:\program files\浩方對戰平台最佳化版 v2.38\GameClient.exe, 上海浩方在線資訊科技有限公司>
[訊息檢索(&R)]
{92780B25-18CC-41C8-B9BE-3C9C571A8263} <C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL, Microsoft Corporation>
[Messenger]
{FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation>
[Windows Genuine Advantage Validation Tool]
{17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\legitcheckcontrol.dll, Microsoft Corporation>
[Office Update Installation Engine]
{3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} <C:\WINDOWS\opuc.dll, Microsoft Corporation>
[WUWebControl Class]
{6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\System32\wuweb.dll, Microsoft Corporation>
[MUWebControl Class]
{6E32070A-766D-4EE6-879C-DC1FA91D2FC3} <C:\WINDOWS\system32\muweb.dll, Microsoft Corporation>
[AcroIEHlprObj Class]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated>
[Windows Genuine Advantage Validation Tool]
{17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\legitcheckcontrol.dll, Microsoft Corporation>
[Office Update Installation Engine]
{3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} <C:\WINDOWS\opuc.dll, Microsoft Corporation>
[WUWebControl Class]
{6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\System32\wuweb.dll, Microsoft Corporation>
[MUWebControl Class]
{6E32070A-766D-4EE6-879C-DC1FA91D2FC3} <C:\WINDOWS\system32\muweb.dll, Microsoft Corporation>
[Microsoft Web 瀏覽器]
{8856F961-340A-11D0-A96B-00C04FD705A2} <C:\WINDOWS\System32\shdocvw.dll, Microsoft Corporation>
[Thunder Browser Helper]
{889D2FEB-5411-4565-8998-1DD2C5261283} <D:\program files\Thunder\ComDlls\XunLeiBHO_001.dll, Thunder Networking Technologies,LTD>
[SearchAssistantOC]
{B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\System32\shdocvw.dll, N/A>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\macromed\flash\Flash.ocx, Macromedia, Inc.>
[&使用迅雷下載]
<D:\program files\迅雷(Thunder) v5.1.3.168 去廣告綠色簡便版\geturl.htm, N/A>
[&使用迅雷下載全部連接]
<D:\program files\迅雷(Thunder) v5.1.3.168 去廣告綠色簡便版\getallurl.htm, N/A>
[使用迅雷下載]
<D:\program files\Thunder\Program\GetUrl.htm, N/A>
[使用迅雷下載全部連接]
<D:\program files\Thunder\Program\GetAllUrl.htm, N/A>
[匯出到 Microsoft Office Excel(&X)]
<res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>

==================================
正在執行的工作
[PID: 796][\SystemRoot\System32\smss.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1124][\??\C:\WINDOWS\system32\csrss.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1148][\??\C:\WINDOWS\system32\winlogon.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\Ati2evxx.dll] <ATI Technologies Inc.><6.14.10.4107>
[C:\Program Files\Intel\Wireless\Bin\LgNotify.dll] <Intel Corporation><9, 0, 1, 0>
[PID: 1196][C:\WINDOWS\system32\services.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1208][C:\WINDOWS\system32\lsass.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1372][C:\WINDOWS\System32\Ati2evxx.exe] <ATI Technologies Inc.><6.14.10.4107>
[C:\WINDOWS\System32\Ati2edxx.dll] <ATI Technologies, Inc.><6, 14, 10, 2495>
[PID: 1400][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1468][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1588][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1636][C:\Program Files\Intel\Wireless\Bin\EvtEng.exe] <Intel Corporation><9, 0, 1, 12>
[C:\Program Files\Intel\Wireless\Bin\PsRegApi.dll] <Intel Corporation><9, 0, 1, 14>
[C:\Program Files\Intel\Wireless\Bin\TraceAPI.DLL] <Intel Corporation><9, 0, 1, 22>
[PID: 1672][C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe] <Intel Corporation ><9, 0, 1, 41>
[C:\Program Files\Intel\Wireless\Bin\TraceAPI.DLL] <Intel Corporation><9, 0, 1, 22>
[C:\Program Files\Intel\Wireless\Bin\PsRegApi.dll] <Intel Corporation><9, 0, 1, 14>
[PID: 1708][C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe] <Intel? Corporation><9, 0, 1, 14>
[C:\Program Files\Intel\Wireless\Bin\PfMgrApi.dll] <Intel Corporation><9, 0, 1, 45>
[C:\Program Files\Intel\Wireless\Bin\TraceAPI.DLL] <Intel Corporation><9, 0, 1, 22>
[C:\Program Files\Intel\Wireless\Bin\PsRegApi.dll] <Intel Corporation><9, 0, 1, 14>
[C:\Program Files\Intel\Wireless\Bin\MurocApi.dll] <Intel Corporation><9, 0, 1, 54>
[C:\Program Files\Intel\Wireless\Bin\S24MUDLL.dll] <Intel Corporation><9, 0, 1, 7>
[C:\Program Files\Intel\Wireless\Bin\C1XStngs.dll] <Intel Corporation><9, 0, 1, 31>
[C:\Program Files\Intel\Wireless\Bin\C8021CHS.dll] <Intel Corporation><9, 0, 1, 31>
[C:\Program Files\Intel\Wireless\Bin\LSAWRAPI.dll] <Intel Corporation><9, 0, 1, 1>
[PID: 1756][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1804][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 280][C:\WINDOWS\system32\spoolsv.exe] <Microsoft Corporation><5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)>
[PID: 1516][C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe] <Intel Corporation><9, 0, 1, 45>
[C:\Program Files\Intel\Wireless\Bin\PfMgrApi.dll] <Intel Corporation><9, 0, 1, 45>
[C:\Program Files\Intel\Wireless\Bin\TraceAPI.DLL] <Intel Corporation><9, 0, 1, 22>
[C:\Program Files\Intel\Wireless\Bin\PsRegApi.dll] <Intel Corporation><9, 0, 1, 14>
[C:\Program Files\Intel\Wireless\Bin\MurocApi.dll] <Intel Corporation><9, 0, 1, 54>
[C:\Program Files\Intel\Wireless\Bin\S24MUDLL.dll] <Intel Corporation><9, 0, 1, 7>
[C:\Program Files\Intel\Wireless\Bin\C1XStngs.dll] <Intel Corporation><9, 0, 1, 31>
[C:\Program Files\Intel\Wireless\Bin\C8021CHS.dll] <Intel Corporation><9, 0, 1, 31>
[C:\Program Files\Intel\Wireless\Bin\LSAWRAPI.dll] <Intel Corporation><9, 0, 1, 1>
[C:\Program Files\Intel\Wireless\Bin\ZcSvcCHS.dll] <Intel Corporation><9, 0, 1, 44>
[C:\Program Files\Intel\Wireless\Bin\D8021Xps.DLL] <N/A><N/A>
[PID: 1916][C:\WINDOWS\system32\Ati2evxx.exe] <ATI Technologies Inc.><6.14.10.4107>
[C:\WINDOWS\system32\Ati2edxx.dll] <ATI Technologies, Inc.><6, 14, 10, 2495>
[PID: 2040][C:\WINDOWS\Explorer.EXE] <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\AcSignIcon.dll] <Autodesk><16.2.54.0>
[C:\Program Files\Common Files\Autodesk Shared\AcSignCore16.dll] <Autodesk><16.2.54.0>
[D:\program files\Ewido Security Suite 3.5 綠色免安裝中文破解版病毒庫0614\shellhook.dll] <N/A><N/A>
[D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll] <Adobe Systems Incorporated><7.0.5.2005092300>
[D:\program files\Thunder\ComDlls\XunLeiBHO_001.dll] <Thunder Networking Technologies,LTD><5, 0, 0, 1>
[D:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll] <Adobe Systems, Inc.><7.0.0.0>
[C:\Program Files\Dell\QuickSet\dadkeyb.dll] <N/A><N/A>
[PID: 1940][C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe] <Intel><9, 0, 1, 33>
[C:\PROGRA~1\Intel\Wireless\Bin\IntelAE5.dll] <Meetinghouse Data Communications><3, 0, 0, 40>
[C:\PROGRA~1\Intel\Wireless\Bin\TraceAPI.DLL] <Intel Corporation><9, 0, 1, 22>
[C:\PROGRA~1\Intel\Wireless\Bin\PsRegApi.dll] <Intel Corporation><9, 0, 1, 14>
[C:\Program Files\Intel\Wireless\Bin\D8021Xps.DLL] <N/A><N/A>
[PID: 576][C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe] <Intel Corporation><9, 0, 1, 19>
[C:\Program Files\Intel\Wireless\Bin\PsRegApi.dll] <Intel Corporation><9, 0, 1, 14>
[C:\Program Files\Intel\Wireless\Bin\FrWrkCHS.dll] <Intel Corporation><9, 0, 1, 19>
[C:\Program Files\Intel\Wireless\Bin\FrameworkPlugins\ConnMgr.dll] <Intel Corporation><9, 0, 1, 57>
[C:\Program Files\Intel\Wireless\Bin\MurocApi.dll] <Intel Corporation><9, 0, 1, 54>
[C:\Program Files\Intel\Wireless\Bin\S24MUDLL.dll] <Intel Corporation><9, 0, 1, 7>
[C:\Program Files\Intel\Wireless\Bin\C1XStngs.dll] <Intel Corporation><9, 0, 1, 31>
[C:\Program Files\Intel\Wireless\Bin\TraceAPI.DLL] <Intel Corporation><9, 0, 1, 22>
[C:\Program Files\Intel\Wireless\Bin\PfMgrApi.dll] <Intel Corporation><9, 0, 1, 45>
[C:\Program Files\Intel\Wireless\Bin\C8021CHS.dll] <Intel Corporation><9, 0, 1, 31>
[C:\Program Files\Intel\Wireless\Bin\LSAWRAPI.dll] <Intel Corporation><9, 0, 1, 1>
[C:\Program Files\Intel\Wireless\Bin\IntWACHS.dll] <Intel Corporation><9, 0, 1, 56>
[C:\Program Files\Intel\Wireless\Bin\D8021Xps.DLL] <N/A><N/A>
[PID: 584][C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe] <ATI Technologies, Inc.><6.14.10.5125>
[C:\Program Files\ATI Technologies\ATI Control Panel\atipdsxx.dll] <ATI Technologies, Inc.><6.14.10.5125>
[C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATRPUIXX.CHS] <ATI Technologies, Inc.><6.14.10.5125>
[C:\Program Files\ATI Technologies\ATI Control Panel\atipdxxx.dll] <ATI Technologies, Inc.><6.14.10.5125>
[PID: 596][C:\Program Files\Dell\QuickSet\quickset.exe] <Dell Inc><7, 0, 10, 0>
[C:\Program Files\Dell\QuickSet\IWH9.dll] <Dell Inc><7, 0, 10, 0>
[C:\Program Files\Dell\QuickSet\IWH10.dll] <Dell Inc><7, 0, 10, 0>
[C:\Program Files\Intel\Wireless\Bin\MurocApi.dll] <Intel Corporation><9, 0, 1, 54>
[C:\Program Files\Intel\Wireless\Bin\S24MUDLL.dll] <Intel Corporation><9, 0, 1, 7>
[C:\Program Files\Intel\Wireless\Bin\PsRegApi.dll] <Intel Corporation><9, 0, 1, 14>
[C:\Program Files\Intel\Wireless\Bin\C1XStngs.dll] <Intel Corporation><9, 0, 1, 31>
[C:\Program Files\Intel\Wireless\Bin\TraceAPI.DLL] <Intel Corporation><9, 0, 1, 22>
[C:\Program Files\Intel\Wireless\Bin\C8021CHS.dll] <Intel Corporation><9, 0, 1, 31>
[C:\Program Files\Intel\Wireless\Bin\LSAWRAPI.dll] <Intel Corporation><9, 0, 1, 1>
[C:\Program Files\Intel\Wireless\Bin\D8021Xps.DLL] <N/A><N/A>
[C:\Program Files\Dell\QuickSet\dadkeyb.dll] <N/A><N/A>
[PID: 672][C:\WINDOWS\VM_STI.EXE] <VM.><4.2.610.4>
[C:\WINDOWS\system32\msdmo.dll] <N/A><N/A>
[PID: 784][C:\WINDOWS\system32\ctfmon.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1784][C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe] <Dell Inc.><7, 0, 10, 0>
[PID: 916][C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe] <Intel Corporation><9, 0, 1, 10>
[PID: 552][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 692][C:\WINDOWS\system32\wdfmgr.exe] <Microsoft Corporation><5.2.3790.1230 built by: dnsrv(bld4act)>
[PID: 2460][C:\WINDOWS\System32\alg.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 2576][C:\WINDOWS\System32\wbem\wmiprvse.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 2824][D:\program files\Tencent\qq\QQ.exe] <TENCENT><0, 0, 0, 0>
[D:\program files\Tencent\qq\CoralAssist.DLL] <Coral Team><4.5.0 build 20060515>
[D:\program files\Tencent\qq\CoralQQ.DLL] <Coral Team><4.5 Build 20060515>
[D:\program files\Tencent\qq\ipsearcher.dll] <N/A><1.0.0.4>
[D:\program files\Tencent\qq\QQBaseClassInDll.dll] <><1, 0, 0, 1>
[D:\program files\Tencent\qq\QQHelperDll.dll] <><1, 0, 0, 1>
[D:\program files\Tencent\qq\BasicCtrlDll.dll] <Tencent><5, 0, 200, 160>
[D:\program files\Tencent\qq\PYKer.dll] <飄雲 http://www.pyqq.cn><飄雲>
[D:\program files\Tencent\qq\QQAPI.dll] <><1, 0, 0, 1>
[D:\program files\Tencent\qq\TIMProxy.dll] <tencent><0, 3, 2, 4>
[D:\program files\Tencent\qq\LoginCtrl.dll] <><1, 0, 0, 1>
[D:\program files\Tencent\qq\npkcntc.dll] <INCA Internet Co., Ltd.><2006, 3, 2, 1>
[D:\program files\Tencent\qq\npkpdb.dll] <INCA Internet Co., Ltd.><2003, 10, 1, 1>
[D:\program files\Tencent\qq\QQRes.dll] <tencent><1, 0, 0, 1>
[D:\program files\Tencent\qq\QQMainFrame.dll] <N/A><N/A>
[D:\program files\Tencent\qq\CQQApplication.dll] <N/A><N/A>
[D:\program files\Tencent\qq\NewSkin.dll] <><1, 0, 0, 1>
[D:\program files\Tencent\qq\HostingMgr.dll] <><1, 0, 0, 1>
[D:\program files\Tencent\qq\CameraDll.dll] <><1, 0, 0, 1>
[D:\program files\Tencent\qq\MailSummary.dll] <><1, 0, 0, 1>
[D:\program files\Tencent\qq\QQSpace.dll] <><1, 0, 0, 1>
[C:\WINDOWS\system32\msdmo.dll] <N/A><N/A>
[D:\program files\Tencent\qq\QQGroupMng.dll] <><1, 0, 0, 1>
[D:\program files\Tencent\qq\GroupLive.dll] <N/A><N/A>
[D:\program files\Tencent\qq\QQSysMsgMng.dll] <N/A><N/A>
[D:\program files\Tencent\qq\UserDefinedHead.dll] <><1, 0, 0, 1>
[D:\program files\Tencent\qq\QQPlugin.dll] <N/A><N/A>
[D:\program files\Tencent\qq\QQConfigPlugin.dll] <><1, 0, 0, 1>
[D:\program files\Tencent\qq\QRingMng.dll] <N/A><N/A>
[D:\program files\Tencent\qq\PhoneAPI.dll] <><1, 0, 0, 1>
[D:\program files\Tencent\qq\DialerAllinOne.dll] <tencent><1, 4, 0, 0>
[D:\program files\Tencent\qq\LongConnection.dll] <tencent><5, 0, 200, 160>
[D:\program files\Tencent\qq\QQAvatar.dll] <N/A><N/A>
[D:\program files\Tencent\qq\FlashAvatarDll.dll] <><1, 4, 0, 1>
[D:\program files\Tencent\qq\QQPet.dll] <><1, 0, 0, 1>
[D:\program files\Tencent\qq\BQQApplication.dll] <N/A><N/A>
[D:\program files\Ewido Security Suite 3.5 綠色免安裝中文破解版病毒庫0614\shellhook.dll] <N/A><N/A>
[D:\program files\Tencent\qq\CommercesMng.dll] <><1, 0, 0, 1>
[D:\program files\Tencent\qq\PersonalDesktop.dll] <深圳市騰訊電腦系統公司QQ工作小組><1, 0, 0, 2>
[D:\program files\Tencent\qq\QQAddr.dll] <深圳市騰訊電腦系統有限公司><5, 0, 101, 200>
[D:\program files\Tencent\qq\QQSceneMng.dll] <N/A><N/A>
[D:\program files\Tencent\qq\QQPhoneHelper.dll] <騰訊科技（深圳）有限公司><2, 0, 4, 40>
[D:\program files\Tencent\qq\QQAllInOne.dll] <N/A><N/A>
[D:\program files\Tencent\qq\SCCore.dll] <N/A><N/A>
[D:\program files\Tencent\qq\QQCustomFace.dll] <N/A><N/A>
[C:\WINDOWS\system32\macromed\flash\Flash.ocx] <Macromedia, Inc.><6,0,84,0>
[D:\program files\Tencent\qq\ImageOle.dll] <TODO: <Company name>><1.0.0.1>
[C:\WINDOWS\system32\AcSignIcon.dll] <Autodesk><16.2.54.0>
[C:\Program Files\Common Files\Autodesk Shared\AcSignCore16.dll] <Autodesk><16.2.54.0>
[D:\program files\Tencent\qq\GroupConnection.dll] <Tencent><5, 0, 202, 170>
[PID: 3188][D:\program files\Tencent\qq\TIMPlatform.exe] <tencent><0, 3, 1, 8>
[D:\program files\Tencent\qq\TIMProxy.dll] <tencent><0, 3, 2, 4>
[PID: 2560][C:\WINDOWS\system32\conime.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 416][D:\program files\Maxthon\Maxthon.exe] <Maxthon International Ltd.><1, 5, 6, 42>
[D:\program files\Maxthon\maxzlib.dll] < ><1, 0, 0, 2>
[C:\WINDOWS\system32\AcSignIcon.dll] <Autodesk><16.2.54.0>
[D:\program files\Maxthon\Plugin\FloatBar\FloatBar.dll] <><1, 8, 0, 0>
[D:\program files\Maxthon\Services\RealTime\real_time.dll] <><1, 0, 0, 1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\scrchpg.dll] <Kaspersky Lab><5.0.1.18>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\scrch_ag.dll] <Kaspersky Lab><5.0.388.1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\FSSync.dll] <Kaspersky Lab><5.0.388.0>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\pr_rmt.dll] <Kaspersky Lab><5.0.388.0>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ccclient.dll] <Kaspersky Lab><5.0.388.1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\klipc.dll] <Kaspersky Lab><5.0.388.0>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\KLUtil.dll] <Kaspersky Lab><5.0.388.1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\rpt.dll] <Kaspersky Lab><5.0.388.2>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\CCIFACE.dll] <Kaspersky Lab><5.0.388.1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\prloader.dll] <Kaspersky Lab><5.0.388.0>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\prkernel.ppl] <Kaspersky Lab><5.0.388.0>
[c:\program files\kaspersky lab\kaspersky anti-virus personal pro\prstring.ppl] <Kaspersky Lab><5.0.388.0>
[c:\program files\kaspersky lab\kaspersky anti-virus personal pro\pr_srv.ppl] <Kaspersky Lab><5.0.388.0>
[c:\program files\kaspersky lab\kaspersky anti-virus personal pro\pr_clnt.ppl] <Kaspersky Lab><5.0.388.0>
[c:\program files\kaspersky lab\kaspersky anti-virus personal pro\tempfile.ppl] <Kaspersky Lab><5.0.388.0>
[C:\Program Files\Dell\QuickSet\dadkeyb.dll] <N/A><N/A>
[C:\WINDOWS\system32\msdmo.dll] <N/A><N/A>
[d:\Program Files\HappyShow\VSFilter\VSFilter.dll] <Gabest><1, 0, 0, 9>
[d:\Program Files\HappyShow\RealSplitter\RealMediaSplitter.AX] <Gabest><1, 0, 1, 0>
[d:\Program Files\HappyShow\MatroskaSplitter\MatroskaSplitter.ax] <Gabest><1, 0, 2, 6>
[d:\Program Files\Nero7\DSFilter\NeSplitter.ax] <Nero AG><4, 2, 1, 0>
[d:\Program Files\HappyShow\FFDSHOW\ffdshow.ax] <N/A><1, 0, 1, 0>
[PID: 3024][D:\game\Woool\woool.exe] <><1.7.2.47>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\scrchpg.dll] <Kaspersky Lab><5.0.1.18>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\scrch_ag.dll] <Kaspersky Lab><5.0.388.1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\FSSync.dll] <Kaspersky Lab><5.0.388.0>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\pr_rmt.dll] <Kaspersky Lab><5.0.388.0>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ccclient.dll] <Kaspersky Lab><5.0.388.1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\klipc.dll] <Kaspersky Lab><5.0.388.0>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\KLUtil.dll] <Kaspersky Lab><5.0.388.1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\rpt.dll] <Kaspersky Lab><5.0.388.2>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\CCIFACE.dll] <Kaspersky Lab><5.0.388.1>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\prloader.dll] <Kaspersky Lab><5.0.388.0>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\prkernel.ppl] <Kaspersky Lab><5.0.388.0>
[c:\program files\kaspersky lab\kaspersky anti-virus personal pro\prstring.ppl] <Kaspersky Lab><5.0.388.0>
[c:\program files\kaspersky lab\kaspersky anti-virus personal pro\pr_srv.ppl] <Kaspersky Lab><5.0.388.0>
[c:\program files\kaspersky lab\kaspersky anti-virus personal pro\pr_clnt.ppl] <Kaspersky Lab><5.0.388.0>
[c:\program files\kaspersky lab\kaspersky anti-virus personal pro\tempfile.ppl] <Kaspersky Lab><5.0.388.0>
[C:\WINDOWS\system32\macromed\flash\Flash.ocx] <Macromedia, Inc.><6,0,84,0>
[PID: 3844][C:\WINDOWS\system32\NOTEPAD.EXE] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 2972][D:\安全防護\System Repair Engineer\SREng2\SREng.exe] <Smallfrogs Studio><2.0.21.505>

