瑞星卡卡安全论坛

TrojanSpy.Win32.Delf.dh.dll这个病毒怎么杀啊 ，  我怎么杀都杀不了 ，希望各位帮帮我啊。

路径?

c:\windows\system\rltac32.dll

用killbox直接输入路径删除

附件: 414758200582593115.rar

不行啊，删了系统就死机啊，金色帮忙啊？

来个大侠啊，我急啊。一玩游戏，他就发邮件，
而且还不能杀毒了。

HijackThis下载地址请参考：
【必读】本版说明及常用小软件下载
http://forum.ikaka.com/topic.asp?board=67&artid=5188931

【推荐】反浏览器劫持的一些常用操作
http://forum.ikaka.com/topic.asp?board=67&artid=6490491

运行HijackThis，先点[扫描系统并保存日志]或[Do a system scan and save a logfile]按钮，扫描完成后，LOG将会在自动弹出的记事本中
显示，再从记事本里复制/粘贴到贴子里。如果LOG比较长，一贴发不完，你可以分成几个部分发在回贴里。

这个东西在哪里下载

大家帮忙顶一下，大侠快来啊

大侠们帮忙看一下，这是刚查的日志啊》》》》》》
Logfile of HijackThis v1.99.0
Scan saved at 11:12:18, on 05-8-25
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
D:\RIN\RAV\CCENTER.EXE
D:\RIN\RAV\RAVMOND.EXE
D:\RIN\RAV\RAVMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
D:\RIN\RAV\RAVTIMER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\北京城市热点资讯有限公司\DR.COM 宽带客户端\ISHARE_USER.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
E:\FLASHGET\FLASHGET.EXE
C:\MY DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\FLASHGET\JCCATCH.DLL
O2 - BHO: DDDMon Class - {6BDE1669-B490-48E3-B668-456314F2D6C3} - C:\PROGRAM FILES\DUDU\DDDCLIENT\DDDIEMON.DLL (file missing)
O2 - BHO: NaviHelperObj Class - {3E422F49-1566-40D3-B43D-077EF739AC32} - C:\WINDOWS\SYSTEM\NAVIHELPER.DLL
O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRAM FILES\BAIDU\BAR\BAIDUBAR.DLL
O3 - Toolbar: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\PROGRAM FILES\BAIDU\BAR\BAIDUBAR.DLL
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\FLASHGET\FGIEBAR.DLL
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - D:\jsky2005\IEBand.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] rem  C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [RavTimer] D:\RIN\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [3721] cnsmin.exe
O4 - HKLM\..\Run: [RavMon] D:\RIN\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\RunServices: [RsCcenter] D:\RIN\RAV\CCENTER.EXE
O4 - HKLM\..\RunServices: [RavMond] D:\RIN\RAV\RAVMOND.EXE
O4 - HKLM\..\RunServices: [RavMon] D:\RIN\RAV\RAVMON.EXE -SYSTEM
O4 - Startup: 腾讯QQ.lnk
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 使用网际快车下载 - E:\FLASHGET\jc_link.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - E:\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - E:\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - E:\QQ\SendMMS.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - E:\FLASHGET\jc_all.htm
O8 - Extra context menu item: &使用新浪游戏下载加速器下载 - res://C:\PROGRAM FILES\DUDU\DDDCLIENT\dddmext.dll/202
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: 豪杰超级解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Herosoft\HeroV8\STHSDVD.EXE
O9 - Extra 'Tools' menuitem: 豪杰超级解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Herosoft\HeroV8\STHSDVD.EXE
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FLASHGET\FLASHGET.EXE
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\QQ\QQ.EXE
O9 - Extra button: 易趣购物 - {BE9C13C3-9E46-4db1-BC05-BD8DA44599F2} - http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-209?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - Extra 'Tools' menuitem: 易趣购物 - {BE9C13C3-9E46-4db1-BC05-BD8DA44599F2} - http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-209?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - Extra button: 下载管理 - {3DB9F45E-AA74-4373-A466-C18A9F1C500D} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O9 - Extra 'Tools' menuitem: 下载管理 - {3DB9F45E-AA74-4373-A466-C18A9F1C500D} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O16 - DPF: {EF9F1C48-1A63-495A-9317-B7B71B34A9CF} (Msp Class) - http://ddddl.dudu.com/ddd/update/plugin/sinamsp.cab
O18 - Protocol: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\SYSTEM\MBPROT.DLL

大侠们来看看，有什么问题啊。？？？？？

急啊

O2 - BHO: NaviHelperObj Class - {3E422F49-1566-40D3-B43D-077EF739AC32} - C:\WINDOWS\SYSTEM\NAVIHELPER.DLL   

该病毒属于广告木马，一般会捆绑在正常软件中。当用户运行捆绑有该病毒的文件时，会释放出该文件。然后病毒通过 BHO ，注入到 IE 浏览器中，并会通过SQL查询病毒应该强行打开哪个网页。这样，浏览器不时的打开广告窗口，如：“女生宿舍”或“青涩宝贝”等。给用户使用浏览器带来不便。

处理办法：




1、将自身存放在如下路径中：
%system%\Navihelper.dll

2、添加如下注册表键值
HKEY_CURRENT_USER\AppID\{13FACA62-5FC4-4817-9175-9C8D00975916}
HKEY_CURRENT_USER\AppID\NaviHelper.DLL
HKEY_CURRENT_USER\NaviHelper.NaviHelperObj.1
HKEY_CURRENT_USER\NaviHelper.NaviHelperObj
HKEY_CURRENT_USER\CLSID\{3E422F49-1566-40D3-B43D-077EF739AC32}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3E422F49-1566-40D3-B43D-077EF739AC32}
这些键值用于注册BHO，使得每次开启IE浏览器时都会加载该广告程序。

3、从网上下载
http://bar.×××××8.com/host.dat
到本地的
%system%\host.dat

4、host.dat文件为SQL数据库，包含了全部要显示的网页地址，包括以下网址：
http://www.qu123.com/aoyu1.html
http://baby.aoe88.com/ad.html

5、关于手动清除
①关闭IE浏览器
②“开始”→“运行” 输入 regsvr32 /u Navihelper.dll
③删除%system%\Navihelper.dll
别的没什么大碍

regsvr32 /u Navihelper.dll无法运行，发回的代码是
0x80028021
给看看是怎么回事

关闭IE浏览器后输入

是啊 没用

②“开始”→“运行” 输入 regsvr32 /u Navihelper.dll
这个命令是卸载已安装的控件或DLL文件
这个命令没有错误
用这个命令试下Del C:\WINDOWS\SYSTEM\NAVIHELPER.DLL  /s/a