高手进来帮忙看看日志 bbs.ikaka.com

戴维斯巫师 - 2005-9-3 14:55:00

HijackThis_zww汉化版扫描日志 V1.99.1
保存于 14:54:29, 日期 2005-9-3
操作系统： Windows XP SP2 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINPENJR\Win32\pphidpad.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\etb\pokapoka63.exe
C:\Program Files\SkyNet\FireWall\PFW.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\new\LOCALS~1\Temp\Rar$EX00.402\HijackThis1991zww.exe

O4 - 启动项HKLM\\Run: [PPHIDPAD] C:\WINPENJR\Win32\pphidpad.exe
O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [RavTimer] ; C:\Program Files\rising\rav\RavTimer.exe
O4 - 启动项HKLM\\Run: [RavMon] ; C:\Program Files\rising\rav\RavMon.exe
O4 - 启动项HKLM\\Run: [rfw] ; C:\Program Files\rising\Rfw\Rfw.exe
O4 - 启动项HKLM\\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe
O4 - 启动项HKLM\\Run: [DTService] rundll32.exe C:\WINDOWS\system32\dtservic.dll,Load
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\FireWall\PFW.exe
O4 - 启动项HKLM\\RunServices: [RavMon] ; C:\Program Files\rising\rav\RavMon.exe /AUTO
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - F:\Program Files\Thunder Network\Thunder\getAllurl.htm
O8 - IE右键菜单中的新增项目: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\PROGRA~1\FLASHGET\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\QQ2005\AddEmotion.htm
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124544947972
O17 - HKLM\System\CCS\Services\Tcpip\..\{65848296-4FBB-4757-B118-FA3CF665B453}: NameServer = 202.98.0.68 202.98.5.68
O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

sanadayukimura - 2005-9-3 15:04:00

【回复“戴维斯巫师”的帖子】
您遇到什么问题？能先说明一下吗？
建议修复：
O4 - 启动项HKLM\\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe
O4 - 启动项HKLM\\Run: [DTService] rundll32.exe C:\WINDOWS\system32\dtservic.dll,Load
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
删除：
C:\WINDOWS\etb文件夹
C:\WINDOWS\system32\dtservic.dll。

戴维斯巫师 - 2005-9-3 15:13:00

找不着这个文件夹，怎么办？

sanadayukimura - 2005-9-3 15:20:00

【回复“戴维斯巫师”的帖子】
显示隐藏文件和系统文件：
【原创】图说本版的一些基本操作第4楼。
http://forum.ikaka.com/topic.asp?board=67&artid=6789825。

戴维斯巫师 - 2005-9-3 15:26:00

我按楼上的方法做了，还是找不着，怎么办？

sanadayukimura - 2005-9-3 15:37:00

【回复“戴维斯巫师”的帖子】
问题解决了吗？不光要删除文件，好要修复项目，别忘了。

戴维斯巫师 - 2005-9-3 15:42:00

问题没有解决，找不到C:\WINDOWS\etb文件夹，而我已经显示了所有文件

戴维斯巫师 - 2005-9-3 15:54:00

现在还弹出一个英文警告窗口，怎么办？
日志：HijackThis_zww汉化版扫描日志 V1.99.1
保存于 15:52:27, 日期 2005-9-3
操作系统： Windows XP SP2 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINPENJR\Win32\pphidpad.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\etb\pokapoka63.exe
C:\Program Files\SkyNet\FireWall\PFW.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\new\LOCALS~1\Temp\Rar$EX01.138\HijackThis1991zww.exe

O4 - 启动项HKLM\\Run: [PPHIDPAD] C:\WINPENJR\Win32\pphidpad.exe
O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [RavTimer] ; C:\Program Files\rising\rav\RavTimer.exe
O4 - 启动项HKLM\\Run: [RavMon] ; C:\Program Files\rising\rav\RavMon.exe
O4 - 启动项HKLM\\Run: [rfw] ; C:\Program Files\rising\Rfw\Rfw.exe
O4 - 启动项HKLM\\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe
O4 - 启动项HKLM\\Run: [DTService] rundll32.exe C:\WINDOWS\system32\dtservic.dll,Load
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\FireWall\PFW.exe
O4 - 启动项HKLM\\RunServices: [RavMon] ; C:\Program Files\rising\rav\RavMon.exe /AUTO
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - F:\Program Files\Thunder Network\Thunder\getAllurl.htm
O8 - IE右键菜单中的新增项目: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\PROGRA~1\FLASHGET\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\QQ2005\AddEmotion.htm
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124544947972
O17 - HKLM\System\CCS\Services\Tcpip\..\{65848296-4FBB-4757-B118-FA3CF665B453}: NameServer = 202.98.0.68 202.98.5.68
O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

sanadayukimura - 2005-9-3 16:28:00

【回复“戴维斯巫师”的帖子】
终止进程：
C:\WINDOWS\etb\pokapoka63.exe
修复：
O4 - 启动项HKLM\\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe
O4 - 启动项HKLM\\Run: [DTService] rundll32.exe C:\WINDOWS\system32\dtservic.dll,Load
搜索：
C:\WINDOWS\etb
删除：
C:\WINDOWS\etb
C:\WINDOWS\system32\dtservic.dll。