==================================
文件關聯
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR Error. [AutoCADScriptFile]
.CHM OK. ["C:\WINDOWS\hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者

==================================

A:

在網上找到關於%Windir%\Html\scanregw.exe病毒的防範

病毒可執行文件為%Windir%\Html\scanregw.exe，是個文本文件的圖示，解壓縮MSSOCK.DLL到%Windir%\System目錄並注入到Explorer.exe工作中，修改「開始-程序-啟動」為scanregw.exe使自己能夠隨機啟動，修改HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders下"Startup"的內容為「%Windir%\Html\」。
開啟註冊表編輯器，將以上提到的註冊表鍵值還原為「%WINDIR%\Start Menu\Programs\啟動」（Windows 9X）；「%Documents and Settings%\Administrator\「開始」表單\程序\啟動」和「%USERPROFILE%\「開始」表單\程序\啟動」（Windows 2000/XP），然後重新啟動後移除病毒新增的那兩個文件和資料夾即可。

psac · 2006-07-24, 06:30 PM

Q:

【求助】救命啊 ``````````中病毒了

會自動彈出網頁來

我的瑞星監控在重新啟動後全部禁用

spoolsv.exe 懷疑是這個

可c:/windows/system32/spoolsv 資料夾裡沒有所說的spoolsv.exe

被強行安裝過 IE-Bar

從新安裝瑞星後監控執行但什麼也殺不出

誰知道是什麼原因救救我

===================================================
Logfile of HijackThis v1.99.1
Scan saved at 10:50:53, on 2006-7-24
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\winmer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Tencent\QQ\QQ.exe
E:\Program Files\Tencent\QQ\TIMPlatform.exe
E:\Program Files\Tencent\QQ\QQ.exe
E:\Program Files\Tencent\QQ\qqpet\qqpet.exe
C:\Documents and Settings\By家子\桌面\upiea[1]\QQPetNurse.exe
E:\Program Files\foobar2000_美化\foobar2000\foobar2000.exe
C:\Program Files\jj4\jjsvr4.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\By家子\桌面\hijackthis\HijackThis.exe

O2 - BHO: 超級兔子上網精靈 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - C:\Documents and Settings\By家子\桌面\MagicSet\haokanbar.dll (file missing)
O3 - Toolbar: 超級兔子上網精靈 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - C:\Documents and Settings\By家子\桌面\MagicSet\haokanbar.dll (file missing)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 上傳到QQ網路硬碟 - E:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 使用迅雷下載 - e:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: 使用迅雷下載全部連接 - e:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 增加到QQ自訂面板 - E:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 增加到QQ表情 - E:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信傳送該圖片 - E:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: 騰訊QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - e:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具條設定 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - e:\Program Files\Tencent\QQ\QQIEHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9950BD2-61AF-4AA7-A94D-C1A738EAAD25}: NameServer = 221.228.255.1 61.177.7.1
O20 - Winlogon Notify: WBSrv - E:\PROGRA~1\STARDOCK\OBJECT~1\WINDOW~1\wbsrv.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

===================================================

A:

1）下載LSPFIX軟體（http://www.cexx.org/LSPFix.exe），
2）請中斷連線網路並關閉所有IE視窗和資料夾視窗，執行LSPFix，
3）先在「I know what I`m doing」前面打勾，然後把quartz32.dll項從左邊轉到右邊，
4）點「Finish」後再重新啟動一下電腦。
5）重新啟動後驗證連網操作正常情況後，移除上述的quartz32.dll文件

Q:

按照你的方法試了一下問題依舊

瑞星監控又被禁用了 .........

怎麼辦?

Logfile of HijackThis v1.99.1
Scan saved at 14:40:05, on 2006-7-24
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\winmer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\jj4\jjsvr4.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\By家子\桌面\hijackthis\HijackThis.exe

O2 - BHO: 超級兔子上網精靈 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - C:\Documents and Settings\By家子\桌面\MagicSet\haokanbar.dll (file missing)
O3 - Toolbar: 超級兔子上網精靈 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - C:\Documents and Settings\By家子\桌面\MagicSet\haokanbar.dll (file missing)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 上傳到QQ網路硬碟 - E:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 使用迅雷下載 - e:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: 使用迅雷下載全部連接 - e:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 增加到QQ自訂面板 - E:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 增加到QQ表情 - E:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信傳送該圖片 - E:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: 騰訊QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - e:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具條設定 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - e:\Program Files\Tencent\QQ\QQIEHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9950BD2-61AF-4AA7-A94D-C1A738EAAD25}: NameServer = 221.228.255.1 61.177.7.1
O20 - Winlogon Notify: WBSrv - E:\PROGRA~1\STARDOCK\OBJECT~1\WINDOW~1\wbsrv.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

A:
a) 開始--->執行--->cmd
b) 輸入以下文字,再按 Enter
netsh winsock reset
c) 之後請立即重新啟動電腦,重新啟動電腦後貼上新的HijackThis log

psac · 2006-08-03, 03:01 PM

Q:
我的卡巴老是提示kb338448m.log!麻煩大家幫看看這個掃瞄!線上!!

最近我的電腦老是彈出個交談視窗說什麼叫KB338448M.log的什麼的，卡巴斯基也說有個叫Trojan-psw.win32.Lmir.avg的木馬，但刪不了，我都找到了那個叫KB的在，但無法刪除。看了下大家的帖子，估計是灰鴿子，下了個HijackThis v1.99.1掃瞄了下把日誌也發出來了，請高手幫忙看下怎麼弄~~~~

用卡巴刪除會從新啟動!~

HijackThis_815漢化版掃瞄日誌 V1.99.1
儲存於 19:01:05, 日期 2006-8-2
操作系統： Windows XP SP2 (WinNT 5.01.2600)
瀏覽器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

當前執行的工作行程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\VM303_STI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Tencent\TT\TTraveler.exe
G:\系統檢測及優化\HijackThis1991漢化版病\HijackThis1991漢化版\HijackThis1991zww.exe

R3 - URLSearchHook: (no name) - {BAB1AC41-6FF7-4F2E-A04E-5C592CCFEA7D} - (no file)
O4 - 啟動項HKLM\\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - 啟動項HKLM\\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [關閉共享] G:\系統檢測及優化\關閉共享.bat
O8 - IE右鍵表菜單中的新增專案: &使用迅雷下載 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - IE右鍵表菜單中的新增專案: &使用迅雷下載全部鏈接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - IE右鍵表菜單中的新增專案: 上傳到QQ網路硬碟 - G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\AddToNetDisk.htm
O8 - IE右鍵表菜單中的新增專案: 新增到QQ自定義面板 - G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\AddPanel.htm
O8 - IE右鍵表菜單中的新增專案: 新增到QQ表情 - G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\AddEmotion.htm
O8 - IE右鍵表菜單中的新增專案: 用QQ彩信發送該圖片 - G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\SendMMS.htm
O8 - IE右鍵表菜單中的新增專案: 豪傑超級解霸V8實時播放 - C:\Herosoft\HeroV8\MPURLGET.HTM
O9 - 瀏覽器額外的按鈕: 豪傑超級解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Herosoft\HeroV8\STHSDVD.EXE
O9 - 瀏覽器額外的「工具」表菜單項: 豪傑超級解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Herosoft\HeroV8\STHSDVD.EXE
O9 - 瀏覽器額外的按鈕: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 瀏覽器額外的「工具」表菜單項: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - NT 服務: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

A:

j日誌看不出問題
請下載 System Repair Engineer，使用「智慧式掃瞄」，按下「掃瞄」按鈕進行掃瞄，掃瞄完成後按下「儲存報告」按鈕儲存報告日誌文件（SREng.LOG），把儲存的報告日誌文件內容複製-貼上去上來
下載網址
http://www.kztechs.com/sreng/sreng2.zip
http://forum.ikaka.com/topic.asp?board=67&artid=5188931
日誌一次粘不完，分次粘完，請不要修改。

Q:
剛才把電腦掃了一次

出來了了十幾個KB338448M.log病毒！

刪除了幾個後電腦就從新啟動了

A:

KB338448M.log 這個木馬會插入到多個系統工作行程，直接刪除就會造成重啟

下載安裝文件刪除工具Unlocker http://www.skycn.com/soft/23022.html
使用方法:在需要刪除的文件上點右鍵->Unlocker->全部解鎖,刪除

Q:

謝謝版主的幫助~！~

哪個KB338448M.log插到很多系統工作行程裡面這些東西怎麼刪除啊

還是只刪除C硬碟系統目錄下的哪個KB338448M.log 就好了啊

我昨天就是全盤殺毒然後處理殺了幾個後電腦就從新啟動了

後來進安全在C硬碟系統目錄下把KB338448M.log 刪除了但是今天早上又發現了三個！~

鬱悶啊！哪個KB338448M.log插到很多系統工作行程裡面這些東西怎麼刪除啊

還是只刪除C硬碟系統目錄下的哪個KB338448M.log 就好了啊

我昨天就是全盤殺毒然後處理殺了幾個後電腦就從新啟動了

後來進安全在C硬碟系統目錄下把KB338448M.log 刪除了但是今天早上又發現了三個！~

鬱悶啊！

A:

下載Dr.Web CureIT! 免費掃瞄器，包含最新病毒庫，可以檢測清除病毒
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
自解壓格式，下載後直接執行cureit.exe，或者右鍵解壓縮後執行其中的_start.exe

先按「確定」進行「Start Express Scan」
執行殺毒，先會自動掃瞄記憶體工作行程和啟動項，自動掃瞄結束後，用滑鼠選中所有的硬碟分區再次殺毒.
最後把殺毒報告發上來,開始->執行 %USERPROFILE%\DoctorWeb\CureIt.log

如果還有問題,下載 System Repair Engineer
http://www.kztechs.com/sreng/sreng2.zip
使用方法: 解壓到一個資料夾如D:\sreng2.執行SREng.exe，點擊"智慧式掃瞄"->"掃瞄"->"儲存報告".然後把報告發上來分析

psac · 2006-08-06, 09:35 AM

Q;
【求助】请看下“hijackthis”扫描数据？多谢！

Logfile of HijackThis v1.99.1
Scan saved at 23:07:25, on 2006-8-5
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\JONEAR~1\LOCALS~1\Temp\Rar$EX03.295\HijackThis.exe

O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\Thunder\ComDlls\XunLeiBHO_002.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [Thunder] "D:\Thunder\Thunder.exe" /s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F5EC4FB-ACF0-4779-9437-32E0602CC385}: NameServer = 61.235.70.98 211.98.4.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3B78CAF-4275-4B85-BEEF-2244AB48C100}: NameServer = 211.98.2.4,211.98.4.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Promise Technology, Inc. - (no file)

2006-08-05,23:10:15

System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600)
- 非管理權限用戶 - 受限功能

以下內容被選中：
所有的啟動專案（包括註冊表、啟動資料夾、服務等）
瀏覽器載入項
正在執行的工作行程（包括工作行程模塊訊息）
文件關聯

啟動專案
註冊表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\CTFMON.EXE> [Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> []
<run><> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IgfxTray><C:\WINDOWS\system32\igfxtray.exe> [Intel Corporation]
<HotKeysCmds><C:\WINDOWS\system32\hkcmd.exe> [Intel Corporation]
<SoundMan><SOUNDMAN.EXE> [Avance Logic, Inc.]
<KAVPersonal50><"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize> [Kaspersky Lab]
<Thunder><"D:\Thunder\Thunder.exe" /s> [Thunder Networking Technologies,LTD]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<CheckFaultKernel><C:\WINDOWS\system32\mswdm.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [Microsoft Corporation]

==================================
啟動資料夾
服務
[kavsvc / kavsvc]
<"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe"><Kaspersky Lab>
[Windows User Mode Driver Framework / UMWdf]
<><N/A>

==================================
瀏覽器載入項
[Thunder Browser Helper]
{889D2FEB-5411-4565-8998-1DD2C5261283} <D:\Thunder\ComDlls\XunLeiBHO_002.dll, Thunder Networking Technologies,LTD>
[Messenger]
{FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation>
[Windows Genuine Advantage]
{17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.dll, Microsoft? Corporation>
[WUWebControl Class]
{6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\system32\wuweb.dll, Microsoft Corporation>
[Thunder Browser Helper]
{889D2FEB-5411-4565-8998-1DD2C5261283} <D:\Thunder\ComDlls\XunLeiBHO_002.dll, Thunder Networking Technologies,LTD>

==================================
正在執行的工作行程
[PID: 228][C:\WINDOWS\Explorer.EXE] <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
[D:\Thunder\ComDlls\XunLeiBHO_002.dll] <Thunder Networking Technologies,LTD><5, 0, 0, 2>
[C:\WINDOWS\system32\igfxpph.dll] <Intel Corporation><3.0.0.3924>
[C:\WINDOWS\system32\hccutils.DLL] <Intel Corporation><3.0.0.3924>
[C:\WINDOWS\system32\igfxres.dll] <Intel Corporation><3.0.0.3924>
[C:\WINDOWS\system32\igfxsrvc.dll] <Intel Corporation><3.0.0.3924>
[C:\WINDOWS\system32\igfxdev.dll] <Intel Corporation><3.0.0.3924>
[D:\Program Files\WinRAR\rarext.dll] <N/A><N/A>
[C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\shellex.dll] <Kaspersky Lab><5.0.388.1>
[PID: 1576][C:\WINDOWS\system32\hkcmd.exe] <Intel Corporation><3.0.0.3924>
[C:\WINDOWS\system32\hccutils.DLL] <Intel Corporation><3.0.0.3924>
[C:\WINDOWS\system32\igfxdev.dll] <Intel Corporation><3.0.0.3924>
[C:\WINDOWS\system32\igfxsrvc.dll] <Intel Corporation><3.0.0.3924>
[C:\WINDOWS\system32\igfxhk.dll] <Intel Corporation><3.0.0.3924>
[C:\WINDOWS\system32\igfxres.dll] <Intel Corporation><3.0.0.3924>
[PID: 1584][C:\WINDOWS\SOUNDMAN.EXE] <Avance Logic, Inc.><5, 0, 0, 0>
[PID: 1608][C:\WINDOWS\system32\ctfmon.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 684][D:\Program Files\WinRAR\WinRAR.exe] <N/A><N/A>
[PID: 772][C:\DOCUME~1\JONEAR~1\LOCALS~1\Temp\Rar$EX00.722\SREng.exe] <Smallfrogs Studio><2.0.21.505>

==================================
文件關聯
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["C:\WINDOWS\hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者

==================================

A:

建議修復操作時關閉其他所有的無關程式，包括IE瀏覽器等，建議將以下內容複製貼上去到記事本然後儲存以便操作。
請執行剛才用來做智慧式掃瞄的工具SREng
在啟動專案->註冊表裡，找到下列啟動專案並將其刪除
<CheckFaultKernel><C:\WINDOWS\system32\mswdm.exe> []
重啟電腦刪除上述文件。

1）下載LSPFIX軟件（http://www.cexx.org/LSPFix.exe），
2）請離線網路並關閉所有IE視窗和資料夾視窗，執行LSPFix，
3）先在「I know what I`m doing」前面打勾，然後把cn_spi.dll項從左邊轉到右邊，
4）點「Finish」後再重啟一下電腦。
5）重啟後確認聯網操作正常情況後，刪除上述的cn_spi.dll文件

Q:

是在受限用户还是在完整用户下进行以下操作啊？

完整用户的网络一切都正常；受限用户是刚刚新建的？

圖片：

LSPFix無法執行啊？

http://bbs.crsky.com/1128632305/Mon_0608/64_120097_a41ecded9e28821.jpg

A:

你用SRENG掃報告時是哪個賬戶登入的就在哪個賬戶下操作，LSPFIX操作同理。

psac · 2006-09-02, 12:14 AM

Q:

【求助】請達人幫助看看HijackThis掃瞄結果。。

HijackThis_zww漢化版掃瞄日誌 V1.99.1
儲存於 21:30:41, 日期 2006-9-1
操作系統： Windows XP SP2 (WinNT 5.01.2600)
瀏覽器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

當前執行的工作行程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
d:\My Documents\HijackThis1991漢化版\HijackThis1991zww.exe
C:\Program Files\Tencent\QQ\QQ.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\Program Files\Tencent\QQ\QQ.exe
C:\Program Files\Maxthon\Maxthon.exe

O4 - 啟動項HKLM\\Run: [!ewido] "D:\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - 啟動項HKLM\\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - 啟動項HKLM\\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - IE右鍵表菜單中的新增專案: 上傳到QQ網路硬碟 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右鍵表菜單中的新增專案: 新增到QQ自定義面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右鍵表菜單中的新增專案: 新增到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右鍵表菜單中的新增專案: 用QQ彩信發送該圖片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O18 - 列舉現有的協議: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - 列舉現有的協議: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - 列舉現有的協議: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - 列舉現有的協議: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列舉現有的協議: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列舉現有的協議: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列舉現有的協議: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列舉現有的協議: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列舉現有的協議: ipp - (no CLSID) - (no file)
O18 - 列舉現有的協議: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - 列舉現有的協議: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - 列舉現有的協議: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列舉現有的協議: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - 列舉現有的協議: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - 列舉現有的協議: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列舉現有的協議: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - 列舉現有的協議: msdaipp - (no CLSID) - (no file)
O18 - 列舉現有的協議: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - 列舉現有的協議: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - 列舉現有的協議: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - 列舉現有的協議: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - 列舉現有的協議: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O23 - NT 服務: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - NT 服務: Network Logon (NetWorkLogon) - Unknown owner - rundll32.exe (file missing)
O23 - NT 服務: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

A:
O23 - NT 服務: Network Logon (NetWorkLogon) - Unknown owner - rundll32.exe (file missing)

你遇到什麼問題呢??詳細說說吧

1. 開始--->執行--->cmd
2. 在cmd中輸入以下文字,按 Enter
sc delete NetWorkLogon

日誌似乎沒問題啊，有什麼現象說說.你把系統配置實用程式放到啟動項幹嗎？

psac · 2006-09-05, 03:08 AM

Q:
【求助】又產生問題,高手來看看

昨天弄好後,今天又產生問題,好像更嚴重
電腦自動重新啟動,QQ自動關閉...

