瑞星卡卡安全论坛

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      14:55:39, 日期 2005-8-4
操作系统：  Windows XP SP1 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\3721\assistse.exe
G:\Sandai Technologies Inc\ThunderMini\ThunderMini.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
G:\Program Files\工具\HijackThis1991汉化版\HijackThis1991zww.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v5.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\3721\Assist\Angling.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - F:\Program Files\Tencent\QQ\QQIEHelper.dll (file missing)
O2 - BHO: Router Layer - {5EB7CB50-E375-4718-B4C0-9AD12EFA2F84} - C:\WINDOWS\System32\aclayer.dll
O2 - BHO: KillObj Class - {66C28884-4E5D-494B-80C9-CAA27528FD6D} - C:\WINDOWS\Downlo~1\ddtkillw.ocx
O2 - BHO: AssistII - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\downlo~1\CnsHook.dll
O3 - IE工具栏增项: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - IE工具栏增项: 新浪点点通 - {F60C7D81-8471-4D40-AAFE-56D318F34C2D} - C:\WINDOWS\Downlo~1\DDTONG~1.DLL
O3 - IE工具栏增项: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - G:\Kingsoft\FastAIT 2005\IEBand.dll
O3 - IE工具栏增项: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\downlo~1\CnsMin.dll,Rundll32
O4 - 启动项HKLM\\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - 启动项HKLM\\Run: [assistse] "C:\PROGRA~1\3721\assistse.exe"
O4 - 启动项HKLM\\Run: [thunder_mini] G:\Sandai Technologies Inc\ThunderMini\ThunderMini.exe
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [NMGameX_AutoRun] rem C:\WINDOWS\System32\Rundll32.exe nmgamex.dll,LiveProcess /aa
O4 - 启动项HKLM\\Run: [Microsoft Configuration Updates] rem mcsfig.exe
O4 - 启动项HKLM\\RunServices: [Microsoft Configuration Updates] mcsfig.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - G:\Sandai Technologies Inc\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - G:\Sandai Technologies Inc\Thunder\getAllurl.htm
O8 - IE右键菜单中的新增项目: &使用迷你迅雷下载 - G:\Sandai Technologies Inc\ThunderMini\geturl.htm
O9 - 浏览器额外的按钮: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm?pid=U_wanxiang_18961 (file missing)
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - F:\浩方\浩方对战平台\GameClient.exe
O9 - 浏览器额外的按钮: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - 浏览器额外的按钮: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://hot.3721.com/rd/shop_btn.htm (file missing)
O9 - 浏览器额外的按钮: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\System32\shdocvw.dll
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\System32\shdocvw.dll
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - F:\Program Files\Tencent\QQ\QQIEHelper.dll (file missing)
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - F:\Program Files\Tencent\QQ\QQIEHelper.dll (file missing)
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: (no name) - {974AD624-EA50-4831-A6C0-3040F6665396} - C:\WINDOWS\Downlo~1\rssband.dll (HKCU)
O9 - 浏览器额外的“工具”菜单项: 新浪点点通阅读器 - {974AD624-EA50-4831-A6C0-3040F6665396} - C:\WINDOWS\Downlo~1\rssband.dll (HKCU)
O9 - 浏览器额外的按钮: 新浪点点通阅读器 - {F0646DC8-58CD-4C64-8F6B-525043914685} - C:\WINDOWS\Downlo~1\rssband.dll (HKCU)
O11 - Options group: [!CNS]  网络实名
O16 - DPF: {12345678-1234-1234-1234-123456789011} - http://www.bjat.com/svchost.exe
O16 - DPF: {2D4851FD-0BFE-11D4-9260-9AF666D52059} (GameX Class) - http://202.108.34.243/game/system/activex/gamex.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119432519406
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.zango.com/GetZango/Download/zangoax.cab
O16 - DPF: {ABA7CC7F-019D-47DB-A0D2-B3C2B3AC1B44} (Fc2Boot Class) - http://202.108.34.243/fun/system/fc2boot.cab
O16 - DPF: {C0C13879-6A17-429E-80F1-60B23FC1F720} (FcBoot Class) - http://211.94.188.120/game/system/activex/fcboot.cab
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D21E4D7A-41E6-417C-B778-B2099795AA2A}: NameServer = 211.98.4.1 219.150.32.132
O18 - 列举现有的协议: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\System32\mbprot.dll
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: Local Service (LocalService) - Unknown owner - C:\WINDOWS\help\lservice.exe
O23 - NT 服务: Messenger - Unknown owner - C:\WINDOWS\System32\arcldrer.exe (file missing)




顺便问下----结尾出括号里的那个：(HKCU)和(file missing) 是什么意思呀？谢谢！

(file missing) 是没找到文件

【回复“赌东道d”的帖子】
您好,请重启按F8进入安全模式下修复:

O2 - BHO: Router Layer - {5EB7CB50-E375-4718-B4C0-9AD12EFA2F84} - C:\WINDOWS\System32\aclayer.dll
O2 - BHO: KillObj Class - {66C28884-4E5D-494B-80C9-CAA27528FD6D} - C:\WINDOWS\Downlo~1\ddtkillw.ocx
O4 - 启动项HKLM\\Run: [Microsoft Configuration Updates] rem mcsfig.exe
O4 - 启动项HKLM\\RunServices: [Microsoft Configuration Updates] mcsfig.exe
O23 - NT 服务: Messenger - Unknown owner - C:\WINDOWS\System32\arcldrer.exe (file missing)

删除文件:

C:\WINDOWS\System32\aclayer.dll

C:\WINDOWS\Downlo~1\ddtkillw.ocx

mcsfig.exe(使用:开始--搜索,功能)


停止服务:开始--控制面版--管理工具--服务--找到＂ Messenger ＂属性--改成＂已禁用＂

O23 - NT 服务: Local Service (LocalService) - Unknown owner - C:\WINDOWS\help\lservice.exe
是什么啊？

【回复“赌东道d”的帖子】
把C:\WINDOWS\help\lservice.exe打包上来看看.

