瑞星卡卡安全论坛

O2 - BHO: URLMonitor Class - {3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} - C:\WINDOWS\system32\hap.dll
O2 - BHO: DownloadValue Class - {616D4040-5712-4F0F-BCF1-5C6420A99E14} - C:\WINDOWS\system32\winhtp.dll
  这两项不知道是什么,从二个多月前算起,我修复它至少有40次了.修复完在硬盘上和注册表里都找不到了,清空了临时文件,关闭了系统还原(在安全模式先也试过多次).可是它还是那么顽强,过不了多久又会出现.出现的时候伴随着的是我的桌面失控(鼠标键盘都失效,时间不等,有时1分钟,有时好几分钟.有时候自己打开网页,好几十个;有时候是自己打开应用程序,数量和类型不定.),而且伴随着系统有蜂鸣声.系统windows xp professional

我不知道上面两项是什么,也不能确定引起这些现象的是不是他们.但是毫无例外的是每次发作后他们就出现了.请各位帮忙看看,帮我确诊一下,谢谢!






Logfile of HijackThis v1.99.0
Scan saved at 10:31:52, on 2005-7-1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
d:\Borland\InterBase\bin\ibguard.exe
d:\MICROS~3\MSSQL\binn\sqlservr.exe
C:\WINDOWS\System32\tlntsvr.exe
d:\Borland\InterBase\bin\ibserver.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\Program Files\Compaq\Hotkey Software\hkss.exe
D:\SkyNet\FireWall\PFW.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\conime.exe
D:\Tencent\QQ.exe
d:\tencent\TIMPlatform.exe
D:\Tools\HijackThis\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: URLMonitor Class - {3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} - C:\WINDOWS\system32\hap.dll
O2 - BHO: DownloadValue Class - {616D4040-5712-4F0F-BCF1-5C6420A99E14} - C:\WINDOWS\system32\winhtp.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [hkss] C:\Program Files\Compaq\Hotkey Software\hkss.exe
O4 - HKLM\..\Run: [SKYNET Personal FireWall] D:\SkyNet\FireWall\PFW.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: 服务管理器.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: DeleteShare.bat
O8 - Extra context menu item: 使用网际快车下载 - D:\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\FlashGet\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE45FF15-3A53-445E-AD38-85904FCB954A}: NameServer = ******************************
O23 - Service: InterBase Guardian - Borland Software Corporation - d:\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server - Borland Software Corporation - d:\Borland\InterBase\bin\ibserver.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Intel NCS NetService - Intel(R) Corporation - c:\Program Files\Intel\NCS\Sync\NetSvc.exe

O2 - BHO: URLMonitor Class - {3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} - C:\WINDOWS\system32\hap.dll
O2 - BHO: DownloadValue Class - {616D4040-5712-4F0F-BCF1-5C6420A99E14} - C:\WINDOWS\system32\winhtp.dll
O4 - Global Startup: DeleteShare.bat

从你的日志看无问题，可能还有其他因素。

这个两个文件是“很棒小秘书”的

其它软件也可能附带安装“很棒小秘书”

建议楼主关闭telnet服务

并参考：

【推荐】反浏览器劫持论坛 重要及常用贴子索引合集
http://forum.ikaka.com/topic.asp?board=67&artid=6389850

中的

【推荐】【分享】看我的！！“很棒小秘书”搞定方案
http://forum.ikaka.com/topic.asp?board=67&artid=5900144

【回复“Mestoration”的帖子】

O4 - Global Startup: DeleteShare.bat是我自己写的批处理.

下面两项我也怀疑有问题,只是不清楚什么问题,所以到这里请教各位
O2 - BHO: URLMonitor Class - {3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} - C:\WINDOWS\system32\hap.dll
O2 - BHO: DownloadValue Class - {616D4040-5712-4F0F-BCF1-5C6420A99E14} - C:\WINDOWS\system32\winhtp.dll

【回复“endurer”的帖子】
谢谢斑竹热心帮助!
telnet服务是我刚打开的,工作需要.
看来我电脑的问题不是由“很棒小秘书”引起的了.
那是不是有些病毒或者别的什么恶意程序是HijiackThis扫描不到的呢.如果有,用什么方法可以把它找出来呢.
呵呵,还请告诉一下