Logfile of HijackThis v1.99.2
Scan saved at 19:43:16, on 2006-9-4
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\msime.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\HuaCi\huaci\zsearch.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
c:\program files\rising\rfw\RfwMain.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\GAOV\Mysee Alert\Mysee Alert.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\WINDOWS\System32\Realplayer.exe
C:\WINDOWS\command\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\VKTServ.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\System32\conime.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\conime.exe
C:\WINDOWS\System32\conime.exe
C:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\utilman.exe
D:\Program Files\TTPlayer\TTPlayer.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\Program Files\Tencent\QQ\332812474\MyRecvFiles\PPStream_1.0.4.538_Cr_Rip_Cnfan.org\PPStream_1.0.4.538_Cr_Rip_Cnfan.org\PPStream\PPStream.exe
D:\Program Files\Kugoo3\KuGoo.exe
C:\Program Files\Tencent\QQ\QQ.exe
C:\Program Files\Tencent\QQ\332812474\MyRecvFiles\HijackThis\HijackThis.exe

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe ntio.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\System32\explore.exe
O2 - BHO: IEMonitor Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\Program Files\DeskAdTop\deskipn.dll
O2 - BHO: Shockwave Flash Object - {14A21378-5BB1-4BC4-95D5-5D3F51527F6F} - C:\WINDOWS\system32\smflash.ocx
O2 - BHO: IE Address Browser Helper - {2A0176FE-008B-4706-90F5-BBA532A49731} - C:\WINDOWS\Downlo~1\SearchNet\SNHpr.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - d:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: enhr32 - {8383990D-07DA-4051-8124-6F1034E807C5} - C:\WINDOWS\System32\enhd32.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - D:\PROGRA~1\Kugoo3\KUGOO3~1.OCX
O3 - Toolbar: 電台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: 卡卡上網安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\KakaTool.dll
O3 - Toolbar: NB46 - {56E88004-7AF8-474C-BB30-76E0B7B2B003} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [MoveSearch] C:\Program Files\HuaCi\huaci\zsearch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera 301x
O4 - HKLM\..\Run: [Mysee Alert] "C:\Program Files\GAOV\Mysee Alert\Mysee Alert.exe" -notray
O4 - HKLM\..\Run: [Desktop] C:\WINDOWS\System32\rundll32.exe "C:\Program Files\DeskAdTop\Run.dll" ,Rundll
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [SOUNDM] winsmd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SearchNet_Up] C:\WINDOWS\Downlo~1\SearchNet\ServeUp.exe
O4 - HKLM\..\Run: [SrvNet32] RunDll32 "C:\WINDOWS\Downlo~1\SearchNet\SrvNet32.dll",Run
O4 - HKLM\..\Run: [Realplayer.exe] C:\WINDOWS\System32\Realplayer.exe
O4 - HKLM\..\Run: [Start] Start.exe
O4 - HKLM\..\Run: [Tray] C:\WINDOWS\command\rundll32.exe
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Start] Start.exe
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\System32\Realplayer.exe
O4 - Startup: 位址欄搜索.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 上傳到QQ網路硬碟 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 使用KuGoo3下載(&K) - D:\Program Files\Kugoo3\KuGoo3DownX.htm
O8 - Extra context menu item: 使用網際快車下載 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用網際快車下載全部鏈接 - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 新增到QQ自定義面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 新增到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信發送該圖片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O8 - Extra context menu item: 訪問通用網址 - C:\Program Files\CNNIC\Cdn\cnnic.htm
O9 - Extra button: Web反病毒保護 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - d:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 騰訊QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - d:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具條設置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll
O11 - Options group: [CDNCLIENT] 中文上網
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {817C90B5-1688-42BE-9044-58422DB088B2} (PortalCom R01) - http://61.172.97.52/PortalAX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E45DA279-45CE-4372-91DE-0A3140F6A910}: NameServer = 202.96.209.133 202.96.209.6
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O21 - SSODL: DLMon - {590498A3-4131-4D8F-BA4B-36791A0803B1} - C:\WINDOWS\System32\DLMain.dll
O23 - Service: 卡巴斯基反病毒6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

A:

參考

你中了searchnet 劃詞搜索 7939.com 這些問題在我給出的連接中均有解決方案
卡巴斯基反病毒和瑞星都能升級嗎？上面的木馬它們一個也不認識？

Q:
描述：落雪清除不了...
圖片：

http://bbs.crsky.com/1128632305/Mon_0609/64_9729_8f86a9af0394e44.jpg

不行,恢復註冊表也沒用
不知道...不是我電腦

A:

電腦的主人有能力根據這裡的提供的建議解決問題嗎？

因為系統裡面存在好幾個可以修改主頁的木馬、惡意程式，單純恢復註冊表不管用

台電腦中的不是落雪木馬

下面的都是木馬、惡意程式修改的啟動項

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe ntio.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\System32\explore.exe
O4 - HKLM\..\Run: [MoveSearch] C:\Program Files\HuaCi\huaci\zsearch.exe
O4 - HKLM\..\Run: [Mysee Alert] "C:\Program Files\GAOV\Mysee Alert\Mysee Alert.exe" -notray
O4 - HKLM\..\Run: [Desktop] C:\WINDOWS\System32\rundll32.exe "C:\Program Files\DeskAdTop\Run.dll" ,Rundll
O4 - HKLM\..\Run: [SOUNDM] winsmd.exe
O4 - HKLM\..\Run: [SearchNet_Up] C:\WINDOWS\Downlo~1\SearchNet\ServeUp.exe
O4 - HKLM\..\Run: [SrvNet32] RunDll32 "C:\WINDOWS\Downlo~1\SearchNet\SrvNet32.dll",Run
O4 - HKLM\..\Run: [Realplayer.exe] C:\WINDOWS\System32\Realplayer.exe
O4 - HKLM\..\Run: [Start] Start.exe
O4 - HKLM\..\Run: [Tray] C:\WINDOWS\command\rundll32.exe
O4 - HKCU\..\Run: [Start] Start.exe
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\System32\Realplayer.exe

超級兔子清理王7.78beta6(2006.08.31更新) 可卸載 163種流氓LJ惡意軟件
http://download5.pctutu.com/soft/winspeed778beta.zip
執行「超級兔子清理王」裡面的「專業卸載」，把裡面用紅色標記的流氓不良綁裝軟件全部卸載掉
不要安裝超級兔子上網精靈裡面帶的「超級兔子工具欄」

下載執行流氓軟件清理助手 V2.1.3
http://www.tommsoft.com/Products.aspx?pid=2
選擇強制清理，如果第一次清理不掉，可以去安全模式下再次清理

下載Dr.Web CureIT! 免費掃瞄器，包含最新病毒庫，可以檢測清除病毒、木馬、後門、流氓惡意軟件，不和已裝殺毒軟件衝突
直接下載位址： ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
自解壓格式，下載後直接執行cureit.exe，或者滑鼠右鍵，解壓到目標資料夾，然後執行該資料夾裡面的「_start.exe」殺毒
先按「確定」進行「Start Express Scan」快速殺毒，先會自動掃瞄記憶體工作行程和啟動項，等快速掃瞄結束後，再用滑鼠左鍵選中硬碟分區的圖示，被選中的分區上會出現紅點標記，再次殺毒.Dr.Web界面左下角的5個按鍵分別是"全選" "清除" "重命名" "隔離" "刪除".可以先把殺毒報告發上來等待確認後再進行操作，或者Select all(全選) Cure ->Move incurable(將清除失敗的文件移動到隔離區)
最後把殺毒報告發上來,從"我的電腦"打開 %USERPROFILE%\DoctorWeb\ 打開下面文件CureIt.log複製其中內容到帖子裡

Dr.Web 使用圖解

http://static.flickr.com/66/222747514_9aed944e3a.jpg

2004-10-23, 06:01 AM
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	資訊 - 首頁綁架者剋星HijackThis 日誌分析!!! 許多不熟悉瀏覽器綁架的人發表文章，詢問如何通過份析HijackThis的日誌來獲得說明，因為他們不理解哪些內容是無害的，而哪些內容是有害的。本文是一個關於日誌含義的基本指南，並包含一些有助於獨立閱讀本文的提示。本文決不能替代在請求說明的解答，而只是在某種程度上說明您自己理解日誌的含義。已做好的Word文件我已已壓縮成RAR文件上傳，在附件中，直接下載就ok了。 HijackThis 日誌分析 ——如何識別有害訊息 ________________________________________ 概述 HijcakThis日誌中的每一行以一個分類名稱開始。（要檢視這一主旨的技術訊息，按下主視窗中的「Info」按鈕，並向下滾動視窗，突出顯示某一行並按下「More info on this item」按鈕即可。）要檢視實用訊息，按下需要獲得說明的分類名稱： • R0, R1, R2, R3 – IE起始頁/搜尋頁 URL • F0, F1 – 自動載入程序 • N1, N2, N3, N4 – Netscape/Mozilla 起始頁/搜尋頁 URL • O1 – 主機文件重轉發IP • O2 – 瀏覽器輔助對像 • O3 – IE工作列 • O4 – 從註冊表自動載入程序 • O5 – 使IE選項的圖示在控制台中不可見 • O6 –由管理員限制的對IE選項的訪問 • O7 –由管理員限制的對註冊表編輯器的訪問 • O8 – IE右鍵表單中的額外項 • O9 – 主IE按鈕工作列上的額外按鈕，或IE「工具」表單中的額外項 • O10 – Winsock綁架程序 • O11 – IE「進階選項」視窗中的額外組 • O12 – IE插件 • O13 – IE DefaultPrefix綁架 • O14 – 「重置Web設定」綁架 • O15 – 受信任區域中的有害站點 • O16 – ActiveX對像（aka 下載的程式文件） • O17 – Lop.com域綁架程序 • O18 – 額外傳輸協定和傳輸協定綁架程序 • O19 – 用戶樣式表綁架 R0、R1、R2、R3－IE起始頁和搜尋頁症狀： R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/ R3 –Default URLSearchHook is missing 治療方案：如果結尾的URL是您的主頁或搜尋引擎，那就不用管它。如果您不認可，請檢查一下並用HijcakThis修復。對於R3項，始終修復它們，直到它提及一個您認可的程序為止，比如Copernic。 ________________________________________ F0、F1－自動載入程序症狀： F0 - system.ini: Shell=Explorer.exe Openme.exe F1 - win.ini: run=hpfsched 治療方案： F0項始終是有害的，因此要修復它們。 F1項通常是存在很長時間的安全程序，因此您應該根據其檔案名搜尋與該檔案有關的更多訊息，以確定它是無害的還是有害的。 ________________________________________ N1、N2、N3、N4－Netscape/Mozilla起始頁和搜尋頁症狀： N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js) N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) 治療方案：通常情況下，Netacape和Mozilla的主頁及搜尋頁是安全的。它們極少被綁架。主頁和搜尋頁的URL不是您認可的，請用HilackThis修復它。 ________________________________________ O1－主機文件重轉發IP 症狀： O1 - Hosts: 216.177.73.139 auto.search.msn.com O1 - Hosts: 216.177.73.139 search.netscape.com O1 - Hosts: 216.177.73.139 ieautosearch 治療方案：這種綁架將通向正確IP位址的位址重轉發IP到錯誤的IP位址。如果IP不屬於該位址，那麼在您每次按鍵輸入該位址時，您將被重轉發IP到一個錯誤的站點。始終用HilackThis修復它們，除非您故意將這些行放到主機文件中。 ________________________________________ O2－瀏覽器輔助對像症狀： O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing) O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL 治療方案：如果您無法直接識別某個瀏覽器輔助對象的名稱，可以使用TonyK的 BHO 列表通過類ID（CLSID，位於大括號中的編號）進行搜尋，以確定它是無害的還是有害的。在BHO列表中，『X』代表偵探軟體，『L』代表安全。 ________________________________________ O3－IE工作列症狀： O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing) O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL 治療方案：如果您不能直接識別工作列的名稱，可以使用TonyK的工作列列表通過類ID（CLSID，位於大括號中的編號）進行搜尋，以確定它是無害的還是有害的。在工作列列表中，『X』代表偵探軟體，『L』代表安全。如果它不在列表中，而且其名稱似乎是一個隨機的字元串，並且該檔案位於一個名為『Application Data』的資料夾中的某處（比如上述例子中的最後一個），那麼它肯定是有害的，應該用HilackThis修復它。 ________________________________________

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-07-06, 08:49 AM	#32 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Q: 求助】幫忙看看 HijackThis 掃瞄日誌掃瞄日誌如下： Logfile of HijackThis v1.99.1 Scan saved at 19:05:33, on 2006-7-5 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\VM_STI.EXE C:\WINDOWS\system32\ctfmon.exe D:\Program Files\Tencent\QQ\QQ.exe C:\WINDOWS\system32\system\explerer.exe C:\WINDOWS\system32\notepad.exe C:\Program Files\Internet Explorer\iexplore.exe D:\Thunder\Program\Thunder5.exe D:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\COUNAL~1\LOCALS~1\Temp\Rar$EX00.364\HijackThis.exe O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\Thunder\ComDlls\XunLeiBHO_001.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize O4 - HKLM\..\Run: [Thunder] D:\Thunder\Thunder.exe /s O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\system\explerer.exe O4 - HKLM\..\Run: [systray] http://yy888.900me.com O4 - HKLM\..\Run: [SystemTray] http://158.7net.cn O4 - HKLM\..\Run: [SysteTray] http://5678.7net.cn O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: 使用迅雷下載 - D:\Thunder\Program\GetUrl.htm O16 - DPF: {C661F36D-DF85-4EF4-83C7-E107B83D04B1} (WebActivater Control) - http://dl_dir.qq.com/3dshow/3DShowVM.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B142D058-9E3E-4B72-BBE1-DB7C17B40F4A}: NameServer = 211.98.4.1 211.98.2.4 O17 - HKLM\System\CCS\Services\Tcpip\..\{C3B78CAF-4275-4B85-BEEF-2244AB48C100}: NameServer = 211.98.2.4,211.98.4.1 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe O23 - Service: Windows User Mode Driver Framework (UMWdf) - Promise Technology, Inc. - (no file) 好像主要就是這三個東東： O4 - HKLM\..\Run: [systray] http://yy888.900me.com O4 - HKLM\..\Run: [SystemTray] http://158.7net.cn O4 - HKLM\..\Run: [SysteTray] http://5678.7net.cn 用「upiea_v2_beta6」無法清除？暈死~~~~~~~~~~ 在打開一個音樂網站後，不知為何，就更改了我的主頁，並自執行網頁。。。 A:C:\WINDOWS\system32\system\explerer.exe O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\system\explerer.exe O23 - Service: Windows User Mode Driver Framework (UMWdf) - Promise Technology, Inc. - (no file) 修復並刪除相關的文件！ Q: 可否再說的明白點啊？謝謝！還想請問下幾個不明白之處： 1> 在組策略下已禁止了「註冊表、批處理」功能； 2> 將「組策略、註冊表」已壓縮打包為壓縮包裝；註冊表已經死死的鎖死了，為什麼還能修改到註冊啊？多謝！ A: 1.開啟HijackThis,按 Do a system scan only,選取以下專案,按 Fix checked 修復 O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\system\explerer.exe O4 - HKLM\..\Run: [systray] http://yy888.900me.com O4 - HKLM\..\Run: [SystemTray] http://158.7net.cn O4 - HKLM\..\Run: [SysteTray] http://5678.7net.cn 2. 找尋以下檔案/資料夾並將之刪除，方法: 1) 開始>搜尋>立即搜尋下方的"搜尋選項">點選"進階選項">除"大小寫視為相異"之外全部選取>在"名稱"一欄打上想找之名字>搜尋 2)人手搵:搵唔到檔案/Folder,可試試作出以下設定 a) 控制台--->資料夾選項--->檢視 b) 不要選隱藏保護的作業系統檔案 c) 選顯示所有檔案和資料夾 d) 按確定即可應刪除之檔案/資料夾名稱: C:\WINDOWS\system32\system\explerer.exe 刪不到可重新開機按f8進入安全模式剷除結束工作行程 C:\WINDOWS\system32\system\explerer.exe 修復 O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\system\explerer.exe O4 - HKLM\..\Run: [systray] http://yy888.900me.com O4 - HKLM\..\Run: [SystemTray] http://158.7net.cn O4 - HKLM\..\Run: [SysteTray] http://5678.7net.cn 重啟電腦刪除 C:\WINDOWS\system32\system\explerer.exe 修復O23 - Service: Windows User Mode Driver Framework (UMWdf) - Promise Technology, Inc. - (no file)