怎么打包，呵呵？添加成为压缩文件传上来？

【回复“赌东道d”的帖子】
是的.

引用:

【花落花又开的贴子】【回复“赌东道d”的帖子】 您好,请重启按F8进入安全模式下修复: O2 - BHO: Router Layer - {5EB7CB50-E375-4718-B4C0-9AD12EFA2F84} - C:\WINDOWS\System32\aclayer.dll O2 - BHO: KillObj Class - {66C28884-4E5D-494B-80C9-CAA27528FD6D} - C:\WINDOWS\Downlo~1\ddtkillw.ocx O4 - 启动项HKLM\\Run: [Microsoft Configuration Updates] rem mcsfig.exe O4 - 启动项HKLM\\RunServices: [Microsoft Configuration Updates] mcsfig.exe O23 - NT 服务: Messenger - Unknown owner - C:\WINDOWS\System32\arcldrer.exe (file missing) 删除文件: C:\WINDOWS\System32\aclayer.dll C:\WINDOWS\Downlo~1\ddtkillw.ocx mcsfig.exe(使用:开始--搜索,功能) 停止服务:开始--控制面版--管理工具--服务--找到＂ Messenger ＂属性--改成＂已禁用＂ ...........................

按照你的步骤全部执行完！
C:\WINDOWS\Downlo~1\ddtkillw.ocx  ----没有找到此文件，在注册表内也没发现有关它的键值 （估计是修复时已经给删除了吧？）这个文件的目录是不是C:\WINDOWS\Downloaded Program Files 这个目录里？？？这里全是些插件啊！

mcsfig.exe(使用:开始--搜索,功能)  ----已经搜遍，也未发现此文件，（估计是修复时已经给删除了吧？）！我记得它是个系统自带的文件吧？应该不是病毒~~但是在注册表内发现许多关于它的键值是否删除？

停止服务:开始--控制面版--管理工具--服务--找到＂ Messenger ＂属性--改成＂已禁用＂    ----此功能原本就被禁用着！

引用:

【花落花又开的贴子】【回复“赌东道d”的帖子】 把C:\WINDOWS\help\lservice.exe打包上来看看. ...........................

已经上传，这个程序文件旁边还有个.dll文件，我也一同打包了，请检查，谢谢！

它的日期挺可疑的，是2005年7月30日, 15:08:22 我最近几乎没上什么网，一直在玩劲乐团，但是前2天中了几次木马，有灰鸽子2005，还有advapi32.exe的木马，不过我已经都通过手动查杀全部解决掉了，在日志里我也没发现它们的踪迹，就是怕了，所以才传上来日志让你们看下呵呵！

附件: 453329200584161529.rar

【回复“赌东道d”的帖子】
系统自带的是msconfig.

问题解决了吗?请把那个文件打包上来.

引用:

【赌东道d的贴子】 已经上传，这个程序文件旁边还有个.dll文件，我也一同打包了，请检查，谢谢！ 它的日期挺可疑的，是2005年7月30日, 15:08:22 我最近几乎没上什么网，一直在玩劲乐团，但是前2天中了几次木马，有灰鸽子2005，还有advapi32.exe的木马，不过我已经都通过手动查杀全部解决掉了，在日志里我也没发现它们的踪迹，就是怕了，所以才传上来日志让你们看下呵呵！ ...........................

这个文件KV报TrojanSpy.Small.by

用hijackthis修复此项,删除其文件.停止服务.

好的!可以给我解答几个问题么?谢谢~

日志后面括号里的(HKCU)是什么意思呀?

日志后面带(file missing)的需不需要把它们全修复了?

C:\WINDOWS\Downlo~1 这个目录到底是哪里啊?根本没这个目录呀?

还有一个就是我上面问你的,你让我删除的那个文件mcsfig.exe 在注册表里仍有许多关于它的键值,是否统统删除?


可以的话，请告诉我好吗？

引用:

【赌东道d的贴子】好的!可以给我解答几个问题么?谢谢~ 日志后面括号里的(HKCU)是什么意思呀? 日志后面带(file missing)的需不需要把它们全修复了? C:\WINDOWS\Downlo~1 这个目录到底是哪里啊?根本没这个目录呀? 还有一个就是我上面问你的,你让我删除的那个文件mcsfig.exe 在注册表里仍有许多关于它的键值,是否统统删除? 可以的话，请告诉我好吗？ ...........................

1.HKCU是注册表键值;

2.(file missing)翻译为文件丢失,予以修复;

3.C:\WINDOWS\Downlo~1→C:\WINDOWS\Downloaded Program Files

4.关于mcsfig.exe全部删除.