瑞星卡卡安全论坛

New.net Startup 一个Spyware间谍软件，请使用杀毒软件查杀。
这是在我的电脑启动项里面多出来一个这
用瑞星和Spybot - Search & Destroy都没办法清除～
扫描了一个大家看看
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      19:55:28, 日期 2005-10-19
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\软件工具\RISING\RAV\Ravmond.exe
e:\软件工具\rising\rfw\rfwsrv.exe
E:\软件工具\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
E:\软件工具\RISING\RAV\CCENTER.EXE
C:\WINDOWS\Explorer.EXE
e:\软件工具\rising\rfw\RfwMain.exe
E:\软件工具\RISING\RAV\RAVTIMER.EXE
E:\软件工具\RISING\RAV\RAVMON.EXE
C:\WINDOWS\system32\rundll32.exe
E:\软件工具\BitComet\BitComet.exe
C:\WINDOWS\autoclk.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.032\HijackThis1991zww.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F}? - (no file)
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B}? - (no file)
O3 - IE工具栏增项: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [RavTimer] E:\软件工具\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] E:\软件工具\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O8 - IE右键菜单中的新增项目: !搜一搜 - res://C:\WINDOWS\downlo~1\CnsMinEx.dll/1003
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\绿色软件\网际快车(FlashGet) v1.65 美化特别版\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\绿色软件\网际快车(FlashGet) v1.65 美化特别版\jc_all.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O17 - HKLM\System\CCS\Services\Tcpip\..\{F84E7444-C2F7-4405-9BFC-487C54B6AF24}: NameServer = 202.99.192.68 202.99.192.66
O23 - NT 服务: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - e:\软件工具\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - E:\软件工具\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\软件工具\RISING\RAV\Ravmond.exe

启动项报告：      2005-10-19, 20:02:08
启动项扫描器版本： 1.52.2
开始于：      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX01.359\HijackThis1991zww.EXE
系统检测：    Windows XP SP2 (WinNT 5.01.2600)
系统检测：    Internet Explorer v6.00 SP2 (6.00.2900.2180)
* 使用默认选项             
==================================================

当前运行的进程：         

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\软件工具\RISING\RAV\Ravmond.exe
e:\软件工具\rising\rfw\rfwsrv.exe
E:\软件工具\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
E:\软件工具\RISING\RAV\CCENTER.EXE
C:\WINDOWS\Explorer.EXE
e:\软件工具\rising\rfw\RfwMain.exe
E:\软件工具\RISING\RAV\RAVTIMER.EXE
E:\软件工具\RISING\RAV\RAVMON.EXE
C:\WINDOWS\system32\rundll32.exe
E:\软件工具\BitComet\BitComet.exe
C:\WINDOWS\autoclk.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX01.359\HijackThis1991zww.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\Userinit.exe,

--------------------------------------------------

注册表中的启动项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

KernelFaultCheck = %systemroot%\system32\dumprep 0 -k
RavTimer = E:\软件工具\RISING\RAV\RAVTIMER.EXE
RavMon = E:\软件工具\RISING\RAV\RAVMON.EXE -SYSTEM
New.net Startup = rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s

--------------------------------------------------

修复:
O4 - 启动项HKLM\\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F}? - (no file)
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B}? - (no file)

New.net Startup = rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
就这项是间谍软件

O4 - 启动项HKLM\\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
这个修复了下次扫描还有啊

O23 - NT 服务: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
这项是什么 原来没有的