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-07-07, 06:59 PM	#33 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	授之以魚不如授之以漁：HijackThis詳解寫在前面的話自從HijackThis這個強力工具出現以後，各大論壇就不乏求道解惑的帖子。而網上各種版本的中文教程也層出不窮，但都大同小異，特別是對於HijackThis的運作機理剖析不夠，以至於很多人盲目使用，輕則沒有效果，重則損壞系統，讓好好的一個工具成了擺好看。本文依據bleepcomputer.com的HijackThis Tutorial & Guide翻譯而來。文章詳細分析了HijackThis的執行機制和修復手段，對每一個區段都作了詳細的說明，並隨著版本的更新而不斷修訂。 HijackThis專案詳解 R0，R1，R2，R3 區段這一個區段包括Internet Explorer起始頁、主頁以及Url搜索鉤子。 R0 對應於Internet Explorer起始頁和搜索助手。 R1 對應於Internet Explorer搜尋功能和其他特性。 R2 目前沒被使用。 R3 對應於 Url 搜索鉤子。Url搜尋鉤子用於當你在瀏覽器的地址欄中鍵入一個http:// 或者ftp:// 等協議的地址的時候。當你輸入這種地址時，瀏覽器將會嘗試靠它自己理解選擇正確的協議，如果失敗了它將會使用在 R3 區段中列出的 UrlSearchHook 試著找到你輸入的地址。註冊表鍵： HKLM\Software\Microsoft\Internet Explorer\Main,Start Page HKCU\Software\Microsoft\Internet Explorer\Main: Start Page HKLM\Software\Microsoft\Internet Explorer\Main: Default_Page_URL HKCU\Software\Microsoft\Internet Explorer\Main: Default_Page_URL HKLM\Software\Microsoft\Internet Explorer\Main: Search Page HKCU\Software\Microsoft\Internet Explorer\Main: Search Page HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default) HKCU\Software\Microsoft\Internet Explorer\Main: Window Title HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyOverride HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch= HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant 例子列表 R0 - HKCU\software\Microsoft\Internet Explorer\Main,Start = http://www.google.com/ 一個通常的疑問是緊接著其中一些專案的Obfuscated代表什麼意思。當某項被標注為Obfuscated的時候意味著它將難以被察覺或者瞭解。在間諜軟件術語中那意謂著間諜軟件或者劫持程式藉由把數值轉換成它容易地瞭解，但人類難以理解的一些其它的形式來隱藏它們的專案，例如把專案以十六進制的形式加入註冊表。這是隱藏它們的存在且使其難以被移除的慣用伎倆。如果你不認識R0和R1中任何一個所指向的網站，並且你想要改變它，那麼你可以讓 HijackThis 安全地修復它們，使它們不會對你的 Internet Explorer 設置造成危害。如果你想看看它們是怎樣的網站，你可以去訪問那些站點，而且如果它有許多彈出視窗和鏈接，你幾乎可以總是刪除它們。需要注意的是如果R0/R1指向的是一個文件，當你用 HijackThis 修復該專案時，Hijackthis 將不會刪除指定的文件，你必須手動刪除它。有些以下劃線(_)結束的特定的 R3 專案。比如它會看起來像是下面這個例子： R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file) 注意 CLSID，它是在 {} 之間的那些數位，有一個 _ 跟在它的末尾，用 HijackThis 移除它們有些時候可能會有困難。要修復它你需要去下面的註冊表鍵手動刪除指定的註冊表專案： HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks 刪除在它下面的你想要移除的CLSID專案。請不要改動 CFBFAE00-17A6-11D0-99CB-00C04FD64497 這個CLSID，因為它是合法的預定值之一。除非你認識被用於 UrlSearchHook 的軟件，否則你通常應該 Google 一下並在做過一些研究之後，再讓 HijackThis 修復它。 F0，F1，F2，F3 區段這些區段包括從你的.ini文件，system.ini，win.ini以及註冊表中等效的位置載入的應用程式。 F0 對應於 system.ini中的 Shell= 語句。在 system.ini 的 shell= 語句在 Windows 9X 及以下(ME也有使用?)的操作系統中被用於指定哪個程式會為作為操作系統的外殼。外殼是負責載入你的桌面，處理窗囗管理，而且讓使用者與系統互動的程式。當Windows啟動時，在shell語句之後列出的任何的程式都會被載入，並且充當預定的外殼。有一些程式可以被做為合法的外殼替代品，但是他們通常已經不再被使用。 Windows 95 和 98 (Windows ME?)使用 Explorer.exe 作為它們的預定外殼。Windows 3.X 使用 Progman.exe 作為它的外殼。也可以在與 shell= 的同一行上列出多個將在Windows載入同時啟動的其他程式，例如 Shell=explorer.exe badprogram.exe。當 Windows 啟動的的時候，這一行將會載入兩個程式。 F1 對應於在 win.ini 中的 Run= 或者 Load= 專案。在 Run= 或者 Load= 之後列出的任何的程式將會在Windows啟動的時候載入。 Run= 語句主要在 Windows 3.1，95和98 時期用於保持和較舊的程式的向後相容性。大多數的現代程式不再使用這個 ini 設定，而且如果你並不使用較舊的程式你可以確定它們是可疑的。而Load= 語句被用於為你的硬體載入驅動程式。 F2 和 F3 專案對應於 F0 和 F1 的等效位置，但是它們在Windows XP，2000 和 NT中改為在註冊表中儲存。這些版本的Windows通常不使用 system.ini 和 win.ini 文件。他們使用被稱為 IniFileMapping 的一個功能來代替向後相容性。 IniFileMapping 將.ini文件的所有的內容加入註冊表中，用鍵來存儲.ini中的的每一行。當你執行一個需要從.ini文件中讀取它的設置的程式時，它將會首先檢查註冊表鍵： HKEY_LOCAL_MACHINE\software\Microsoft\ windows nt\CurrentVersion\ IniFileMapping 做.ini 映射，如果順利找到將會改為讀取來自那裡的設置。你可以看到這個鍵包含了IniFileMapping所引用的.ini文件。在 F2 經常出現的另外一個專案是UserInit項，對應於Windows NT，2000，XP以及2003中的： HKLM\Software\Microsoft\ windows nt\CurrentVersion\Winlogon\Userinit。這個鍵指明哪個程式應該在用戶登入之後啟動。這個鍵的預定程式是 C:\windows\system32\userinit.exe。 Userinit.exe是為你的用戶賬戶恢復自己的的配置，字型，色彩等設置的程式。可以通過將要執行的程式以逗號隔開來增加的更多的程式。舉例來說： HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit=C:\windows\system32\userinit.exe,c:\windows\badprogram.exe。當你登入的時候，這兩個程式都會啟動，這是一個常被特洛伊木馬、劫持程式和間諜軟件所利用的位置。註冊表鍵： HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping 使用的文件： c:\windows\system.ini c:\windows\win.ini 例子列表 F0- system.ini: shell=Explorer.exe Something.exe F2-REG:system.ini: UserInit=userinit,nddeagnt.exe F2-REG:system.ini: shell=explorer.exe beta.exe 對於 F0 ，如果你見到一個類似 Shell=Explorer.exe something.exe 的描述，那麼你應該確實的刪除它。你通常可以刪除這些專案，但是你應該查詢 Google 和在下面列出的網站。對於 F1 專案你應該google下在這裡找到的專案以確定他們是否合法的程式。你也可以在下面的網站搜尋這些專案看看它是什麼。對於 F2, 如果你見到「UserInit=userinit.exe,」有或者沒有「nddeagnt.exe」，就像上述的例子中那樣，那麼你可以不理會它。如果你見到 UserInit=userinit.exe(注意沒有逗點) 那仍然沒有問題，因此你應該不需要理會它。如果你在 userinit.exe 後面發現其它的專案,那很可能是特洛伊木馬或其他的惡意程式。 F2 Shell=也是一樣：如果你單獨見到「explorer.exe」，它應該沒有問題，否則，如果類似上面的例子，那麼它可能是潛在的特洛伊木馬或惡意程式。你通常可以刪除這些專案，但是你應該查詢 Google 和在下面列出的站點。請注意當修復這些專案的時候 HijackThis 不會刪除除與它關連的文件。你一定要手動刪除這些文件。你可以在下面的站點尋找相關訊息： Bleeping Computer Startup Database Answers that work Greatis Startup Application Database Pacman's Startup Programs List Pacman's Startup Lists for Offline Reading Kephyr File Database Wintasks Process Library N1，N2，N3，N4 區段這些區段對應於Netscape和 Mozilla 瀏覽器的起始頁和預定搜索頁。這些專案被儲存在C:\Documents and Settings\YourUserName\Application Data 資料夾下不同的位置的 prefs.js 文件中。 Netscpae4 專案在通常存儲在應用程式目錄的 prefs.js 文件中，類似下面的位置C:\Program Files\Netscape\user\default\prefs.js。 N1 對應Netscape4 啟始頁和預定搜尋頁。 N2 對應Netscape6 啟始頁和預定搜尋頁。 N3 對應Netscape7 啟始頁和預定搜尋頁。 N4 對應Mozilla 啟始頁和預定搜尋頁。使用的文件：prefs.js 由於間諜程式和劫機程式大多傾向於瞄準Internet Explorer所以這些專案通常是安全的。如果您發現在這裡列出的網站不是您設置的，您可以使用HijackThis修復它。目前只有一個已知的會改變這些設定的網站，就是在這裡被討論的 Lop.com。 O1 區段這個區段對應主機（Host）文件重定向。主機文件包含主機名（hostnames）到IP地址的映射。舉例來說，如果我在我的主機文件中輸入： 127.0.0.1 www.bleepingcomputer.com 當你試圖訪問 http://www.bleepingcomputer.com的�...換成IP地址 127.0.0.1 而不是它的正確地址。主機文件重定向是指，一個劫持程式修改了你的主機文件，在你的試圖訪問一個特定的網站時候將你重定向到另外一個網站。因此如果某人增加一個專案類似於： 127.0.0.1 www.google.com 那麼當你試圖訪問 www.google.com時你會被重定向到 127.0.0.1 這個你自己的電腦的地址。例子列表 O1 - Hosts: 192.168.1.1 www.google.com 使用的文件：主機文件是能被任何文本文件編輯程式編輯的一個文本文件，在不同操作系統被預先設定儲存在下列的位置中，除非你選擇了不同的安裝路徑 - 操作系統位置 Windows 3.1 C:\WINDOWS\HOSTS Windows 95 C:\WINDOWS\HOSTS Windows 98 C:\WINDOWS\HOSTS Windows ME C:\WINDOWS\HOSTS Windows XP C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS Windows NT C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS Windows 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS Windows 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS 在Windows NT/2000/XP中主機文件的位置能夠通過修改註冊表鍵來改變。註冊表鍵： HKEY_LOCAL_MACHINE\system\CurrentControlSet\Service\Tcpip\Parameter\: DatabasePath 如果你見到某個專案類似於上面的例子，並且你知道他們不是作為特定的原因存在的，你可以安全地移除他們。如果你發現一個專案的主機文件位於 C:\Windows\Help\Host，這意味著你感染了 CoolWebSearch。如果主機文件不在上表中的操作系統的預定位置上，那麼它很有可能是由於被感染而引起的，你應該讓 HijackThis 修復它。你也可以下載Hoster程式使你能夠恢復預定的主機文件。只要下載Hoster程式並執行它，點擊Restore Original Hosts按鈕然後退出即可。 O2 區段這個區段對應於瀏覽器輔助程式對像（Browser Helper Object）。瀏覽器輔助程式對象是為你的瀏覽器擴充功能的插件。他們可能被用於間諜程式和合法的程式，像是 Google 工具欄和 Adobe Acrobat Reader。當你要決定是否移除它們的時候，你最好先研究下它們是否可能是合法的。註冊表鍵： HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects 例子列表 O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872}- C:\Program Files\Norton Antivirus\NavShExt.dll 這裡有一個由Tony Klein 編譯的關於瀏覽器輔助程式對像和工具欄的已知 CSLIDs 的優良列表，在這裡:CLSID 列表。當查閱列表的時候，使用列出的在花括弧({})之間的數位作為 CLSID。這些列出的 CLSID 相關的註冊表專案包含了關於瀏覽器輔助程式對像和工具欄的訊息。當你用 HijackThis 修復這一類型的專案的時候， HijackThis 將會嘗試刪除列出的引起問題的文件。有時即使Internet Explorer已經關閉，文件卻仍然在使用中。如果在你用 HijackThis 修復它之後，文件仍然存在，建議你重新啟動進入安全模式刪除有問題的文件。 O3 區段這個區段對應於Internet Explorer 工具欄。這些是在Internet Explorer的導航欄的下面的工具欄以及表菜單。註冊表鍵： HKLM\Software\Microsoft\Internet Explorer\Toolbar 例子列表 O3 - Toolbar: Norton Antivrius - {42CDD1 BF-3 FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll 這裡有一個由Tony Klein 編譯的關於瀏覽器輔助程式對像和工具欄的已知 CSLIDs 的優良列表，在這裡:CLSID 列表。當查閱列表的時候，使用列出的在花括弧({})之間的數位作為 CLSID。這些列出的 CLSID 相關的註冊表專案包含了關於瀏覽器輔助程式對像和工具欄的訊息。當你用 HijackThis 修復這一類型的專案的時候， HijackThis 將會嘗試刪除列出的引起問題的文件。有時即使Internet Explorer已經關閉，文件卻仍然在使用中。如果在你用 HijackThis 修復它之後，文件仍然存在，建議你重新啟動進入安全模式刪除有問題的文件。 O4 區段這個區段對應在確定的註冊表鍵處和啟動資料夾中列出的將自動在Windows 啟動時被載入的應用程式。在這裡被列出的註冊表鍵適用於 Windows XP，NT，和 2000。如果它們也適用於其他的操作系統，請告訴我：如果它看起來像一個註冊表鍵，它應該在下面列出註冊表鍵列表之中。 Startup: 這些專案提及的應用程式藉由把它們放入已登入的使用者的啟動組中來載入。 Global Startup: 這些專案提及的應用程式藉由把他們放入所有的使用者的啟動組中來載入。啟動註冊表鍵： HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx 注意: HKLM 代表 HKEY_LOCAL_MACHINE，而 HKCU 代表 HKEY_CURRENT_USER。啟動位置的完整列表和它們的作用可以在這裡找到：Windows Program Automatic Startup Locations 使用的目錄： Startup: c:\documents and setting\username\start menu\program\startup Global: c:\documents and setting\all user\start menu\program\startup 例子列表 04- HKLM\..\Run: [nwiz] nwiz.exe/install 當你修復 O4 專案的時候，HijackThis不會刪除與專案關連的文件。你通常必須重新啟動進入安全模式手動刪除它們，清除Global Startup和Startup專案的工作稍微有些不同。HijackThis 將會刪除這些專案中找到的快捷方式，而不是他們所指向的文件。如果是一個可執行程式駐留在Global Sartup或者Startup目錄中那麼有問題的專案將被刪除。雖然許多合法的程式也已這種方式啟動，一個專案可能看起來像正常的但仍然可能是一個惡意程式。你應該為 O4 專案查詢下面的列表： Bleeping Computer Startup Database Answers that work Greatis Startup Application Database Pacman's Startup Programs List Pacman's Startup Lists for Offline Reading Kephyr File Database Wintasks Process Library Windows Startup Online Database O5 區段這個區段對應於控制板中的Internet選項顯示控制。至少在Windows XP中你可以藉由在 c:\windows\control.ini 中增加條目來制定哪些特定的控制板不可見的。使用的文件： control.ini 例子列表 O5 - control.ini: inetcpl.cpl=no 如果你見到類似上面那行，那麼那可能是一個信號：某個軟件正在嘗試使你難以改變你的設定。除非它這麼做是出於某個特定的已知理由，比如系統管理員設定的策略或者 Spybot- S&D 所做的限制，否則你可以讓HijackThis修復它。 O6 區段這個區段對應於通過變更註冊表的特定設置對在Internet Explorer的選項或主頁進行一個管理性的鎖定。註冊表鍵： HKCU\Software\Policy\Microsoft\Internet Explorer\Restrictions 例子列表 O6 - HKCU\Software\Policy\Microsoft\Internet Explorer\Restrictions 這些項應該只在系統管理員故意如此設定或者使用了Spybots的Mode->Advanced Mode->Tools->IE Tweaks中的首頁和選擇項鎖定時出現。 O7 區段這個區段對應於通過變更註冊表的一個專案從而不允許執行註冊表編輯器。註冊表鍵： HKCU\Software\Microsoft\Windows\CurrentVersion\Policy\System 例子列表 O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policy\System: DisableRegedit=1 請注意，許多系統管理員在辦公室環境下故意將此項鎖定，這時讓 HijackThis 修復它可能會違背的企業的政策。如果你是系統管理員而它在沒有經你許可下就被啟用了，那麼讓 HijackThis 修復它。 O8 區段這一個區段對應於在Internet Explorer的上下文表菜單中發現的額外的專案。這意謂當你在你當前瀏覽的網頁上右擊的時候，你將會見到這些選項。註冊表鍵： HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt 例子列表 O8 - Extra content menu item: &Google Search - res：//c:\windows\GoogleToolbar1.dll/cmsearch.html 這些列出的專案表示當你右擊一下的時候，將會在表菜單中出現的物件，以及當你實際按下某個選項時會呼叫的程式。特定例子，類似 "Browser Pal" 總是應該被移除，而且其餘的應該使用Google研究下。在這裡你可能找的一個合法程式的例子是Google Toolbar。當你修復這些類型的專案的時候，HijackThis 不會刪除列出的有問題的文件。建議你重新啟動進入安全模式刪除有問題的文件。 O9 區段這個區段對應於在Internet Explorer工具欄上的按鈕或者在Internet Explorer的『工具』表菜單中非預定安裝的專案。註冊表鍵： HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extension registry key。例子列表 O9 - Extra Button: AIM (HKLM) 如果你不需要這些按鈕和表菜單項或者知道他們是惡意程式，你可以安全地移除他們。當你修復這些類型的專案的時候，HijackThis 不會刪除列出的有問題的文件。建議你重新啟動進入安全模式刪除有問題的文件。 O10 區段這個區段對應於 Winsock 劫持程式或者其它已知的LSP.(Layered Service Provider) LSPs 是一種將其它程式鏈接到你的電腦的 Winsock 2 設備一種方法。因為LSPs彼此鏈接在一起，當使用 Winsock 的時候，資料也會在鏈中的每個LSPs間傳輸。間諜軟件和劫持程式能夠使用 LSPs 監視在你的因特網連接之上傳輸的所有的流量。當刪除這些對象的時候，你應該極度的小心，如果它在沒有適當地修復鏈中的中斷點之前就被移除，你有可能會失去因特網連接。例子列表 O10 - Broken Internet access beacuse of LSP Provider 'spsublsp.dll' missing 許多病毒掃瞄軟件開始在Winsock層掃瞄病毒、特洛伊木馬等。問題是它們大多數在刪除有問題的 LSP 之後沒有以正確的順序重建LSPs。這可能導致 HijackThis 發現一個類似於上面例子的問題並發出警告，即使因特網仍然能夠工作。在修復這些錯誤的時候，你應該因此尋求來自一個富有經驗的使用者的建議。同時也建議你使用在下面鏈接的 LSPFix 來修復它們。 Spybot通常能夠修復它們但請確認你擁有最新的版本。或許你可以使用專門為這類型的問題題設計的一個工具，叫做 LSPFix。你也可以訪問Zupe's LSP List Page的列表來檢視它們是否合法。 O11 區段這個區段對應於已經被新增到 IE 的Internet選項的高階選擇項的一個非預定的選項組。如果你打開IE的Internet選項，你將會見到一個高階選擇項。通過在一個註冊表鍵下面增加一個專案可以在那裡顯示一個新的組。註冊表鍵： HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\AdvancedOptions 例子列表 O11 - Options group: [CommonName] CommonName 據 HijackThis 的作者Merijn的表示，目前只有一個已知的劫持程式使用這個專案，它就是 CommonName。如果你在列表中見到 CommonName，你可以安全地移除它。如果它是另外的一個專案，你應該 Google 一下。 O12 區段這個區段對應於IE瀏覽器擴展。 IE瀏覽器擴展是當IE啟動時載入的，為IE提供功能擴展的一些程式。有許多瀏覽器擴展是合法的，比如PDF檢視器和非標準圖像檢視器。註冊表鍵： HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Plugins 例子列表 Plugin for .PDF: C:\ Program Files\Internet explorer\plugin\nppdf32.dll 大多數的瀏覽器擴展是合法的，在你刪除它們之前因此你應該先Google一下你不認識的專案。一個已知的你應該刪除的瀏覽器擴展是以OFB為延伸名的Onflow plugin。當你用 HijackThis 修復這些類型的專案的時候，HijackThis 將會嘗試刪除列出的有問題的文件。有時候即使IE已經關閉，文件可能仍被使用。如果在你用 HijackThis 修復它之後，文件仍然存在，建議你重新啟動進入安全模式刪除有問題的文件。 O13 區段這個區段對應於一個 IE 預定前綴（DefaultPrefix）劫持。預定前綴是一個Windows設置，指定如何處理沒有在前面輸入http://、ftp:// 等的網址。預定情況下 Windows 將會在開頭附加 http://做為預定的 Windows 前綴。你可以通過編輯註冊表將這換成一個你選擇的預定前綴。 CoolWebSearch 這種劫持程式正是通過將其改為 http://ehttp.cc/? 來作惡。這意謂當你想連接一個網址比如說 www.google.com，你將會訪問 http://ehttp.cc/?< wind_code_48 > ，這實際上是 CoolWebSearch 的網站。註冊表鍵： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\ 例子列表 O13 - WWW. Prefix: http:// ehttp.cc/? 如果你遇到類似上面那個例子的問題，你應該執行 CWShredder。這個程式可以移除在你的機器上的 CoolWebSearch 的所有的已知變種。你可以該在這裡閱讀如何使用 CWShredder 的指導： How to remove CoolWebSearch with CoolWeb Shredder 如果 CWShredder 沒找到和修復問題，你應該總是讓 HijackThis 來修復這個專案。 O14 區段這個區段對應於『重置 Web 設置』劫持。在你的電腦上有一個文件用於將IE的選項重置回他們的 Windows 預定值。這個文件儲存在 c:\windows\inf\iereset.inf 中而且包含需要使用的所有的預定設定。當你重置一個設定的時候，它將會讀取該文件並且將指定的設定改為在文件中描述的值。如果一個劫持程式改變了在那一個文件中的訊息，那麼當你重置那一個設定的時候，你將再次被感染，因為它將會讀取來自 iereset.inf 文件的不正確的訊息。例子列表 O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com 請注意這個設定有可能已經合法地被一個電腦製造商或機器的系統管理員改變。如果你不認識那些地址你應該修復它。 O15 區段這個區段對應於在IE受信區域和預定協議中的站點或 IP 地址。受信區域 IE的安全性以一組區域為基礎。每個區域有不同的安全措施來確定在此區域中的站點可以執行什麼腳本和應用程式。這裡有被稱為受信區域的一個安全區域。這一個區域有最低的安全措施而且允許其中的站點在不需要你確認的情況下執行腳本和應用程式。它因此成為惡意站點使用的一個常見伎倆，以便以後能很容易地通過在受信區域中的站點感染你的電腦。註冊表鍵： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Internet Settings\ZoneMap\Domains HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges 例子列表 O15 - Trusted Zone: http://www.bleepingcomputer.com O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149(HKLM) Domains或Ranges哪個將被IE使用決定於使用者正在嘗試訪問的網址。如果網址中包含一個域名，那麼它將會將會在Domains子鍵中搜尋符合的項。如果它包含一個IP地址那就搜尋Ranges子鍵來查找符合的項。當網域新增為一個受信站點或者受限站點他們將被分配一個值來表示。如果他們被分配到 =4 這個值，那一個網域將會被新增到受限區域。如果他們的值為 =2，那麼那一個網域將會被加到受信區域。增加一個 IP 地址的工作稍微有些不同。在 Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges 鍵下，你可以找到名為Ranges1，Ranges2，Ranges3，Ranges4，...的其他的鍵。每個子鍵對應於一個特定的信任區域/協議。如果你增加一個 IP地址到一個安全區域，Windows 將會在以 Ranges1 為開始創建一個包涵該區域所有IP地址及特定協議的子鍵。舉例來說，如果你增加如一個受信站點 http://192.168.1.1 ，Windows 會產生第一個可用的的Ranges鍵 (Ranges1) 而且增加一個數值 http=2。任何將來的可信賴的 http:// IP 地址將會被新增加到 Range1 鍵。現在如果你增加一個使用 http 協議的受限的站點 (例如 http://192.16.1.10) ， Windows 會按順序創建一個新的鍵，叫做Range 2。它的值會是 http=4，而且任何以後新增到受限站點的 IP 地址將會被放在這個鍵下。每個協定和信任區域設定組合都會延續這種方式。如果你曾經在這裡見到任何域名或者IP地址，除非它是一個你認識的網址，比如你的公司使用的，否則通常應該移除它。如果你希望修復它們，你可以在free.aol.com找到一個公共的列表。當他們基本上是不必要的時候，對我個人來講會把所有的專案從受信區域移除。 ProtocolDefaults 當你使用 IE 連接到一個站點的時候，那一個站點的安全權限授權於它所在的區域。5個區域中的每一個都有一種相關的具體的識別號碼。這些區域以及它們相關聯的號碼的是：區域區域映射 My Computer 0 Intranet 1 Trusted 2 Internet 3 Restricted 4 每一個用於連接到站點的協議，像是 HTTP、FTP、HTTPS，都被映射到這些區域其中的一個。下列各項是預定的映射：協議區域映射 HTTP 3 HTTPS 3 FTP 3 @vit 1 shell 0 舉例來說，如果你連接到一個使用 http:// 的站點那麼將會是預定的Internet區域的一部份。這是因為 http 的預定區域是 3 即Internet區域。如果惡意軟件改變了特定協議的預定區域那麼就會發生問題。舉例來說，如果惡意軟件已經將 HTTP 協議的預定區域改為 2，那麼你使用 http 連接到的任何站點將會被認為是處於受信區域中。到現在為止尚沒有已知的惡意軟件利用它，但我們可能會看到HJT正在枚舉這個鍵。註冊表鍵： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults 如果預定的設定被改變你們將會見到一個類似下面的 HJT 專案：例子列表 O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM) 你可以簡單的通過HJT專案來修復這些設定使他們回到預定值。 O16 區段這個區段對應於 ActiveX 對象也被稱為Downloaded Program Files。 ActiveX 對象是從網站下載到你的電腦上的程式。這些對像被儲存在 C:\Windows\Download Program Files下。它們同樣以在花括號之間的那串數值作為 CLSID 來被註冊表引用。這裡有許多合法的 ActiveX，比如這個iPix Viewer的例子。例子列表 O16 - DPF: {11260943-421B-11D0-8 EAC-0000C07D88 CF}-(iPix ActiveX 控制) http:// www.ipix.com/download/ipixx.cab 如果你發現不認識的名字或地址，你應該 Google 下看看它們是否是合法的。如果你感覺它們不是，你可以修復它們。即便刪除了你電腦上的幾乎所有 ActiveX 對象也不會有什麼問題，因為你可以再次下載它們，要知道有一些公司的應用程式也會使用ActiveX對象，所以要小心。你應該總是刪除帶有sex、porn、dialer、free、casino等詞語的 016 專案。有一個叫做SpywareBlaster的帶有大量惡意 ActiveX 對象的資料庫的程式。你可以下載和通過它搜尋已知的 ActiveX 對像資料庫。關於使用 SpywareBlaster 的指南可以在這裡找到： Using SpywareBlaster to protect your computer from Spyware, Hijackers, and Malware. 當你修復 O16 專案的時候，HijackThis 將會嘗試從你的硬碟刪除他們。通常這不會有什麼問題，但是有時候 HijackThis 可能不能刪除有問題的文件。如果發生了這種情況，請重新啟動進入安全模式刪除它。 O17 區段這個區段對應於 Lop.com 域名入侵。當你使用主機名像是 www.bleepingcomputer.com 而不是IP地址訪問一個網站的時候，你的電腦通過一個DNS服務器將主機名解析為一個IP地址。域名入侵是指，劫持程式改變你的機器上的 DNS 服務器指向他們自己的服務器，他們能將你定向到他們希望的任何的位置。藉由把 google.com 加入他們的 DNS 服務器，他們能在你試圖訪問 www.google.com 的時候，把你重定向到一個他們的選擇的網站。例子列表 017- HKLM\system\CS1\service\VxD\ MSTCP: NameServer=69.57.146.14,69.57.147.175 如果你見到此專案而它並不屬於你所認識的ISP或者公司的網域，以及 DNS 服務器不屬於你的ISP或者公司，那麼你應該讓HijackThis修復它。你可以到 Arin 查詢下 whois a 通過DNS服務器的IP地址來判斷他們屬於哪個公司。 O18 區段這個區段對應於額外的協議和協議劫持。這個方法通過將你的電腦使用的標準協議驅動更改為劫持程式所提供的驅動來實現。這讓劫持程式可以控制你的電腦以特定方式發送接受訊息。註冊表鍵： HKEY_LOCAL_MACHINE\Software\Class\PROTOCOLS\ HKEY_LOCAL_MACHINE\Software\Class\CLSID HKEY_LOCAL_MACHINE\Software\Class\Protocol\Handler HKEY_LOCAL_MACHINE\Software\Class\Protocol\Filter HijackThis 首先讀取非標準的協議的註冊表協議區段。一但找到便在列出的CLSID中查詢於關於它的文件路徑的訊息。例子列表 O18 - Protocol: relatedlinks - {5AB65DD4-01 FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll 通常嫌犯是CoolWebSearch，Related Links和Lop.com。如果你發現了這些項，你可以讓 HijackThis 修復它。使用Google來看看文件是否是合法的。你也可以使用Castlecop's O18 List來幫助你確認文件。需要注意的是修復這些專案似乎不會刪除與它有關的註冊表專案或文件。你應該重新啟動進入安全模式手動刪除有問題的文件。 O19 區段這個區段對應於用戶式樣表劫持。式樣表是描述html網頁面的佈局，彩色和字型如何顯示的一個模板。這一類型的劫持程式會重寫為殘障人士設計的預定式樣表單，並引起大量的彈出視窗和潛在的速度降低。註冊表鍵： HKEY_CURRENT_USER\software\Microsoft\Internet Explorer\Style\: User Stylesheets 例子列表 O19 - User style sheet: c:\Windows\Java\my.css 除非你確實創建了自己的式樣，否則你通常可以移除它們。當你修復專案的這些類型的時候, HijackThis 不會刪除在列的有問題的文件。建議你重新啟動到安全模式刪除式樣表單。 O20 區段 AppInit_DLLs 這個區段對應於通過 AppInit_DLLs 的註冊表值和 Winlogon Notify 子鍵載入文件 AppInit_DLLs 註冊表值包含了當 user32.dll被載入時將會載入的一連串的動態鏈接庫。而大多數的 Windows 可執行程式都會使用user32.dll，這意謂著任何在 AppInit_DLLs 註冊表鍵列出的DLL也會被載入。當它被多個工作行程裡面載入的時候，要移除 DLL 將會變得非常困難，其中一些很難在不引起系統不穩定的情況下被終止。user32.dll文件也被很多當你登入時系統自動啟動的工作行程使用。這意謂著 AppInit_DLLs 中的文件將會非常早在我們可以訪問系統之前就被載入，Windows 啟動程式可以允許DLL隱藏自身或保護自身。這一個方法已知被一個 CoolWebSearch 的變種使用而且只能在註冊表編輯器中同過右擊數值檢視，並且選擇修改二進制資料。另外 Registrar Lite 也可以相對容易的檢視這些DLL。註冊表鍵： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs 例子列表 O20 - AppInit_DLLs: C:\Windows\system32\winifhi.dll 有些使用這個註冊表鍵的合法程式，所以當刪除在列的文件的時候，你應該小心。使用我們的Bleeping Computer Startup Database或Castlecops O20 list 來幫助你確認文件。當你修復這一類型的專案的時候，HijackThis 不會刪除在列的有問題的文件。建議你重新啟動進入安全模式刪除有問題的文件。 Winlogon Notify Winlogon Notify鍵通常被 Look2Me 感染。HijackThis 將會列出所有非標準的Winlogon Notify鍵，以便你能容易地發現哪一個是本不屬於那裡的。你可以通過列出的在%SYSTEM%目錄下的一個隨機名字的Dll來確認 Look2ME 感染的鍵。即使它並不屬於那裡，該鍵也會有一個看似正常名字。註冊表鍵： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify 例子列表 O20 - Winlogon Notify: Extensions -C:\Windows\system32\i042laho1d4c.dll 當你修復這個專案的時候它將會移除註冊表中的鍵但保留文件。你必須手動刪除這個文件。 O21 區段這個區段對應於通過 ShellServiceObjectDelayLoad 註冊表鍵載入的文件。這個註冊表以於Run鍵相似的方式包含數值。與直接指向文件本身不同的是，它指向CLSID的InProcServer，它包含有關於正在被使用的特定DLL文件的資訊。當你的電腦啟動的時候，在這個鍵下面的文件自動地被 Explorer.exe 載入。因為 Explorer.exe 是你的電腦的外殼程式，它總是會啟動，那麼這樣一來在這個鍵下面的文件也總是會被載入。因此這些文件在任何人為干預發生之前就早在啟動過程中載入了。使用方法的劫持程式能被下列專案辨認出：例子列表 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\Windows\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\Windows\secure.html 註冊表鍵： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad 例子列表 O21 - SSODL: System - {3CE8EED5-112D-4E37-B671-74326D12971E} - C:\Windows\system32\system32.dll HijackThis 使用內部的的白名單來排除這個鍵下面的合法專案。如果你為這見到了這個個列表，那麼它就不是標準的而且應該被視為可疑的。使用我們的Bleeping Computer Startup Database或Castlecops O20 list 來幫助你確認文件。當你修復這些類型的專案時，HijackThis 不會刪除在列的有問題的文件。建議你重新啟動進入安全的模式刪除有問題的文件。 O22 區段這個區段對應於通過 SharedTaskScheduler 註冊表值載入的文件。當你啟動Windows的時候，這一個註冊表專案會自動地執行。當前只有CWS.Smartfinder使用這個鍵。註冊表鍵： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler 例子列表 O22 - SharedTaskScheduler: (no name){3F143C3A-1457-6CCA-03A7-7AAA23B61E40F} - c:\windows\system32\mtwirl32.dll 小心地移除該鍵所列出的專案，因為有些是合法的。你的可以使用 google 來瞭解它是否合法的。CWS.Smartfinder可以用CWShredder移除。使用我們的Bleeping Computer Startup Database或Castlecops O20 list 來幫助你確認文件。 Hijackthis 將會刪除與SharedTaskScheduler相關的專案，但不會刪除它指向的 CLSID 以及CSLID 的 Inprocserver32 指向的文件。因此你應該總是重新啟動到安全模式手動刪除這些文件。 O23 區段這個區段對應於XP，NT和2003的系統服務。服務是在Windows啟動時自動載入的程式。這些服務無論是否有使用者登入到電腦都會被載入，而且經常被廣泛用處理系統任務，像是Windows操作系統功能，防病毒軟件或應用程式服務器。近來惡意軟件利用服務來感染電腦呈增加趨勢。因此仔細調查列出的看起來不正確的每一個服務是很重要的。你可能找到的常見的惡意軟件服務是Home Search Assistant和Bargain Buddy的新變種。你可以在下面找到一些相關的例子。多數的微軟服務已經被加到白名單，因此他們將不會被列出。如果你想同時檢視它們你可以使用 /ihatewhitelists 參數啟動 HijackThis。合法服務的例子：例子列表 O23 - Service: AVG7 Alert Manager Server (Avg7 Alrt)- GRISOFT ， s.r.o。 - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe Home Search Assistant的例子：例子列表 O23 - Service: Workstation NetLogon Service - Unknown - C:\Windows\system32\crxu.exe Bargain Buddy 的例子：例子列表 O23 - Service: ZESOFT - Unknown - C:\Windows\zeta.exe O23 - Service: ISEXEng - Unknown - C:\Windows\system32\angelex.exe 當你修復一個 O23 專案的時候 Hijackthis 將會將這一個服務改為已禁用，並停止該服務，然後要求使用者重新啟動。它將不會刪除註冊表中的服務或者它指向的文件。為了刪除它你需要知道服務名。這個名字是在括號之間的文本。如果顯示出的名字和服務名字相同，那麼它就不會再列出服務名字。有你可以用三種方法來刪除服務： 1. 通過在命令行提示字元下鍵入 XP 的 SC 指令來刪除它： sc delete servicename 你可以使用下列的例子中的註冊表文件來刪除服務： 2. 使用註冊表文件刪除服務。下面的註冊表文件是一個該如何移除 Angelex.exe Bargain Buddy變種的例子： REGEDIT4 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ISEXENG] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ISEXEng] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ISEXENG] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ISEXEng] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ISEXENG] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ISEXEng] 3. 使用 HijackThis 刪除服務。你可以點擊Config，MiscTools，按下Delete an NT service.. 按鈕。當它打開以後你應該輸入服務名按下OK。要小心的移除這些鍵中列出的專案，它們大部分是合法的。你可以使用Bleeping Computer Startup Database來研究 O23 專案。結論 HijackThis 是檢查瀏覽器的細節以及Windows 正在執行什麼的一個非常有力的工具。不幸地是要診斷 HijackThis 的掃瞄結果可能會很複雜。希望我的忠告和解釋將會略微減輕它的複雜度。這個程式需要謹慎的使用，如果不正確地移除了一些專案會引起合法的程式出問題。如果你有任何的疑問可以在我們的間諜軟體論壇中貼出來。如果你希望得到關於使用HijackThis和其他的反間諜軟件移除的惡意軟件的更多資訊，你可以參加 Bleeping Computer HijackThis Trainee 計劃。 -- Lawrence Abrams Bleeping Computer Internet Security and Spyware Tutorials 校訂訊息： 03/30/04: 增加所有的啟動位置到 O4 區段。增加關於 F2 區段的資訊。增加在文件末尾的已命名的錨鏈標籤使人們能夠鏈接到我。 03/31/04: 增加更完整的關於 F2 和 F3 區段的資訊。 04/01/04: 增加更多的迫切的關於病毒掃瞄器的不適當地鏈接了 LSPs的警告到 O10 區段。 04/09/04: 增加關於 CWShredder 的資訊到 O13 區段。 04/24/04: 增加關於 Obfuscated 的意義的資訊到 R 區段。 04/25/04: 增加在上頭位置的騙子警告並改變了風格以反映較新的指南。 05/21/04: 增加關於以_結束的 R3 專案的資訊。 07/09/04: 增加關於新的 O20，O21，O22 專案，新的工作行程管理和主機文件管理的資訊，以及在 1.98 版中的錯誤修正校訂。 12/24/04: 增加關於 1.99.0 版的新功能擴展更新了 O15 專案的資訊，在 O23 專案方面的訊息以及新功能像是多工作行程終止、廣告間諜和程式介面的訊息。 02/16/05: 增加關於 1.99.1 版的新功能的資訊。以及在新的 O15 專案的重點：預定協議和 O20 Winlogon Notify 鍵。 5/29/06: 更新了 O6 專案以反映免疫功能的正確位置。本文為chenke_ikari翻譯，首發於豆腐的簡陋小屋本文采用Creative Commons 署名-非商業性使用-相同方式共享 2.5 China 許可協議進行許可