戴维斯巫师 - 2005-9-3 17:28:00

修复之后重新启动还会有。现在进程里又多了一个可疑的项目
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 17:27:46, 日期 2005-9-3
操作系统： Windows XP SP2 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINPENJR\Win32\pphidpad.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\SkyNet\FireWall\PFW.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINDOWS\etb\pokapoka65.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\WINDOWS\system32\svchost.exe
C:\DOCUME~1\new\LOCALS~1\Temp\Rar$EX00.256\HijackThis1991zww.exe

O4 - 启动项HKLM\\Run: [PPHIDPAD] C:\WINPENJR\Win32\pphidpad.exe
O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [rfw] ; C:\Program Files\rising\Rfw\Rfw.exe
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\FireWall\PFW.exe
O4 - 启动项HKLM\\Run: [lsass] C:\windows\system32\eliteckj32.exe
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [DTService] rundll32.exe C:\WINDOWS\system32\dtservic.dll,Load
O4 - 启动项HKLM\\Run: [System service65] C:\WINDOWS\etb\pokapoka65.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - F:\Program Files\Thunder Network\Thunder\getAllurl.htm
O8 - IE右键菜单中的新增项目: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\PROGRA~1\FLASHGET\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\QQ2005\AddEmotion.htm
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124544947972
O17 - HKLM\System\CCS\Services\Tcpip\..\{65848296-4FBB-4757-B118-FA3CF665B453}: NameServer = 202.98.0.68 202.98.5.68
O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

飞跃迷离 - 2005-9-3 20:04:00

重新启动到安全模式（进入安全模式的方法:重新启动电脑, 开机自动检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式(Safe Mode)进入Windows。）

先终止下面的进程（关闭所有窗口，同时按下CTRL+ALT+DELETE，在打开的窗口中选中要终止的进程，然后按下“结束任务”或者“结束进程”，最后关闭该窗口。
C:\WINDOWS\etb\pokapoka65.exe

请关闭所有IE界面，重新使用HijackThis扫描一次，选中下面建议修复的项目，让HijackThis修复，修复前请允许HijackThis保留备份。（如果楼主知道是安全的可以不必勾选）
O4 - 启动项HKLM\\Run: [lsass] C:\windows\system32\eliteckj32.exe
O4 - 启动项HKLM\\Run: [DTService] rundll32.exe C:\WINDOWS\system32\dtservic.dll,Load
O4 - 启动项HKLM\\Run: [System service65] C:\WINDOWS\etb\pokapoka65.exe

然后打开我的电脑→再点工具→打开文件夹选项→查看→把隐藏受保护的系统文件（推荐）和隐藏已知文件类型的扩展名的勾去掉→再显示所有文件→找到以下文件并删除：
C:\windows\system32\eliteckj32.exe
C:\WINDOWS\system32\dtservic.dll
删除文件夹：C:\WINDOWS\etb

戴维斯巫师 - 2005-9-3 20:33:00

找不到文件夹C:\WINDOWS\etb怎么办？

飞跃迷离 - 2005-9-3 23:01:00

【回复“戴维斯巫师”的帖子】
您试试在安全模式下用killbox这个工具来删除
KillBox 的下载地址：http://forum.ikaka.com/topic.asp?board=67&artid=5188931

详细介绍请看这一帖——原创之转帖--介绍 KillBox@Qoo 的使用
http://forum.ikaka.com/topic.asp?board=28&artid=5454397

进入安全模式下删除：
C:\windows\system32\eliteckj32.exe
C:\WINDOWS\system32\dtservic.dll
C:\WINDOWS\etb\pokapoka65.exe

戴维斯巫师 - 2005-9-4 12:05:00

我按楼上的方法做了，麻烦看看还有什么毛病没有。
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 12:05:03, 日期 2005-9-4
操作系统： Windows XP SP2 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINPENJR\Win32\pphidpad.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\SkyNet\FireWall\PFW.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\WINDOWS\system32\svchost.exe
C:\DOCUME~1\new\LOCALS~1\Temp\Rar$EX00.007\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
O4 - 启动项HKLM\\Run: [PPHIDPAD] C:\WINPENJR\Win32\pphidpad.exe
O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [rfw] ; C:\Program Files\rising\Rfw\Rfw.exe
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\FireWall\PFW.exe
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [C-Media Speaker Configuration] ; G:\Sound\sound\1060100000200\WIN2K_XP\Setup.exe /SPEAKER
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - F:\Program Files\Thunder Network\Thunder\getAllurl.htm
O8 - IE右键菜单中的新增项目: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\PROGRA~1\FLASHGET\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\PROGRA~1\FLASHGET\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\QQ2005\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用比特精灵下载(&B) - F:\Program Files\BitSpirit\bsurl.htm
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1124544947972
O17 - HKLM\System\CCS\Services\Tcpip\..\{65848296-4FBB-4757-B118-FA3CF665B453}: NameServer = 202.98.0.68 202.98.5.68
O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

瑞星卡卡安全论坛