瑞星卡卡安全论坛

Logfile of HijackThis v1.99.1
Scan saved at 23:21:26, on 2005-8-11
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Real\Update_OB\rnathchk.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\conime.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Documents and Settings\Bluewater\桌面\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CNav Class - {1954558D-BD14-420A-BC38-7F41F7A1DDBB} - C:\WINDOWS\System32\NAVIGA~1.DLL (file missing)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [WlN32] regedit -s C:\$NtUninstallQ9494$\WINSYS.cer
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - Startup: runx.bat
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: DuDu加速器.lnk = C:\Program Files\DuDu\DDDClient\DuDuAcc.exe
O8 - Extra context menu item: 使用网际快车下载 - C:\PROGRA~1\FLASHGET\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\PROGRA~1\FLASHGET\jc_all.htm
O8 - Extra context menu item: 解霸实时播放 - C:\HEROSOFT\Hero3000\MPURLGET.HTM
O9 - Extra button: 解霸 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\HEROSOFT\Hero3000\MPLAYER.EXE
O9 - Extra 'Tools' menuitem: 超级解霸 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\HEROSOFT\Hero3000\MPLAYER.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://cn.download.yahoo.com/dl/install/yinst0401.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122126833301
O17 - HKLM\System\CCS\Services\Tcpip\..\{36890CCA-23D9-49AE-8B78-9CAEB643DFA1}: NameServer = 202.96.209.6 202.96.209.133
O17 - HKLM\System\CS1\Services\Tcpip\..\{36890CCA-23D9-49AE-8B78-9CAEB643DFA1}: NameServer = 202.96.209.6 202.96.209.133
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

【回复“zhuyh”的帖子】

请修复:

O2 - BHO: CNav Class - {1954558D-BD14-420A-BC38-7F41F7A1DDBB} - C:\WINDOWS\System32\NAVIGA~1.DLL (file missing)

O4 - HKLM\..\Run: [WlN32] regedit -s C:\$NtUninstallQ9494$\WINSYS.cer

O4 - Startup: runx.bat

删除文件:

C:\$NtUninstallQ9494$\整个目录

个人认为是04下的run.bat在捣蛋。开机时闪过自动运行的dos画面，一下子就没有了。对这个项目进行修复时，系统报错“程序正在运行，需要先关闭相应程序才能进行修复”。然后进入任务管理器，但是这个bat好像是一系列程序的组合，而且还有些程序不让我删除。
对了，顺便说一句，相应弹出的页面是www.dy618.com。哪位大侠帮帮忙呀。

【回复“zhuyh”的帖子】
run.bat——批处理文件。

run.bat无法删除
Logfile of HijackThis v1.99.1
Scan saved at 23:32:50, on 2005-8-11
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Real\Update_OB\rnathchk.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\conime.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\Bluewater\桌面\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: runx.bat
O8 - Extra context menu item: 使用网际快车下载 - C:\PROGRA~1\FLASHGET\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\PROGRA~1\FLASHGET\jc_all.htm
O8 - Extra context menu item: 解霸实时播放 - C:\HEROSOFT\Hero3000\MPURLGET.HTM
O9 - Extra button: 解霸 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\HEROSOFT\Hero3000\MPLAYER.EXE
O9 - Extra 'Tools' menuitem: 超级解霸 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\HEROSOFT\Hero3000\MPLAYER.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://cn.download.yahoo.com/dl/install/yinst0401.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122126833301
O17 - HKLM\System\CCS\Services\Tcpip\..\{36890CCA-23D9-49AE-8B78-9CAEB643DFA1}: NameServer = 202.96.209.6 202.96.209.133
O17 - HKLM\System\CS1\Services\Tcpip\..\{36890CCA-23D9-49AE-8B78-9CAEB643DFA1}: NameServer = 202.96.209.6 202.96.209.133
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

谢谢，正因为是批处理文件，所以头痛不已。－－弄了一个晚上了，我已经要呜呜呜了

“O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe”这个文件也是，我修复了好多次，又跑出来了

安全模式下修复
O4 - Startup: runx.bat

删除
runx.bat

如果无法删除

右键点击runx.bat文件，选择编辑，将该文件的内容贴上来

ctfmon - ctfmon.exe - 进程信息-----正常的
进程文件: ctfmon or ctfmon.exe
进程名称: Alternative User Input Services
描述: 控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。Ctfmon.exe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。
常见错误: N/A
是否为系统进程: 否

引用:

【zhuyh的贴子】谢谢，正因为是批处理文件，所以头痛不已。－－弄了一个晚上了，我已经要呜呜呜了 ...........................

尝试在安全模式下修复看看.

ctfmon.exe是输入法进程.

报告，前面已经去过安全模式了。在这个下面log里面好像没有这个O4 - Startup: runx.bat，我应该到哪里去找这个文件或者用什么方法找到它？谢谢斑竹

显示隐藏文件

双击我的电脑--工具---文件夹选项--查看选项卡--单击选取"显示隐藏文件或文件夹"--清除"隐藏受保护的操作系统文件（推荐）"复选框。在提示您确定更改时，单击“是”--单击“确定”。

用开始菜单中的搜索功能查找

再去了趟注册表，删掉了这个04，然后开机重启，现在好像好了－－是不是真的好了，是不是前面遵从指示删除的两个文件起作用了还不得而知。反正先谢谢了。  明天再来研究这台机器，88。
by the way，现在日志里面这个04的东东还在，各位正常的机器里面会有这一项吗？？？

哦，找到文件了，我上次操作时选项选错了，怪不得显示不出来，^_^，果然是头晕了。
现在这个文件内容是：
“@echo off
regedit -s C:\$NtUninstallQ9494$\sp4custom.reg
del C:\$NtUninstallQ1494$\sp4custom.dll
@cls
exit”
和前面斑竹教导删除的文件果然有父子关系。^_^。－－不过也因为如此删一个应该另外一个就不能用了吧，反正我把这个也删掉好了，省得看了这个不高兴。
搞定了，谢谢。

如果C:\$NtUninstallQ9494$\这个文件夹还在，请删除整个文件夹

嗯，关于前面被强制去某个网页的问题解决了，但是现在我有一个网站上去后点击却不能够阅读了，不知道是不是注册表删坏掉了。请指教。地址http://www.cmfu.com/readbook.asp?bl_id=21839，谢谢

1.点击“开始”→“运行”，在弹出的“运行”对话框中输入“regsvr32 actxprxy.dll”（注意输入时没有引号），然后点击“确定”按钮，接着会出现一个信息对话框
“DllRegisterServer in actxprxy.dll succeeded”,在该对话框中点“确定”按钮；
2.再次点击“开始”→“运行”，在弹出的“运行”对话框中输入“regsvr32 shdocvw.dll”（注意输入时没有引号），然后点击“确定”按钮，接着会出现一个信息对话框
“DllRegisterServer in shdocvw.dll succeeded”，在该对话框中点“确定”按钮；
3.
regsvr32 shdocvw.dll ,确定，接着出现一个消息框，确定
regsvr32 oleaut32.dll,确定，接着出现一个消息框，确定
regsvr32 actxprxy.dll,确定，接着出现一个消息框，确定
regsvr32 mshtml.dll,确定，接着出现一个消息框，确定
regsvr32 msjava.dll,确定，接着出现一个消息框，确定
regsvr32 browseui.dll,确定，接着出现一个消息框，确定
regsvr32 urlmon.dll,确定，接着出现一个消息框，确定
重新启动