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-07-12, 11:33 AM	#34 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Q: 瀏覽IE時經常會自動彈出視窗前一陣子裝了一個軟件，結果中標那個程式就是往我電腦了裝了一堆沒有的助手啊或者啥的我都一一刪了但是後遺症是我每次打開ie都會彈出廣告的視窗（確定不是打開網站的彈出廣告）而且在瀏覽中也是不是彈個廣告出來，奶奶的但是我用TheWorld瀏覽網頁的時候沒問題，哪位幫忙看看Hijackthis的日誌吧，多謝多謝 Logfile of HijackThis v1.99.1 Scan saved at 11:35:09, on 2006-7-9 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Acer\eManager\anbmServ.exe C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\keyhook.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\Windows Defender\MSASCui.exe C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\AWS\WeatherBug\Weather.exe C:\WINDOWS\system32\sistray.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\acer\eRecovery\Monitor.exe D:\Program Files\TheWorld\TheWorld.exe D:\Program Files\Winamp\WINAMP.EXE D:\Soft\殺毒軟件\ha_hijackthis_1991\HijackThis.exe O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v11.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll O2 - BHO: MyIEHelper Class - {16A770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_4687.dll O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\Program Files\Tencent\QQ2006hack\騰訊QQ\QQIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: HBObject Class - {AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1} - C:\PROGRA~1\hbclient\HBHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [KAVPersonal50] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer O4 - HKLM\..\Run: [RichMedia] C:\WINDOWS\system32\Rundll32.exe "C:\PROGRA~1\hbclient\HBHelper.dll",WaitWindows O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Weather] C:\Program Files\AWS\WeatherBug\Weather.exe 1 O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: 使用迅雷下載 - D:\Program Files\Thunder Network\Thunder\geturl.htm O8 - Extra context menu item: 使用迅雷下載全部鏈接 - D:\Program Files\Thunder Network\Thunder\getallurl.htm O8 - Extra context menu item: 匯出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: 訊息檢索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: PowerWord - {9A687CA6-D585-4947-9ED9-BE96071F5CD9} - C:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\Tencent\QQ2006hack\騰訊QQ\QQIEHelper.dll O9 - Extra 'Tools' menuitem: QQ炫彩工具條設置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\Tencent\QQ2006hack\騰訊QQ\QQIEHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O18 - Protocol: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} - C:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: talkto - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: kavsvc - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe A: 1. 用HijackThis,按 Do a system scan only,勾選以下專案,按 Fix checked 修復 O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll O2 - BHO: MyIEHelper Class - {16A770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_4687.dll 2. 下載惡意軟件清理助手 ,並儲存到桌面 (如有需要,把使用方法的圖同時儲存到桌面) 重新啟動,按 F8 進入安全模式 ,使用惡意軟件清理助手清理一次 ,之後回到正常模式,用HijackThis 掃瞄一個新log上來 Q: 多謝多謝，這回貌似好了，呵呵多謝這是整完之後的Hijackthis Logfile of HijackThis v1.99.1 Scan saved at 11:59:33, on 2006-7-9 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Acer\eManager\anbmServ.exe C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\keyhook.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\Windows Defender\MSASCui.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\AWS\WeatherBug\Weather.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\WINDOWS\system32\sistray.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\acer\eRecovery\Monitor.exe C:\WINDOWS\system32\wuauclt.exe D:\Soft\殺毒軟件\ha_hijackthis_1991\HijackThis.exe O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v11.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\Program Files\Tencent\QQ2006hack\騰訊QQ\QQIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [KAVPersonal50] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Weather] C:\Program Files\AWS\WeatherBug\Weather.exe 1 O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: 使用迅雷下載 - D:\Program Files\Thunder Network\Thunder\geturl.htm O8 - Extra context menu item: 使用迅雷下載全部鏈接 - D:\Program Files\Thunder Network\Thunder\getallurl.htm O8 - Extra context menu item: 匯出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: 訊息檢索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: PowerWord - {9A687CA6-D585-4947-9ED9-BE96071F5CD9} - C:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\Tencent\QQ2006hack\騰訊QQ\QQIEHelper.dll O9 - Extra 'Tools' menuitem: QQ炫彩工具條設置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\Tencent\QQ2006hack\騰訊QQ\QQIEHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O18 - Protocol: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} - C:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: talkto - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: kavsvc - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe [quote]引用第1樓tkabc於2006-07-09 23:48發表的「」: 1. 用HijackThis,按 Do a system scan only,勾選以下專案,按 Fix checked 修復 O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:WINDOWSsystem32wmpdrm.dll O2 - BHO: MyIEHelper Class - {16A770A0-0E87-4278-B748-2460D64A8386} - Cocuments and SettingsAll UsersApplication DataMicrosoftIEHelperIEHelper_4687.dll A: 看上出沒大問題了~ 如果已解決的話,把【求助】改做【已解決】

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-07-13, 05:36 PM	#35 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Q: 【求助】請大俠看看我的電腦中了什麼病毒症狀: 每次開機之後殺軟件自動檢測到很多被病毒感染的.EXE文件,沒辦,只有將被感染的文件冊除.但這樣電腦裡很多軟件因此不能用.很煩人.請大俠指點. 我用的是卡吧, 病毒就是清理不完.每次開機就會有提示有病毒掃瞄日誌如下: Logfile of HijackThis v1.99.1 Scan saved at 下午 09:00:49, on 2006-07-12 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\crypserv.exe D:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe D:\WINPENJR\Win32\pphidpad.exe D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\Twain_32\F6580\HotKey.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\TurboFTP\tftpsvc.exe D:\WINDOWS\System32\ctfmon.exe D:\PROGRA~1\COMMON~1\DATADY~1\ACTIVE~1\WEBCAC~1.EXE D:\Program Files\ACD\ACDSee\ACDSee.exe D:\WINDOWS\system32\ntvdm.exe D:\Documents and Settings\A Xing\桌面\HijackThis.exe R3 - URLSearchHook: Tencent Url Search Hook - {DB8B2393-7A6C-4C76-88CE-6B1F6FF6FFE9} - D:\WINDOWS\Downloaded Program Files\TBHMain.dll O2 - BHO: Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - D:\WINDOWS\Downloaded Program Files\TBHMain.dll O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\Program Files\Tencent\QQ\QQIEHelper.dll O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\Program Files\Xi\NetTransport 2\NTIEHelper.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\PROGRA~1\FlashFXP\IEFlash.dll O3 - Toolbar: 收音機(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [PPHIDPAD] D:\WINPENJR\Win32\pphidpad.exe O4 - HKLM\..\Run: [KAVPersonal50] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [HotKey] D:\WINDOWS\Twain_32\F6580\HotKey.exe O4 - HKLM\..\Run: [shoket] D:\WINDOWS\System32\SHELLEXT\svchs0t.exe O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O8 - Extra context menu item: Download all by Net Transport - D:\Program Files\Xi\NetTransport 2\NTAddList.html O8 - Extra context menu item: Download by Net Transport - D:\Program Files\Xi\NetTransport 2\NTAddLink.html O8 - Extra context menu item: 匯出至 Microsoft Excel(&X) - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: 新增到QQ自定義面板 - D:\Program Files\Tencent\QQ\AddPanel.htm O8 - Extra context menu item: 新增到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm O8 - Extra context menu item: 新增到QQ自定義面板 - D:\Program Files\Tencent\QQ\AddPanel.htm O8 - Extra context menu item: 新增到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm O8 - Extra context menu item: 用QQ MMS傳送該圖片 - D:\Program Files\Tencent\QQ\SendMMS.htm O8 - Extra context menu item: 用QQ彩信發送該圖片 - D:\Program Files\Tencent\QQ\SendMMS.htm O9 - Extra button: PowerWord - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - D:\PROGRA~1\KINGSOFT\XDICT\ieplugin.DLL O9 - Extra button: Joyo - {C8CE29C5-7589-11D3-B81B-0080C8DC5DC8} - D:\PROGRA~1\KINGSOFT\XDICT\ieplugin.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\QQ\QQ.EXE (file missing) O9 - Extra 'Tools' menuitem: 騰訊QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\QQ\QQ.EXE (file missing) O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\Tencent\QQ\QQIEHelper.dll O9 - Extra 'Tools' menuitem: QQ嚃粗馱撿沭扢離 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\Tencent\QQ\QQIEHelper.dll O11 - Options group: [TBH] QQ華硊戲刲坰 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Crypkey License - Unknown owner - D:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: kavsvc - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe O23 - Service: TurboFTP Sync Service (TBFTPSyncService) - TurboSoft,Inc - D:\Program Files\TurboFTP\tftpsvc.exe O23 - Service: WebCacheService - Data Dynamics - D:\PROGRA~1\COMMON~1\DATADY~1\ACTIVE~1\WEBCAC~1.EXE A: 請提供殺毒軟件發現EXE感染病毒的具體名稱 1）再次執行HijackThis軟件，選擇掃瞄系統報告掃瞄完畢後，勾選下列專案並選擇修復 O4 - HKLM\..\Run: [shoket] D:\WINDOWS\System32\SHELLEXT\svchs0t.exe 並把...強烈建議到Windows Update把修正檔都裝上描述：000 圖片：描述：111 圖片：問題依舊,此病毒專門感染共享文夾的中exe文件, 如下圖: A:掃瞄日誌如下: Logfile of HijackThis v1.99.1 Scan saved at 上午 09:31:37, on 2006-07-13 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\crypserv.exe D:\WINDOWS\system32\slserv.exe D:\Program Files\SoftEther\SoftEther.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\WFXSVC.EXE D:\Program Files\Symantec\WinFax\WFXMOD32.EXE D:\WINDOWS\slrundll.exe D:\WINDOWS\Explorer.EXE D:\Program Files\Microtek\ScanWizard DI\ScannerFinder.exe D:\WINDOWS\System32\ctfmon.exe D:\Program Files\Symantec\WinFax\WFXCTL32.EXE D:\Documents and Settings\ACCOUNT\桌面\HijackThis.exe R3 - URLSearchHook: 捇誥翑忒 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yphtb.dll O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yangling.dll O2 - BHO: 捇誥翑忒 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - D:\PROGRA~1\KuGoo3\KUGOO3~1.OCX O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\PROGRA~1\FlashFXP\IEFlash.dll O3 - Toolbar: 收音機(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: 捇誥翑忒 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll O4 - HKLM\..\Run: [PPHIDPAD] C:\WINPENJR\win32\pphidpad.exe O4 - HKLM\..\Run: [ScannerFinder] D:\Program Files\Microtek\ScanWizard DI\ScannerFinder.exe O4 - HKLM\..\Run: [KAVPersonal50] D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe O8 - Extra context menu item: 匯出至 Microsoft Excel(&X) - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: 妏蚚KuGoo3狟婥(&K) - D:\Program Files\KuGoo3\KuGoo3DownX.htm O8 - Extra context menu item: 新增到QQ自定義面板 - D:\D盤\紅葉\雜\qq\AddPanel.htm O8 - Extra context menu item: 新增到QQ表情 - D:\D盤\紅葉\雜\qq\AddEmotion.htm O8 - Extra context menu item: 氝樓善捇誥隆堐(&Y) - res://D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yrss.dll/YRSSMENUEXT O8 - Extra context menu item: 新增QQ伺服器端我的最愛 - D:\D盤\紅葉\雜\qq\NAF.htm O8 - Extra context menu item: 用QQ MMS傳送該圖片 - D:\D盤\紅葉\雜\qq\SendMMS.htm O8 - Extra context menu item: 雅虎搜索 - res://D:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll/246 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1109986659564 O23 - Service: Crypkey License - Unknown owner - D:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: kavsvc - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: SmartLinkService (SLService) - - D:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: SoftEther Virtual LAN Card (SoftEther) - Unknown owner - D:\Program Files\SoftEther\SoftEther.exe" service (file missing) O23 - Service: TurboFTP Sync Service (TBFTPSyncService) - TurboSoft,Inc - D:\Program Files\TurboFTP\tftpsvc.exe O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - D:\WINDOWS\System32\WFXSVC.EXE A: 此病毒會感染exe文件。請關閉系統還原，更新windows，關閉不需要的共享，設置複雜的管理員密碼。斷網進入安全模式查殺病毒。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-06-24, 05:44 AM	#31 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Q: 【求助】那位大俠幫我看下日誌，看看是哪出了問題我現在看PPS，只要點擊某個屏道，就會彈出一個網頁：http://count.51yes.com 下面是我的日誌，請幫我診斷下，並告之清理方法，謝謝了先！ HijackThis_zww漢化版掃瞄日誌 V1.99.1 儲存於 15:41:05, 日期 2006-6-22 操作系統： Windows XP SP2 (WinNT 5.01.2600) 瀏覽器： Internet Explorer v6.00 SP2 (6.00.2900.2180) 當前執行的工作行程： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe d:\KAV6\KAVSvc.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe d:\KAV6\KWatchUI.EXE D:\KAV6\KpopMon.EXE D:\KAV6\KAVPFW.EXE C:\WINDOWS\system32\ctfmon.exe d:\KAV6\MailMon.EXE d:\KAV6\KAVPlus.EXE D:\Program Files\Tencent\QQ\QQ.exe D:\Program Files\Tencent\QQ\TIMPlatform.exe D:\HijackThis\HijackThis.exe O1 - Hosts: 202.103.67.180 auto.search.msn.com O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - d:\Program Files\Tencent\QQ\QQIEHelper.dll O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - (no file) O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - IE工具欄增項: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll O3 - IE工具欄增項: 金山毒霸 - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - d:\KAV6\KAIEPlus.DLL O3 - IE工具欄增項: (no name) - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - (no file) O3 - IE工具欄增項: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - 啟動項HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - 啟動項HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - 啟動項HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - 啟動項HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - 啟動項HKLM\\Run: [KAVRun] d:\KAV6\KAVRun.EXE O4 - 啟動項HKLM\\Run: [Kulansyn] d:\KAV6\Kulansyn.EXE O4 - 啟動項HKLM\\Run: [KpopMon] d:\KAV6\KpopMon.EXE O4 - 啟動項HKLM\\Run: [iDuba Personal FireWall] D:\KAV6\KAVPFW.EXE O4 - 啟動項HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - 啟動項HKLM\\Run: [nwiz] nwiz.exe /install O4 - 啟動項HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload O4 - 啟動項HKCU\\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - 啟動項HKCU\\Run: [iDuba Personal FireWall] D:\KAV6\KAVPFW.EXE O8 - IE右鍵表菜單中的新增專案: &使用迅雷下載 - d:\Program Files\Thunder Network\Thunder\geturl.htm O8 - IE右鍵表菜單中的新增專案: &使用迅雷下載全部鏈接 - d:\Program Files\Thunder Network\Thunder\getallurl.htm O8 - IE右鍵表菜單中的新增專案: Google 搜索(&G) - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - IE右鍵表菜單中的新增專案: 使用網際快車下載 - D:\Program Files\FlashGet\jc_link.htm O8 - IE右鍵表菜單中的新增專案: 使用網際快車下載全部鏈接 - D:\Program Files\FlashGet\jc_all.htm O8 - IE右鍵表菜單中的新增專案: 反向鏈接 - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - IE右鍵表菜單中的新增專案: 新增到QQ自定義面板 - D:\Program Files\Tencent\QQ\AddPanel.htm O8 - IE右鍵表菜單中的新增專案: 新增到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm O8 - IE右鍵表菜單中的新增專案: 用QQ彩信發送該圖片 - D:\Program Files\Tencent\QQ\SendMMS.htm O8 - IE右鍵表菜單中的新增專案: 類似網頁 - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O8 - IE右鍵表菜單中的新增專案: 快取記憶體的網頁快照 - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O8 - IE右鍵表菜單中的新增專案: 翻譯英文字詞(&T) - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html O9 - 瀏覽器額外的按鈕: 金山卓越 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - url:http://www.joyo.com (file missing) O9 - 瀏覽器額外的按鈕: 訊息檢索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - 瀏覽器額外的按鈕: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - d:\Program Files\Tencent\QQ\QQ.EXE O9 - 瀏覽器額外的「工具」表菜單項: 騰訊QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - d:\Program Files\Tencent\QQ\QQ.EXE O9 - 瀏覽器額外的按鈕: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - 瀏覽器額外的「工具」表菜單項: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - 瀏覽器額外的按鈕: 金山毒霸網站 - {e1fc9760-7b95-49cd-80b9-8c9e41017b93} - url:http://www.duba.net (file missing) O9 - 瀏覽器額外的按鈕: 線上查毒 - {f58d36c3-40be-4418-a786-d8fbe3eb3554} - d:\KAV6\kavie.HTM O9 - 瀏覽器額外的按鈕: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - 瀏覽器額外的「工具」表菜單項: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/1007/aliedit.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1133421299656 O17 - HKLM\System\CCS\Services\Tcpip\..\{76142965-3429-4F52-A1C0-FF4A7FD9581B}: NameServer = 218.2.135.1 61.147.37.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{76142965-3429-4F52-A1C0-FF4A7FD9581B}: NameServer = 218.2.135.1 61.147.37.1 O20 - AppInit_DLLs: apihookdll.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - NT 服務: Kingsoft AntiVirus Service (KAVSvc) - kingsoft Antivirus - d:\KAV6\KAVSvc.EXE O23 - NT 服務: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe A: 看上去似乎沒有甚麼問題找出以下檔案,使用 VirusTotal 或 Jotti Online Malware Scan 掃瞄以下檔案,並貼上掃瞄結果(可以兩個網址都掃瞄): apihookdll.dll O3 - IE工具欄增項: (no name) - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - (no file) 貌似這個要修復下滴說 hXXp://count.51yes.com 是站點流量計數器,本身沒有惡意行為 PPS 是什麼版本的? 是官方版本的嗎? 具體點擊哪個頻道出現問題的? Q: 我已經修復了O3 - IE工具欄增項: (no name) - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - (no file)，但是沒有用，另外，掃瞄什麼檔案？我使用的就是官方版本，具體的是：點擊鳳凰中文台和鳳凰資訊台就會出現彈出網頁面，其他的正常，無奈的是，這2個台我收看率特別高：（ A: apihookdll.dll
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-07-15, 03:10 PM	#36 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Q: 系統最近多出來個svchost.exe工作行程,總訪問網路原來是沒有這個工作行程的,不知道正不正常. hijackthis分析如下: Logfile of HijackThis v1.99.1 Scan saved at 16:57:28, on 2005-9-12 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe D:\Program Files\Tencent\QQ.exe D:\Program Files\Serv-U\ServUDaemon.exe D:\Program Files\Serv-U\ServUTray.exe D:\Program Files\世界之窗瀏覽器(TheWorld Browser) V1.22 多語言完整綠色版\TheWorld.exe C:\Documents and Settings\wxd\桌面\HijackThis.exe O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v4.dll O2 - BHO: (no name) - {046167AA-53C2-4576-B362-291D9E852269} - C:\WINDOWS\system32\BBDown.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - d:\Program Files\FlashGet\JCCatch.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert to existing PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Google 搜索(&G) - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: 使用網際快車下載 - D:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: 使用網際快車下載全部鏈接 - D:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: 反向鏈接 - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: 匯出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: 新增到QQ自定義面板 - D:\Program Files\Tencent\AddPanel.htm O8 - Extra context menu item: 新增到QQ表情 - D:\Program Files\Tencent\AddEmotion.htm O8 - Extra context menu item: 用QQ彩信發送該圖片 - D:\Program Files\Tencent\SendMMS.htm O8 - Extra context menu item: 類似網頁 - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: 快取記憶體的網頁快照 - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: 翻譯英文字詞(&T) - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html O9 - Extra button: 訊息檢索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: 易趣購物 - {DE607141-AC19-421e-868A-8D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing) O9 - Extra 'Tools' menuitem: 易趣購物 - {DE607141-AC19-421e-868A-8D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{9E6B3212-DC72-47D6-A5E5-0B6D59E68716}: NameServer = 202.118.66.6,202.118.66.8 O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Cryptographic Servtres - Unknown owner - C:\WINDOWS\system32\temp2.tmp.exe (file missing) O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe A: O23 - Service: Cryptographic Servtres - Unknown owner - C:\WINDOWS\system32\temp2.tmp.exe (file missing) 執行HijackThis，在主界面中相應專案前面的正方形裡用滑鼠點擊打勾，接著按下「Fix Checked」按鈕。會有一個安全提示，點擊「Yes」讓它繼續即可。 svchost.exe工作行程是在 C:\WINDOWS\system32\svchost.exe 這個地方的嗎？他要訪問什麼地方？有Ip和連接阜嗎？ Q: 我按你說的做了,然後該怎麼辦? 不知道svchost.exe工作行程是不是在 C:\WINDOWS\system32\svchost.exe 這個地方,用哪個工具能查了? 它訪問什麼地方和IP,連接阜怎麼查,我不會謝謝 A: svchost.exe工作行程一般是在 C:\WINDOWS\system32\svchost.exe 這個地方的你新開了什麼服務沒有？用工作行程檢視軟件看它呼叫了什麼dll文件。使用下面工具 Process Explorer 簡介 : 「Windows 工作管理員」取代工具 - Process Explorer，哪個執行中的程式，與哪個特定的檔案有關聯？程式開啟的路徑為何？所執行的 DLL 檔是哪一個？Process Explorer 都能夠清楚地列示！ What's new in Version 10.2: Vista integrity level and virtualized columns and process properties Signed driver for 64-bit Vista for x64 processors Ever wondered which program has a particular file or directory open? Now you can find out. Process Explorer shows you information about which handles and DLLs processes have opened or loaded. The Process Explorer display consists of two sub-windows. The top window always shows a list of the currently active processes, including the names of their owning accounts, whereas the information displayed in the bottom window depends on the mode that Process Explorer is in: if it is in handle mode you’ll see the handles that the process selected in the top window has opened; if Process Explorer is in DLL mode you’ll see the DLLs and memory-mapped files that the process has loaded. Process Explorer also has a powerful search capability that will quickly show you which processes have particular handles opened or DLLs loaded. The unique capabilities of Process Explorer make it useful for tracking down DLL-version problems or handle leaks, and provide insight into the way Windows and applications work. Process Explorer works on Windows 9x/Me, Windows NT 4.0, Windows 2000, Windows XP, Server 2003, and 64-bit versions of Windows for x64 processors, and Windows Vista. Process Explorer

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-07-24, 01:14 AM	#37 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	【求助】Backdoor.Gpigeon.zlt Q: 瑞星殺完毒後重新啟動又會出現老說IE有毒 Logfile of HijackThis v1.99.1 Scan saved at 11:23:31, on 2006-7-21 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe E:\瑞星\Rising\Rav\CCenter.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe E:\瑞星\Rising\Rav\Ravmond.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\spoolsv.exe E:\瑞星\Rising\Rav\RavStub.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\alg.exe E:\瑞星\Rising\Rav\RavTask.exe C:\WINDOWS\system32\ctfmon.exe E:\瑞星\Rising\Rav\Ravmon.exe E:\騰訊QQ\QQ.exe E:\騰訊QQ\TIMPlatform.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Internet Explorer\iexplore.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.391\HijackThis.exe R3 - Default URLSearchHook is missing F2 - REG:system.ini: UserInit=userinit.exe, O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll (file missing) O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll (file missing) O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll O2 - BHO: Yahoo Bar - {F60FAB6F-115D-4797-9ED1-89793B930876} - C:\WINDOWS\ODBINT.dll (file missing) O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [RavTask] "E:\瑞星\Rising\Rav\RavTask.exe" -system O4 - HKLM\..\RunOnce: [RavStub] "E:\瑞星\Rising\Rav\ravstub.exe" /RUNONCE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: >>彩信傳送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm O8 - Extra context menu item: 上傳到QQ網路硬碟 - E:\騰訊QQ\AddToNetDisk.htm O8 - Extra context menu item: 增加到QQ自訂面板 - E:\騰訊QQ\AddPanel.htm O8 - Extra context menu item: 增加到QQ表情 - E:\騰訊QQ\AddEmotion.htm O8 - Extra context menu item: 增加到雅虎收藏+ - http://myweb.cn.yahoo.com/post.html?F=D2_A O8 - Extra context menu item: 增加到雅虎訂閱(&Y) - res://C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yrss.dll/YRSSMENUEXT O8 - Extra context menu item: 用QQ彩信傳送該圖片 - E:\騰訊QQ\SendMMS.htm O9 - Extra button: Yahoo 3.5G電子信箱 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm...&btn=yahoomail (file missing) O9 - Extra button: 尋寶樂趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm...cns&btn=taobao (file missing) O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm...ns&btn=yassist (file missing) O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll (file missing) O9 - Extra 'Tools' menuitem: 彩E精靈設定 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll (file missing) O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm...s&btn=yahoomsg (file missing) O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm...cns&btn=repair (file missing) O9 - Extra 'Tools' menuitem: 修復瀏覽器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm...cns&btn=repair (file missing) O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm...=cns&btn=clean (file missing) O9 - Extra 'Tools' menuitem: 清理上網記錄 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm...=cns&btn=clean (file missing) O11 - Options group: [!CNS] 網路實名 O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O17 - HKLM\System\CCS\Services\Tcpip\..\{59FC5D31-5F64-4DED-B3FF-F289E644BBA7}: NameServer = 202.102.152.3 202.102.154.3 O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - E:\瑞星\Rising\Rav\CCenter.exe O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\瑞星\Rising\Rav\Ravmond.exe O23 - Service: Windows XP Vista - Unknown owner - C:\WINDOWS\system32\SVCHOST.ini A: 病毒救援一般病毒/木馬解決方法索引 (17/07更新) 以下是一些一般病毒/木馬解決方法 Q: 為什麼我的殺毒軟體/清理助手可查出病毒/木馬/惡意軟體,但總是不能徹底清除? A: 可能病毒/木馬/惡意軟體正在執行/被使用了,你可以試試在安全模式下用殺毒軟體/清理助手清除 Q: 如何清除Win32.Parite,W32/Pate,Win32.Pinfi? A: 你可以使用BitDefender的Win32.Parite專殺,下載後,按"Scan"即可 http://buy.bitdefender.com/bd/downlo...iparite-en.exe Q: 如何清除灰鴿子,huigezi,GPigeon,Hupigon,Pigeon,BackDoor-ARR ? A: 請看 http://bbs.crsky.com/read.php?tid=279444&fpage=1 Q: 如何清除灰鴿子06,Backdoor.Gpigeon.2006 ? A: 請看 http://bbs.crsky.com/read.php?tid=644670&fpage=1 Q: 如何清除Searchnet.exe (trojan-spy.agent.iw) ?? A: 請看 http://bbs.crsky.com/read.php?tid=465430&fpage=1 Q: 如何清除BDGuard.sys (Rootkit.Win32.Agent.bo/Rookit.Agent.bo) ? A: 請卸載百度搜霸/百度超級搜霸,卸載方法: http://www.baidu.com/search/sobar.html#11 Kaspersky已經不報BDGuard.sys,如果你的Kaspersky還是報,請更新到最新的病毒庫 Q: 我的首頁被369.com劫持..... A: 請看 http://bbs.crsky.com/read.php?tid=686642 Q: 程式的圖標都變花了..... A: 你應該中了Worm.Viking,除了可用殺毒軟體做全盤查殺,清除所有已感染的檔案外你還可以試試用瑞星提供的Worm.Viking專殺工具如果將來有其他病毒/木馬解決方法,都會加到這個索引有關WINLOGON,LSASS,SMSS這系列的木馬 Dr.Web: Trojan.PWS.Wow KAV: Trojan-PSW.Win32.Wow/Lmir Symantec: Infostealer.Wowcraft 啟動項(其中之一): TProgram ToP Torjan Program 工作(其中之一): %WinDir%\WINLOGON.exe %WinDir%\SMSS.exe %WinDir%\LSASS.exe 檔案(包括不同的變種,不同的變種可能有不同): %WinDir%\1.com %WinDir%\SMSS.exe %WinDir%\SERVICES.exe %WinDir%\LSASS.exe %WinDir%\WINLOGON.exe %WinDir%\ExERoute.exe %WinDir%\EXPLORER.com %WinDir%\FINDER.com %WinDir%\EXERT.exe %WinDir%\IO.SYS.BAK %WinDir%\Debug\DebugProgram.exe %WinDir%\Shell.sys %WinDir%\Winsock32.DLL.SCF %System%\Anskya0.exe %System%\Anskya1.exe %System%\rundll32.com %System%\finder.com %System%\msconfig.com %System%\dxdiag.com %System%\regedit.com %System%\command.pif %System%\i.com %CommonProgramFiles%\intexplore.pif %CommonProgramFiles%\inexplore.pif %CommonProgramFiles%\iexplore.pif %ProgramFiles%\Internet Explorer\Intexplore.com %ProgramFiles%\Internet Explorer\Inexplore.com %ProgramFiles%\Internet Explorer\iexplore.com %SystemDrive%\bootconf.exe %SystemDrive%\command.com %SystemDrive%\command.exe %SystemDrive%\pagefile.pif D:\command.com D:\pagefile.pif PS: -%WinDir%是環境變數,一般Windows XP(Windows),2000(WINNT) -%System%是環境變數,一般Windows XP,2000為System32 -%CommonProgramFiles%是環境變數,一般Windows都是Common Files(在%ProgramFiles%內) -%ProgramFiles%是環境變數,一般Windows都是Program Files -%SystemDrive%是環境變數,哪個Drive有%WinDir%,一般都是System Drive(eg. C:\) 修改註冊表: -修改檔案關聯 -修改Shell = Explorer.exe 1 -修改Protocol (HTTP,FTP,telnet) 還有很多很多...... 解決方法: a) 使用空游標寫的針對WINLOGN系列木馬的批次處理 http://bbs.crsky.com/read.php?tid=684906 b) 使用由本人寫的Trojan.PWS.Wow Removal Tool (在附件) 已測試過的平台: Windows XP SP2 使用方法: -必須已裝上Microsoft .NET Framework 2.0 or Higher http://www.microsoft.com/downloads/d...d-aab15c5e04f5 -執行前請先關閉任何正在使用中的程序(eg. QQ.exe,IE等等) 和視窗(eg. "我的電腦"等等) -執行 Trjwow_rem.com -建議先用 Do a quick scan and save a logfile 產生報告給說明人員看看 %SystemDrive%\Search_WOW.log -用 Destroy 就可以進行清除和修復檔案關聯,清除後會有報告產生出來 %SystemDrive%\Remove_WOW.log 十分感謝xbs,cyberarmy,我其他朋友進行測試! 雖然已經經過其他人測試,證明沒有問題, 但使用後如有任何問題,本人不會負責如發現任何Exception error,可跟本人聯絡 v0.2 Build 0717 MD5: 29149565c72c20701352745678af6ce3 =========== 17/07: a) 5:34pm - 發現Bug + 新變種.....正在更新中,請暫時不要用Build 0716 b) 8:10pm - 更新到v0.2 Build 0717!可以移除多兩個木馬檔案,新增檔案關聯功能,修正部份問題 Q: 試過拉~無效啊只找出一個mag_hook.dll 案例子其他的文件全搜尋不到~ 專殺工具什麼也查不到~》 A: O23 - Service: Windows XP Vista - Unknown owner - C:\WINDOWS\system32\SVCHOST.ini 這個應該就是鴿子啦，目錄與例子稍有不同，但方法一樣 C:\WINDOWS\system32\SVCHOST.ini C:\WINDOWS\system32\SVCHOST.dll C:\WINDOWS\system32\SVCHOST_hook.dll C:\WINDOWS\system32\SVCHOSTkey.dll 把system32目錄的文件按時間排序，看看和SVCHOST.ini修改時間近似的是否還有類似名字的文件？如果沒有只要你移除了C:\WINDOWS\system32\SVCHOST.ini應該也就可以了 Q: 方法我早試過無用我懷疑那個 mag_hook.dll 刪掉後過幾秒又自己新增。可是按例子都早不到EXE和其他DLL文件 mag_hook.dll是系統的那個什麼放大鏡功能。如果沒有我說的文件了，瑞星還報毒嗎？ A: 為了更好的解決你的問題，需要你配合提供更多的訊息 1）請下載此貼的工具SYSTEM REPAIR ENGINEER軟體， 2）解壓到硬碟（非開啟壓縮檔案後直接執行）後執行並使用裡面的智能掃瞄功能掃瞄系統，再將掃瞄結果儲存。 3）將儲存的報告開啟後，複製貼上裡面的內容以回覆內容的形式發上論壇你的求助貼處，以便分析問題。友情提示：請不要在對分析結果作出建議繼續行任何修復操作。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-07-24, 01:21 AM	#38 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Q: 煩各位兄弟幫我看看電腦有沒有問題!謝謝大家了!（已解決） HijackThis_815漢化版掃瞄日誌 V1.99.1 儲存於 22:32:05, 日期 2006-7-19 作業系統： Windows XP SP2 (WinNT 5.01.2600) 瀏覽器： Internet Explorer v6.00 SP2 (6.00.2900.2180) 當前執行的工作： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\VM303_STI.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\conime.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\SkyNet\FireWall\PFW.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\mshta.exe C:\WINDOWS\system32\mshta.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE G:\系統檢測及最佳化\HijackThis1991漢化版病\HijackThis1991漢化版\HijackThis1991zww.exe R3 - URLSearchHook: (no name) - {BAB1AC41-6FF7-4F2E-A04E-5C592CCFEA7D} - (no file) O4 - 啟動項HKLM\\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - 啟動項HKLM\\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH) O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [關閉共享] G:\系統檢測及最佳化\關閉共享.bat O8 - IE右鍵表單中的新增項目: &使用迅雷下載 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm O8 - IE右鍵表單中的新增項目: &使用迅雷下載全部連接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm O8 - IE右鍵表單中的新增項目: 上傳到QQ網路硬碟 - G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\AddToNetDisk.htm O8 - IE右鍵表單中的新增項目: 增加到QQ自訂面板 - G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\AddPanel.htm O8 - IE右鍵表單中的新增項目: 增加到QQ表情 - G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\AddEmotion.htm O8 - IE右鍵表單中的新增項目: 用QQ彩信傳送該圖片 - G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\SendMMS.htm O8 - IE右鍵表單中的新增項目: 豪傑超級解霸V8既時播放 - C:\Herosoft\HeroV8\MPURLGET.HTM O9 - 瀏覽器額外的按鈕: 豪傑超級解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Herosoft\HeroV8\STHSDVD.EXE O9 - 瀏覽器額外的「工具」表單項: 豪傑超級解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Herosoft\HeroV8\STHSDVD.EXE O9 - 瀏覽器額外的按鈕: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - 瀏覽器額外的「工具」表單項: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - NT 服務: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe O23 - NT 服務: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\systemram.exe" /service (file missing)

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-07-24, 01:23 AM	#39 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Q: 2006-07-19,22:33:51 System Repair Engineer 2.0.21.505 (2.0 RC 2) Smallfrogs (http://www.KZTechs.com) Windows XP Professional Service Pack 2 (Build 2600) - 管理權限用戶 - 完整功能以下內容被選：所有的啟動項目（包括註冊表、啟動檔案夾、服務等）瀏覽器載入項正在執行的工作（包括工作模組訊息）文件關聯啟動項目註冊表 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [Microsoft Corporation] <關閉共享><G:\系統檢測及最佳化\關閉共享.bat> [] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] <load><> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <ATIPTA><"C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"> [ATI Technologies, Inc.] <BigDog303><C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <shell><Explorer.exe> [Microsoft Corporation] <Userinit><C:\WINDOWS\system32\userinit.exe,> [Microsoft Corporation] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <UIHost><logonui.exe> [Microsoft Corporation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] <WinlogonNotify: AtiExtEvent><Ati2evxx.dll> [ATI Technologies Inc.] ================================== 啟動檔案夾服務 [Ati HotKey Poller / Ati HotKey Poller] <C:\WINDOWS\system32\Ati2evxx.exe><ATI Technologies Inc.> [ATI Smart / ATI Smart] <C:\WINDOWS\system32\ati2sgag.exe><> [kavsvc / kavsvc] <"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe"><Kaspersky Lab> [Remote Administrator Service / r_server] <"C:\WINDOWS\system32\systemram.exe" /service><N/A> ================================== 瀏覽器載入項 [豪傑超級解霸V8] {367E0A21-8601-4986-9C9A-153BF5ACA118} <C:\Herosoft\HeroV8\STHSDVD.EXE, N/A> [Messenger] {FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation> [Shockwave Flash Object] {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9.ocx, Adobe Systems, Inc.> [Windows Media Player] {22D6F312-B0F6-11D0-94AB-0080C74C7E95} <C:\WINDOWS\system32\wmpdxm.dll, Microsoft Corporation> [HTML Document] {25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A> [BitComet工作列] {3F1ABCDB-A875-46C1-8345-B72A4567E486} <, N/A> [Windows Media Player] {6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation> [Microsoft Web 瀏覽器] {8856F961-340A-11D0-A96B-00C04FD705A2} <C:\WINDOWS\system32\shdocvw.dll, Microsoft Corporation> [Thunder Browser Helper] {889D2FEB-5411-4565-8998-1DD2C5261283} <C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_001.dll, Thunder Networking Technologies,LTD> [Internet Explorer] {AC59ECB7-FE7A-43C8-B11D-6A81705F1FA7} <C:\WINDOWS\system32\Inetbar.dll, N/A> [Microsoft Scriptlet Component] {AE24FDAE-03C6-11D1-8B76-0080C744F389} <C:\WINDOWS\system32\mshtml.dll, Microsoft Corporation> [SearchAssistantOC] {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A> [VIDEO__X_MS_WMV Moniker Class] {CD3AFA94-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation> [RealPlayer G2 Control] {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} <C:\WINDOWS\system32\rmoc3260.dll, RealNetworks, Inc.> [Shockwave Flash Object] {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9.ocx, Adobe Systems, Inc.> [&Yahoo! Companion] {EF99BD32-C1FB-11D2-892F-0090271D4F88} <, N/A> [&使用迅雷下載] <C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm, N/A> [&使用迅雷下載全部連接] <C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm, N/A> [上傳到QQ網路硬碟] <G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\AddToNetDisk.htm, N/A> [增加到QQ自訂面板] <G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\AddPanel.htm, N/A> [增加到QQ表情] <G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\AddEmotion.htm, N/A> [用QQ彩信傳送該圖片] <G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\SendMMS.htm, N/A> [豪傑超級解霸V8既時播放] <C:\Herosoft\HeroV8\MPURLGET.HTM, N/A> ================================== 正在執行的工作 [PID: 484][\SystemRoot\System32\smss.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 536][\??\C:\WINDOWS\system32\csrss.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 568][\??\C:\WINDOWS\system32\winlogon.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [C:\WINDOWS\system32\Ati2evxx.dll] <ATI Technologies Inc.><6.14.10.4119> [PID: 612][C:\WINDOWS\system32\services.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 624][C:\WINDOWS\system32\lsass.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 780][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 824][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 896][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 952][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 1028][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 1244][C:\WINDOWS\system32\spoolsv.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 1620][C:\WINDOWS\System32\alg.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 272][C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe] <ATI Technologies, Inc.><6.14.10.5166> [C:\Program Files\ATI Technologies\ATI Control Panel\atipdsxx.dll] <ATI Technologies, Inc.><6.14.10.5166> [C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATRPUIXX.CHS] <ATI Technologies, Inc.><6.14.10.5166> [C:\Program Files\ATI Technologies\ATI Control Panel\atipdxxx.dll] <ATI Technologies, Inc.><6.14.10.5166> [PID: 336][C:\WINDOWS\VM303_STI.EXE] <Vimicro><4, 3, 625, 61> [C:\WINDOWS\system32\msdmo.dll] <N/A><N/A> [C:\WINDOWS\system32\VM303Prp.Ax] <Vimicro><4.3. 625.61> [PID: 344][C:\WINDOWS\system32\ctfmon.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 372][C:\WINDOWS\system32\conime.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 1992][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 708][C:\Program Files\SkyNet\FireWall\PFW.exe] <廣州眾達天網技術有限公司><2.7.7.1004> [C:\Program Files\SkyNet\FireWall\SKYMISC.DLL] <N/A><N/A> [C:\Program Files\SkyNet\FireWall\COMPRESSWRAP.DLL] <N/A><N/A> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\scrchpg.dll] <Kaspersky Lab><5.0.1.18> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\scrch_ag.dll] <Kaspersky Lab><5.0.383.1> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\FSSync.dll] <Kaspersky Lab><5.0.383.0> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\pr_rmt.dll] <Kaspersky Lab><5.0.383.0> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ccclient.dll] <Kaspersky Lab><5.0.383.1> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\klipc.dll] <Kaspersky Lab><5.0.383.0> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\KLUtil.dll] <Kaspersky Lab><5.0.383.1> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\rpt.dll] <Kaspersky Lab><5.0.383.2> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\CCIFACE.dll] <Kaspersky Lab><5.0.383.1> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\prloader.dll] <Kaspersky Lab><5.0.383.0> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\prkernel.ppl] <Kaspersky Lab><5.0.383.0> [c:\program files\kaspersky lab\kaspersky anti-virus personal pro\prstring.ppl] <Kaspersky Lab><5.0.383.0> [c:\program files\kaspersky lab\kaspersky anti-virus personal pro\pr_srv.ppl] <Kaspersky Lab><5.0.383.0> [c:\program files\kaspersky lab\kaspersky anti-virus personal pro\pr_clnt.ppl] <Kaspersky Lab><5.0.383.0> [c:\program files\kaspersky lab\kaspersky anti-virus personal pro\tempfile.ppl] <Kaspersky Lab><5.0.383.0> [PID: 3696][C:\WINDOWS\explorer.exe] <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)> [C:\Program Files\WinRAR\rarext.dll] <N/A><N/A> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\shellex.dll] <Kaspersky Lab><5.0.383.1> [C:\Herosoft\HeroV8\VCvtShell.dll] <herosoft><1, 0, 0, 1> [PID: 2468][C:\WINDOWS\system32\mshta.exe] <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 3996][C:\WINDOWS\system32\mshta.exe] <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\scrchpg.dll] <Kaspersky Lab><5.0.1.18> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\scrch_ag.dll] <Kaspersky Lab><5.0.383.1> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\FSSync.dll] <Kaspersky Lab><5.0.383.0> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\pr_rmt.dll] <Kaspersky Lab><5.0.383.0> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ccclient.dll] <Kaspersky Lab><5.0.383.1> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\klipc.dll] <Kaspersky Lab><5.0.383.0> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\KLUtil.dll] <Kaspersky Lab><5.0.383.1> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\rpt.dll] <Kaspersky Lab><5.0.383.2> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\CCIFACE.dll] <Kaspersky Lab><5.0.383.1> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\prloader.dll] <Kaspersky Lab><5.0.383.0> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\prkernel.ppl] <Kaspersky Lab><5.0.383.0> [c:\program files\kaspersky lab\kaspersky anti-virus personal pro\prstring.ppl] <Kaspersky Lab><5.0.383.0> [c:\program files\kaspersky lab\kaspersky anti-virus personal pro\pr_srv.ppl] <Kaspersky Lab><5.0.383.0> [c:\program files\kaspersky lab\kaspersky anti-virus personal pro\pr_clnt.ppl] <Kaspersky Lab><5.0.383.0> [c:\program files\kaspersky lab\kaspersky anti-virus personal pro\tempfile.ppl] <Kaspersky Lab><5.0.383.0> [PID: 2584][C:\Program Files\Internet Explorer\IEXPLORE.EXE] <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\scrchpg.dll] <Kaspersky Lab><5.0.1.18> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\scrch_ag.dll] <Kaspersky Lab><5.0.383.1> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\FSSync.dll] <Kaspersky Lab><5.0.383.0> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\pr_rmt.dll] <Kaspersky Lab><5.0.383.0> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ccclient.dll] <Kaspersky Lab><5.0.383.1> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\klipc.dll] <Kaspersky Lab><5.0.383.0> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\KLUtil.dll] <Kaspersky Lab><5.0.383.1> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\rpt.dll] <Kaspersky Lab><5.0.383.2> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\CCIFACE.dll] <Kaspersky Lab><5.0.383.1> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\prloader.dll] <Kaspersky Lab><5.0.383.0> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\prkernel.ppl] <Kaspersky Lab><5.0.383.0> [c:\program files\kaspersky lab\kaspersky anti-virus personal pro\prstring.ppl] <Kaspersky Lab><5.0.383.0> [c:\program files\kaspersky lab\kaspersky anti-virus personal pro\pr_srv.ppl] <Kaspersky Lab><5.0.383.0> [c:\program files\kaspersky lab\kaspersky anti-virus personal pro\pr_clnt.ppl] <Kaspersky Lab><5.0.383.0> [c:\program files\kaspersky lab\kaspersky anti-virus personal pro\tempfile.ppl] <Kaspersky Lab><5.0.383.0> [PID: 3448][G:\系統檢測及最佳化\sreng2\sreng2\SREng2\SREng.exe] <Smallfrogs Studio><2.0.21.505> ================================== 文件關聯 .TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1] .EXE OK. ["%1" %] .COM OK. ["%1" %] .PIF OK. ["%1" %] .REG OK. [regedit.exe "%1"] .BAT OK. ["%1" %] .SCR OK. ["%1" /S] .CHM OK. ["C:\WINDOWS\hh.exe" %1] .HLP OK. [%SystemRoot%\System32\winhlp32.exe %1] .INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1] .INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1] .VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %] .JS OK. [%SystemRoot%\System32\WScript.exe "%1" %] .LNK OK. [{00021401-0000-0000-C000-000000000046}] ================================== Winsock 提供者 ================================== A: 用sreng移除(禁止)服務 [Remote Administrator Service / r_server] <"C:\WINDOWS\system32\systemram.exe" /service><N/A> 在安全模式下移除 C:\WINDOWS\system32\systemram.exe(按照灰鴿子處理!) Q: 怎麼移除只要進安全模式把哪個移除就可以了嗎？？還要不要怎麼樣謝謝你那麼晚了還回貼說明我！~ A: 開始——執行——services.msc 找服務 Remote Administrator Service （指向 C:WINDOWS\system32\systemram.exe 以指向為準）停止它開始——執行——regedit 分別開啟註冊表下面根鍵 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services 瀏覽其中的子項，如果存在和 r_server （指向 C:WINDOWS\system32\systemram.exe 以指向為準）相關的註冊表項，請移除掉。如果提示無法移除，請右鍵點擊該項，更改權限為完全控制然後移除文件： *\systemram.* Q: 謝謝wangk0998大使！~ 我回去的時候做一下！~ 最後的哪個然後移除文件： *\systemram.* 怎麼移除啊！~具體的是哪個資料夾啊！~ 不知道去下載一個灰鴿子清除器好用嗎？？ A: 你對照的帖子看一下吧。因為灰鴿子的變種已經不僅僅限於在c:\windows目錄下了，所以我用了「*\」後面的「.*」代表的名字根據上面的帖子去推吧。如果找不到以上檔案,可以試試先作出以下設定。 1. 重新啟動動電腦，按 F8 鍵，進入安全模式 2. 在我的電腦,點擊工具--->資料夾選項 3. 點檢視選擇項,然後去掉隱藏受保護的作業系統文件前的勾,點選顯示所有文件和資料夾 ,最後確定同時可以借助置頂帖子中的 killbox輔助處理 ==================================================================== 如果正常處理病毒，且不再出現問題的話，請將標題標籤改為【已解決

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-07-24, 06:30 PM	#41 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Q: 【求助】救命啊 ``````````中病毒了會自動彈出網頁來我的瑞星監控在重新啟動後全部禁用 spoolsv.exe 懷疑是這個可c:/windows/system32/spoolsv 資料夾裡沒有所說的spoolsv.exe 被強行安裝過 IE-Bar 從新安裝瑞星後監控執行但什麼也殺不出誰知道是什麼原因救救我 =================================================== Logfile of HijackThis v1.99.1 Scan saved at 10:50:53, on 2006-7-24 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Rising\Rav\CCenter.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Rising\Rav\Ravmond.exe C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\winmer.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Rising\Rav\RavTask.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Rising\Rav\RavStub.exe C:\Program Files\Rising\Rav\Ravmon.exe C:\WINDOWS\system32\spoolsv.exe E:\Program Files\Tencent\QQ\QQ.exe E:\Program Files\Tencent\QQ\TIMPlatform.exe E:\Program Files\Tencent\QQ\QQ.exe E:\Program Files\Tencent\QQ\qqpet\qqpet.exe C:\Documents and Settings\By家子\桌面\upiea[1]\QQPetNurse.exe E:\Program Files\foobar2000_美化\foobar2000\foobar2000.exe C:\Program Files\jj4\jjsvr4.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\By家子\桌面\hijackthis\HijackThis.exe O2 - BHO: 超級兔子上網精靈 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - C:\Documents and Settings\By家子\桌面\MagicSet\haokanbar.dll (file missing) O3 - Toolbar: 超級兔子上網精靈 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - C:\Documents and Settings\By家子\桌面\MagicSet\haokanbar.dll (file missing) O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: 上傳到QQ網路硬碟 - E:\Program Files\Tencent\QQ\AddToNetDisk.htm O8 - Extra context menu item: 使用迅雷下載 - e:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm O8 - Extra context menu item: 使用迅雷下載全部連接 - e:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm O8 - Extra context menu item: 增加到QQ自訂面板 - E:\Program Files\Tencent\QQ\AddPanel.htm O8 - Extra context menu item: 增加到QQ表情 - E:\Program Files\Tencent\QQ\AddEmotion.htm O8 - Extra context menu item: 用QQ彩信傳送該圖片 - E:\Program Files\Tencent\QQ\SendMMS.htm O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: 騰訊QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - e:\Program Files\Tencent\QQ\QQIEHelper.dll O9 - Extra 'Tools' menuitem: QQ炫彩工具條設定 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - e:\Program Files\Tencent\QQ\QQIEHelper.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{E9950BD2-61AF-4AA7-A94D-C1A738EAAD25}: NameServer = 221.228.255.1 61.177.7.1 O20 - Winlogon Notify: WBSrv - E:\PROGRA~1\STARDOCK\OBJECT~1\WINDOW~1\wbsrv.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe =================================================== A: 1）下載LSPFIX軟體（http://www.cexx.org/LSPFix.exe）， 2）請中斷連線網路並關閉所有IE視窗和資料夾視窗，執行LSPFix， 3）先在「I know what I`m doing」前面打勾，然後把quartz32.dll項從左邊轉到右邊， 4）點「Finish」後再重新啟動一下電腦。 5）重新啟動後驗證連網操作正常情況後，移除上述的quartz32.dll文件 Q: 按照你的方法試了一下問題依舊瑞星監控又被禁用了 ......... 怎麼辦? Logfile of HijackThis v1.99.1 Scan saved at 14:40:05, on 2006-7-24 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\winmer.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Rising\Rav\RavTask.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Rising\Rav\Ravmon.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\jj4\jjsvr4.exe C:\WINDOWS\system32\taskmgr.exe C:\Documents and Settings\By家子\桌面\hijackthis\HijackThis.exe O2 - BHO: 超級兔子上網精靈 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - C:\Documents and Settings\By家子\桌面\MagicSet\haokanbar.dll (file missing) O3 - Toolbar: 超級兔子上網精靈 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - C:\Documents and Settings\By家子\桌面\MagicSet\haokanbar.dll (file missing) O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: 上傳到QQ網路硬碟 - E:\Program Files\Tencent\QQ\AddToNetDisk.htm O8 - Extra context menu item: 使用迅雷下載 - e:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm O8 - Extra context menu item: 使用迅雷下載全部連接 - e:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm O8 - Extra context menu item: 增加到QQ自訂面板 - E:\Program Files\Tencent\QQ\AddPanel.htm O8 - Extra context menu item: 增加到QQ表情 - E:\Program Files\Tencent\QQ\AddEmotion.htm O8 - Extra context menu item: 用QQ彩信傳送該圖片 - E:\Program Files\Tencent\QQ\SendMMS.htm O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: 騰訊QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - e:\Program Files\Tencent\QQ\QQIEHelper.dll O9 - Extra 'Tools' menuitem: QQ炫彩工具條設定 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - e:\Program Files\Tencent\QQ\QQIEHelper.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{E9950BD2-61AF-4AA7-A94D-C1A738EAAD25}: NameServer = 221.228.255.1 61.177.7.1 O20 - Winlogon Notify: WBSrv - E:\PROGRA~1\STARDOCK\OBJECT~1\WINDOW~1\wbsrv.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe A: a) 開始--->執行--->cmd b) 輸入以下文字,再按 Enter netsh winsock reset c) 之後請立即重新啟動電腦,重新啟動電腦後貼上新的HijackThis log

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-08-03, 03:01 PM	#42 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Q: 我的卡巴老是提示kb338448m.log!麻煩大家幫看看這個掃瞄!線上!! 最近我的電腦老是彈出個交談視窗說什麼叫KB338448M.log的什麼的，卡巴斯基也說有個叫Trojan-psw.win32.Lmir.avg的木馬，但刪不了，我都找到了那個叫KB的在，但無法刪除。看了下大家的帖子，估計是灰鴿子，下了個HijackThis v1.99.1掃瞄了下把日誌也發出來了，請高手幫忙看下怎麼弄~~~~ 用卡巴刪除會從新啟動!~ HijackThis_815漢化版掃瞄日誌 V1.99.1 儲存於 19:01:05, 日期 2006-8-2 操作系統： Windows XP SP2 (WinNT 5.01.2600) 瀏覽器： Internet Explorer v6.00 SP2 (6.00.2900.2180) 當前執行的工作行程： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\VM303_STI.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\conime.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Tencent\TT\TTraveler.exe G:\系統檢測及優化\HijackThis1991漢化版病\HijackThis1991漢化版\HijackThis1991zww.exe R3 - URLSearchHook: (no name) - {BAB1AC41-6FF7-4F2E-A04E-5C592CCFEA7D} - (no file) O4 - 啟動項HKLM\\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - 啟動項HKLM\\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH) O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [關閉共享] G:\系統檢測及優化\關閉共享.bat O8 - IE右鍵表菜單中的新增專案: &使用迅雷下載 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm O8 - IE右鍵表菜單中的新增專案: &使用迅雷下載全部鏈接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm O8 - IE右鍵表菜單中的新增專案: 上傳到QQ網路硬碟 - G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\AddToNetDisk.htm O8 - IE右鍵表菜單中的新增專案: 新增到QQ自定義面板 - G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\AddPanel.htm O8 - IE右鍵表菜單中的新增專案: 新增到QQ表情 - G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\AddEmotion.htm O8 - IE右鍵表菜單中的新增專案: 用QQ彩信發送該圖片 - G:\騰訊QQ2006 Beta2 傳美版 V1.2 0520 綠色正式版\qq\SendMMS.htm O8 - IE右鍵表菜單中的新增專案: 豪傑超級解霸V8實時播放 - C:\Herosoft\HeroV8\MPURLGET.HTM O9 - 瀏覽器額外的按鈕: 豪傑超級解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Herosoft\HeroV8\STHSDVD.EXE O9 - 瀏覽器額外的「工具」表菜單項: 豪傑超級解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Herosoft\HeroV8\STHSDVD.EXE O9 - 瀏覽器額外的按鈕: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - 瀏覽器額外的「工具」表菜單項: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - NT 服務: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe A: j日誌看不出問題請下載 System Repair Engineer，使用「智慧式掃瞄」，按下「掃瞄」按鈕進行掃瞄，掃瞄完成後按下「儲存報告」按鈕儲存報告日誌文件（SREng.LOG），把儲存的報告日誌文件內容複製-貼上去上來下載網址 http://www.kztechs.com/sreng/sreng2.zip http://forum.ikaka.com/topic.asp?board=67&artid=5188931 日誌一次粘不完，分次粘完，請不要修改。 Q: 剛才把電腦掃了一次出來了了十幾個KB338448M.log病毒！刪除了幾個後電腦就從新啟動了 A: KB338448M.log 這個木馬會插入到多個系統工作行程，直接刪除就會造成重啟下載安裝文件刪除工具Unlocker http://www.skycn.com/soft/23022.html 使用方法:在需要刪除的文件上點右鍵->Unlocker->全部解鎖,刪除 Q: 謝謝版主的幫助~！~ 哪個KB338448M.log插到很多系統工作行程裡面這些東西怎麼刪除啊還是只刪除C硬碟系統目錄下的哪個KB338448M.log 就好了啊我昨天就是全盤殺毒然後處理殺了幾個後電腦就從新啟動了後來進安全在C硬碟系統目錄下把KB338448M.log 刪除了但是今天早上又發現了三個！~ 鬱悶啊！哪個KB338448M.log插到很多系統工作行程裡面這些東西怎麼刪除啊還是只刪除C硬碟系統目錄下的哪個KB338448M.log 就好了啊我昨天就是全盤殺毒然後處理殺了幾個後電腦就從新啟動了後來進安全在C硬碟系統目錄下把KB338448M.log 刪除了但是今天早上又發現了三個！~ 鬱悶啊！ A: 下載Dr.Web CureIT! 免費掃瞄器，包含最新病毒庫，可以檢測清除病毒 ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe 自解壓格式，下載後直接執行cureit.exe，或者右鍵解壓縮後執行其中的_start.exe 先按「確定」進行「Start Express Scan」執行殺毒，先會自動掃瞄記憶體工作行程和啟動項，自動掃瞄結束後，用滑鼠選中所有的硬碟分區再次殺毒. 最後把殺毒報告發上來,開始->執行 %USERPROFILE%\DoctorWeb\CureIt.log 如果還有問題,下載 System Repair Engineer http://www.kztechs.com/sreng/sreng2.zip 使用方法: 解壓到一個資料夾如D:\sreng2.執行SREng.exe，點擊"智慧式掃瞄"->"掃瞄"->"儲存報告".然後把報告發上來分析

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-08-06, 09:35 AM	#43 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Q; 【求助】请看下“hijackthis”扫描数据？多谢！ Logfile of HijackThis v1.99.1 Scan saved at 23:07:25, on 2006-8-5 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\ctfmon.exe D:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\JONEAR~1\LOCALS~1\Temp\Rar$EX03.295\HijackThis.exe O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\Thunder\ComDlls\XunLeiBHO_002.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize O4 - HKLM\..\Run: [Thunder] "D:\Thunder\Thunder.exe" /s O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_spi.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{4F5EC4FB-ACF0-4779-9437-32E0602CC385}: NameServer = 61.235.70.98 211.98.4.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{C3B78CAF-4275-4B85-BEEF-2244AB48C100}: NameServer = 211.98.2.4,211.98.4.1 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe O23 - Service: Windows User Mode Driver Framework (UMWdf) - Promise Technology, Inc. - (no file) 2006-08-05,23:10:15 System Repair Engineer 2.0.21.505 (2.0 RC 2) Smallfrogs (http://www.KZTechs.com) Windows XP Professional Service Pack 2 (Build 2600) - 非管理權限用戶 - 受限功能以下內容被選中：所有的啟動專案（包括註冊表、啟動資料夾、服務等）瀏覽器載入項正在執行的工作行程（包括工作行程模塊訊息）文件關聯啟動專案註冊表 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <ctfmon.exe><C:\WINDOWS\system32\CTFMON.EXE> [Microsoft Corporation] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] <load><> [] <run><> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <IgfxTray><C:\WINDOWS\system32\igfxtray.exe> [Intel Corporation] <HotKeysCmds><C:\WINDOWS\system32\hkcmd.exe> [Intel Corporation] <SoundMan><SOUNDMAN.EXE> [Avance Logic, Inc.] <KAVPersonal50><"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize> [Kaspersky Lab] <Thunder><"D:\Thunder\Thunder.exe" /s> [Thunder Networking Technologies,LTD] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] <CheckFaultKernel><C:\WINDOWS\system32\mswdm.exe> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <shell><Explorer.exe> [Microsoft Corporation] <Userinit><C:\WINDOWS\system32\userinit.exe,> [Microsoft Corporation] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <UIHost><logonui.exe> [Microsoft Corporation] ================================== 啟動資料夾服務 [kavsvc / kavsvc] <"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe"><Kaspersky Lab> [Windows User Mode Driver Framework / UMWdf] <><N/A> ================================== 瀏覽器載入項 [Thunder Browser Helper] {889D2FEB-5411-4565-8998-1DD2C5261283} <D:\Thunder\ComDlls\XunLeiBHO_002.dll, Thunder Networking Technologies,LTD> [Messenger] {FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation> [Windows Genuine Advantage] {17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.dll, Microsoft? Corporation> [WUWebControl Class] {6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\system32\wuweb.dll, Microsoft Corporation> [Thunder Browser Helper] {889D2FEB-5411-4565-8998-1DD2C5261283} <D:\Thunder\ComDlls\XunLeiBHO_002.dll, Thunder Networking Technologies,LTD> ================================== 正在執行的工作行程 [PID: 228][C:\WINDOWS\Explorer.EXE] <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)> [D:\Thunder\ComDlls\XunLeiBHO_002.dll] <Thunder Networking Technologies,LTD><5, 0, 0, 2> [C:\WINDOWS\system32\igfxpph.dll] <Intel Corporation><3.0.0.3924> [C:\WINDOWS\system32\hccutils.DLL] <Intel Corporation><3.0.0.3924> [C:\WINDOWS\system32\igfxres.dll] <Intel Corporation><3.0.0.3924> [C:\WINDOWS\system32\igfxsrvc.dll] <Intel Corporation><3.0.0.3924> [C:\WINDOWS\system32\igfxdev.dll] <Intel Corporation><3.0.0.3924> [D:\Program Files\WinRAR\rarext.dll] <N/A><N/A> [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\shellex.dll] <Kaspersky Lab><5.0.388.1> [PID: 1576][C:\WINDOWS\system32\hkcmd.exe] <Intel Corporation><3.0.0.3924> [C:\WINDOWS\system32\hccutils.DLL] <Intel Corporation><3.0.0.3924> [C:\WINDOWS\system32\igfxdev.dll] <Intel Corporation><3.0.0.3924> [C:\WINDOWS\system32\igfxsrvc.dll] <Intel Corporation><3.0.0.3924> [C:\WINDOWS\system32\igfxhk.dll] <Intel Corporation><3.0.0.3924> [C:\WINDOWS\system32\igfxres.dll] <Intel Corporation><3.0.0.3924> [PID: 1584][C:\WINDOWS\SOUNDMAN.EXE] <Avance Logic, Inc.><5, 0, 0, 0> [PID: 1608][C:\WINDOWS\system32\ctfmon.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)> [PID: 684][D:\Program Files\WinRAR\WinRAR.exe] <N/A><N/A> [PID: 772][C:\DOCUME~1\JONEAR~1\LOCALS~1\Temp\Rar$EX00.722\SREng.exe] <Smallfrogs Studio><2.0.21.505> ================================== 文件關聯 .TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1] .EXE OK. ["%1" %] .COM OK. ["%1" %] .PIF OK. ["%1" %] .REG OK. [regedit.exe "%1"] .BAT OK. ["%1" %] .SCR OK. ["%1" /S] .CHM OK. ["C:\WINDOWS\hh.exe" %1] .HLP OK. [%SystemRoot%\System32\winhlp32.exe %1] .INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1] .INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1] .VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %] .JS OK. [%SystemRoot%\System32\WScript.exe "%1" %] .LNK OK. [{00021401-0000-0000-C000-000000000046}] ================================== Winsock 提供者 ================================== A: 建議修復操作時關閉其他所有的無關程式，包括IE瀏覽器等，建議將以下內容複製貼上去到記事本然後儲存以便操作。請執行剛才用來做智慧式掃瞄的工具SREng 在啟動專案->註冊表裡，找到下列啟動專案並將其刪除 <CheckFaultKernel><C:\WINDOWS\system32\mswdm.exe> [] 重啟電腦刪除上述文件。 1）下載LSPFIX軟件（http://www.cexx.org/LSPFix.exe）， 2）請離線網路並關閉所有IE視窗和資料夾視窗，執行LSPFix， 3）先在「I know what I`m doing」前面打勾，然後把cn_spi.dll項從左邊轉到右邊， 4）點「Finish」後再重啟一下電腦。 5）重啟後確認聯網操作正常情況後，刪除上述的cn_spi.dll文件 Q: 是在受限用户还是在完整用户下进行以下操作啊？完整用户的网络一切都正常；受限用户是刚刚新建的？圖片： LSPFix無法執行啊？ A: 你用SRENG掃報告時是哪個賬戶登入的就在哪個賬戶下操作，LSPFIX操作同理。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-09-02, 12:14 AM	#44 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Q: 【求助】請達人幫助看看HijackThis掃瞄結果。。 HijackThis_zww漢化版掃瞄日誌 V1.99.1 儲存於 21:30:41, 日期 2006-9-1 操作系統： Windows XP SP2 (WinNT 5.01.2600) 瀏覽器： Internet Explorer v6.00 SP2 (6.00.2900.2180) 當前執行的工作行程： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE D:\ewido anti-spyware 4.0\ewido.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe d:\My Documents\HijackThis1991漢化版\HijackThis1991zww.exe C:\Program Files\Tencent\QQ\QQ.exe C:\Program Files\Tencent\QQ\TIMPlatform.exe C:\Program Files\Tencent\QQ\QQ.exe C:\Program Files\Maxthon\Maxthon.exe O4 - 啟動項HKLM\\Run: [!ewido] "D:\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - 啟動項HKLM\\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - 啟動項HKLM\\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O8 - IE右鍵表菜單中的新增專案: 上傳到QQ網路硬碟 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm O8 - IE右鍵表菜單中的新增專案: 新增到QQ自定義面板 - C:\Program Files\Tencent\QQ\AddPanel.htm O8 - IE右鍵表菜單中的新增專案: 新增到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm O8 - IE右鍵表菜單中的新增專案: 用QQ彩信發送該圖片 - C:\Program Files\Tencent\QQ\SendMMS.htm O18 - 列舉現有的協議: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll O18 - 列舉現有的協議: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll O18 - 列舉現有的協議: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll O18 - 列舉現有的協議: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - 列舉現有的協議: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - 列舉現有的協議: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - 列舉現有的協議: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - 列舉現有的協議: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - 列舉現有的協議: ipp - (no CLSID) - (no file) O18 - 列舉現有的協議: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll O18 - 列舉現有的協議: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll O18 - 列舉現有的協議: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - 列舉現有的協議: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll O18 - 列舉現有的協議: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll O18 - 列舉現有的協議: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - 列舉現有的協議: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll O18 - 列舉現有的協議: msdaipp - (no CLSID) - (no file) O18 - 列舉現有的協議: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll O18 - 列舉現有的協議: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll O18 - 列舉現有的協議: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll O18 - 列舉現有的協議: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll O18 - 列舉現有的協議: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll O23 - NT 服務: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - NT 服務: Network Logon (NetWorkLogon) - Unknown owner - rundll32.exe (file missing) O23 - NT 服務: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe A: O23 - NT 服務: Network Logon (NetWorkLogon) - Unknown owner - rundll32.exe (file missing) 你遇到什麼問題呢??詳細說說吧 1. 開始--->執行--->cmd 2. 在cmd中輸入以下文字,按 Enter sc delete NetWorkLogon 日誌似乎沒問題啊，有什麼現象說說.你把系統配置實用程式放到啟動項幹嗎？

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-09-05, 03:08 AM	#45 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Q: 【求助】又產生問題,高手來看看昨天弄好後,今天又產生問題,好像更嚴重電腦自動重新啟動,QQ自動關閉... Logfile of HijackThis v1.99.2 Scan saved at 19:43:16, on 2006-9-4 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe c:\program files\rising\rfw\rfwsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\System32\msime.exe C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Program Files\HuaCi\huaci\zsearch.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe c:\program files\rising\rfw\RfwMain.exe C:\WINDOWS\VM_STI.EXE C:\Program Files\GAOV\Mysee Alert\Mysee Alert.exe C:\Program Files\Rising\Rav\RavTask.exe C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe C:\WINDOWS\System32\Realplayer.exe C:\WINDOWS\command\rundll32.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\MSMSGS.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\VKTServ.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\System32\conime.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\conime.exe C:\WINDOWS\System32\conime.exe C:\Program Files\Rising\Rav\RsAgent.exe C:\WINDOWS\msagent\AgentSvr.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\utilman.exe D:\Program Files\TTPlayer\TTPlayer.exe C:\Program Files\Tencent\QQ\TIMPlatform.exe C:\Program Files\Tencent\QQ\332812474\MyRecvFiles\PPStream_1.0.4.538_Cr_Rip_Cnfan.org\PPStream_1.0.4.538_Cr_Rip_Cnfan.org\PPStream\PPStream.exe D:\Program Files\Kugoo3\KuGoo.exe C:\Program Files\Tencent\QQ\QQ.exe C:\Program Files\Tencent\QQ\332812474\MyRecvFiles\HijackThis\HijackThis.exe R3 - Default URLSearchHook is missing F2 - REG:system.ini: Shell=Explorer.exe ntio.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\System32\explore.exe O2 - BHO: IEMonitor Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\Program Files\DeskAdTop\deskipn.dll O2 - BHO: Shockwave Flash Object - {14A21378-5BB1-4BC4-95D5-5D3F51527F6F} - C:\WINDOWS\system32\smflash.ocx O2 - BHO: IE Address Browser Helper - {2A0176FE-008B-4706-90F5-BBA532A49731} - C:\WINDOWS\Downlo~1\SearchNet\SNHpr.dll O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - d:\Program Files\Tencent\QQ\QQIEHelper.dll O2 - BHO: enhr32 - {8383990D-07DA-4051-8124-6F1034E807C5} - C:\WINDOWS\System32\enhd32.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - D:\PROGRA~1\Kugoo3\KUGOO3~1.OCX O3 - Toolbar: 電台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll O3 - Toolbar: 卡卡上網安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\KakaTool.dll O3 - Toolbar: NB46 - {56E88004-7AF8-474C-BB30-76E0B7B2B003} - (no file) O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [MoveSearch] C:\Program Files\HuaCi\huaci\zsearch.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera 301x O4 - HKLM\..\Run: [Mysee Alert] "C:\Program Files\GAOV\Mysee Alert\Mysee Alert.exe" -notray O4 - HKLM\..\Run: [Desktop] C:\WINDOWS\System32\rundll32.exe "C:\Program Files\DeskAdTop\Run.dll" ,Rundll O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system O4 - HKLM\..\Run: [SOUNDM] winsmd.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SearchNet_Up] C:\WINDOWS\Downlo~1\SearchNet\ServeUp.exe O4 - HKLM\..\Run: [SrvNet32] RunDll32 "C:\WINDOWS\Downlo~1\SearchNet\SrvNet32.dll",Run O4 - HKLM\..\Run: [Realplayer.exe] C:\WINDOWS\System32\Realplayer.exe O4 - HKLM\..\Run: [Start] Start.exe O4 - HKLM\..\Run: [Tray] C:\WINDOWS\command\rundll32.exe O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [Start] Start.exe O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\System32\Realplayer.exe O4 - Startup: 位址欄搜索.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: 上傳到QQ網路硬碟 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm O8 - Extra context menu item: 使用KuGoo3下載(&K) - D:\Program Files\Kugoo3\KuGoo3DownX.htm O8 - Extra context menu item: 使用網際快車下載 - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: 使用網際快車下載全部鏈接 - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: 新增到QQ自定義面板 - D:\Program Files\Tencent\QQ\AddPanel.htm O8 - Extra context menu item: 新增到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm O8 - Extra context menu item: 用QQ彩信發送該圖片 - D:\Program Files\Tencent\QQ\SendMMS.htm O8 - Extra context menu item: 訪問通用網址 - C:\Program Files\CNNIC\Cdn\cnnic.htm O9 - Extra button: Web反病毒保護 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - d:\Program Files\Tencent\QQ\QQ.EXE O9 - Extra 'Tools' menuitem: 騰訊QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - d:\Program Files\Tencent\QQ\QQ.EXE O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQ\QQIEHelper.dll O9 - Extra 'Tools' menuitem: QQ炫彩工具條設置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQ\QQIEHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\cn_api60.dll O11 - Options group: [CDNCLIENT] 中文上網 O14 - IERESET.INF: START_PAGE_URL=about:blank O16 - DPF: {817C90B5-1688-42BE-9044-58422DB088B2} (PortalCom R01) - http://61.172.97.52/PortalAX.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E45DA279-45CE-4372-91DE-0A3140F6A910}: NameServer = 202.96.209.133 202.96.209.6 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll O21 - SSODL: DLMon - {590498A3-4131-4D8F-BA4B-36791A0803B1} - C:\WINDOWS\System32\DLMain.dll O23 - Service: 卡巴斯基反病毒6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe A: 參考你中了searchnet 劃詞搜索 7939.com 這些問題在我給出的連接中均有解決方案卡巴斯基反病毒和瑞星都能升級嗎？上面的木馬它們一個也不認識？ Q: 描述：落雪清除不了... 圖片：不行,恢復註冊表也沒用不知道...不是我電腦 A: 電腦的主人有能力根據這裡的提供的建議解決問題嗎？因為系統裡面存在好幾個可以修改主頁的木馬、惡意程式，單純恢復註冊表不管用台電腦中的不是落雪木馬下面的都是木馬、惡意程式修改的啟動項 R3 - Default URLSearchHook is missing F2 - REG:system.ini: Shell=Explorer.exe ntio.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\System32\explore.exe O4 - HKLM\..\Run: [MoveSearch] C:\Program Files\HuaCi\huaci\zsearch.exe O4 - HKLM\..\Run: [Mysee Alert] "C:\Program Files\GAOV\Mysee Alert\Mysee Alert.exe" -notray O4 - HKLM\..\Run: [Desktop] C:\WINDOWS\System32\rundll32.exe "C:\Program Files\DeskAdTop\Run.dll" ,Rundll O4 - HKLM\..\Run: [SOUNDM] winsmd.exe O4 - HKLM\..\Run: [SearchNet_Up] C:\WINDOWS\Downlo~1\SearchNet\ServeUp.exe O4 - HKLM\..\Run: [SrvNet32] RunDll32 "C:\WINDOWS\Downlo~1\SearchNet\SrvNet32.dll",Run O4 - HKLM\..\Run: [Realplayer.exe] C:\WINDOWS\System32\Realplayer.exe O4 - HKLM\..\Run: [Start] Start.exe O4 - HKLM\..\Run: [Tray] C:\WINDOWS\command\rundll32.exe O4 - HKCU\..\Run: [Start] Start.exe O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\System32\Realplayer.exe 超級兔子清理王7.78beta6(2006.08.31更新) 可卸載 163種流氓LJ惡意軟件 http://download5.pctutu.com/soft/winspeed778beta.zip 執行「超級兔子清理王」裡面的「專業卸載」，把裡面用紅色標記的流氓不良綁裝軟件全部卸載掉不要安裝超級兔子上網精靈裡面帶的「超級兔子工具欄」下載執行流氓軟件清理助手 V2.1.3 http://www.tommsoft.com/Products.aspx?pid=2 選擇強制清理，如果第一次清理不掉，可以去安全模式下再次清理下載Dr.Web CureIT! 免費掃瞄器，包含最新病毒庫，可以檢測清除病毒、木馬、後門、流氓惡意軟件，不和已裝殺毒軟件衝突直接下載位址： ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe 自解壓格式，下載後直接執行cureit.exe，或者滑鼠右鍵，解壓到目標資料夾，然後執行該資料夾裡面的「_start.exe」殺毒先按「確定」進行「Start Express Scan」快速殺毒，先會自動掃瞄記憶體工作行程和啟動項，等快速掃瞄結束後，再用滑鼠左鍵選中硬碟分區的圖示，被選中的分區上會出現紅點標記，再次殺毒.Dr.Web界面左下角的5個按鍵分別是"全選" "清除" "重命名" "隔離" "刪除".可以先把殺毒報告發上來等待確認後再進行操作，或者Select all(全選) Cure ->Move incurable(將清除失敗的文件移動到隔離區) 最後把殺毒報告發上來,從"我的電腦"打開 %USERPROFILE%\DoctorWeb\ 打開下面文件CureIt.log複製其中內容到帖子裡 Dr.Web 使用圖解

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

Google 提供的廣告