xp开机后十几秒后就从新启动 bbs.ikaka.com

lianglong - 2005-11-4 18:39:00

这是我在安全模示下做的.请看看

HijackThis_zww汉化版扫描日志 V1.99.1
保存于 17:37:48, 日期 2005-11-4
操作系统： Windows XP SP1 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\tools\hijackthis 1.99.1 汉化第二版\hijackthisV1.99.1.exe
C:\Program Files\HijackThis1991汉化版\HijackThis1991zww.exe

R3 - URLSearchHook: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - (no file)
R3 - URLSearchHook: assist - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRA~1\3721\assist\assist.dll
R3 - URLSearchHook: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\assist\asbar.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CONFLICT.13\CnsHook.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - 启动项HKLM\\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
O4 - 启动项HKLM\\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - 启动项HKLM\\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - 启动项HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - 启动项HKLM\\Run: [StatusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - 启动项HKLM\\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera
O4 - 启动项HKLM\\Run: [ExFilter] Rundll32.exe C:\WINDOWS\System32\hookdll.dll,ExecFilter solo
O4 - 启动项HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CONFLICT.13\CnsMin.dll,Rundll32
O4 - 启动项HKLM\\Run: [MS Unix Binary] msmq2inst.exe
O4 - 启动项HKLM\\Run: [ETB Tester] etbtest.exe
O4 - 启动项HKLM\\Run: [WFFT Test] wffttest.exe
O4 - 启动项HKLM\\Run: [Win32 Test] bleatest.exe
O4 - 启动项HKLM\\Run: [RNDc Test] wf32b.exe
O4 - 启动项HKLM\\Run: [RNBz Test] wf32vbc.exe
O4 - 启动项HKLM\\Run: [WinZap Check] winzaap.exe
O4 - 启动项HKLM\\Run: [Microsoft SDKb] mswinsdl.exe
O4 - 启动项HKLM\\Run: [SVC Service] svc32.pif
O4 - 启动项HKLM\\Run: [System service79] C:\WINDOWS\etb\pokapoka79.exe
O4 - 启动项HKLM\\RunServices: [MS Unix Binary] msmq2inst.exe
O4 - 启动项HKLM\\RunServices: [ETB Tester] etbtest.exe
O4 - 启动项HKLM\\RunServices: [WFFT Test] wffttest.exe
O4 - 启动项HKLM\\RunServices: [Win32 Test] bleatest.exe
O4 - 启动项HKLM\\RunServices: [RNDc Test] wf32b.exe
O4 - 启动项HKLM\\RunServices: [RNBz Test] wf32vbc.exe
O4 - 启动项HKLM\\RunServices: [WinZap Check] winzaap.exe
O4 - 启动项HKLM\\RunServices: [Microsoft SDKb] mswinsdl.exe
O4 - 启动项HKLM\\RunServices: [SVC Service] svc32.pif
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MS Unix Binary] msmq2inst.exe
O4 - HKCU\..\Run: [ETB Tester] etbtest.exe
O4 - HKCU\..\Run: [WFFT Test] wffttest.exe
O4 - HKCU\..\Run: [Win32 Test] bleatest.exe
O4 - HKCU\..\Run: [RNDc Test] wf32b.exe
O4 - HKCU\..\Run: [RNBz Test] wf32vbc.exe
O4 - HKCU\..\Run: [WinZap Check] winzaap.exe
O4 - HKCU\..\Run: [Microsoft SDKb] mswinsdl.exe
O4 - HKCU\..\Run: [SVC Service] svc32.pif
O4 - 启动项HKCU\\RunServices: [SVC Service] svc32.pif
O8 - IE右键菜单中的新增项目: 收藏此页到ViVi - http://vivi.sina.com.cn/collect/click.php?agent=ddt
O8 - IE右键菜单中的新增项目: 新浪搜索 - http://cha.sina.com.cn/ddt.html
O9 - 浏览器额外的按钮: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm?pid=U_fepa_79377 (file missing)
O9 - 浏览器额外的按钮: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - 浏览器额外的按钮: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://hot.3721.com/rd/shop_btn.htm (file missing)
O9 - 浏览器额外的按钮: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\System32\shdocvw.dll
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\System32\shdocvw.dll
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O11 - Options group: [!CNS] 上网助手-地址栏搜索
O17 - HKLM\System\CCS\Services\Tcpip\..\{B616B0BB-01CE-49E0-80AF-D1A484C6D3C2}: NameServer = 134.103.66.129
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - NT 服务: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - NT 服务: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - NT 服务: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - NT 服务: Norton AntiVirus 自动防护服务 (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - NT 服务: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE
O23 - NT 服务: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - NT 服务: Remote Administrator Service (r_server) - Unknown owner - E:\新建文件夹\radmin3.2\r_server.exe" /service (file missing)
O23 - NT 服务: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - NT 服务: serviceMangr (tcphost.exe) - Unknown owner - C:\WINDOWS\tcphost.exe
O23 - NT 服务: WindowsSysBoot - Unknown owner - C:\WINDOWS\winsysnet.exe

飞跃迷离 - 2005-11-4 19:16:00

重新启动到安全模式（进入安全模式的方法:重新启动电脑, 开机自动检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式(Safe Mode)进入Windows。）

开始→控制面板→性能和维护→管理工具→服务→查找: Remote Administrator Service、serviceMangr、WindowsSysBoot→右击→属性→启动类型→禁止→应用→停止→确定。

请关闭所有IE界面，重新使用HijackThis扫描一次，选中下面建议修复的项目，让HijackThis修复，修复前请允许HijackThis保留备份。（如果楼主知道是安全的可以不必勾选）
R3 - URLSearchHook: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - (no file)
O4 - 启动项HKLM\\Run: [MS Unix Binary] msmq2inst.exe
O4 - 启动项HKLM\\Run: [ETB Tester] etbtest.exe
O4 - 启动项HKLM\\Run: [WFFT Test] wffttest.exe
O4 - 启动项HKLM\\Run: [Win32 Test] bleatest.exe
O4 - 启动项HKLM\\Run: [RNDc Test] wf32b.exe
O4 - 启动项HKLM\\Run: [RNBz Test] wf32vbc.exe
O4 - 启动项HKLM\\Run: [WinZap Check] winzaap.exe
O4 - 启动项HKLM\\Run: [Microsoft SDKb] mswinsdl.exe
O4 - 启动项HKLM\\Run: [SVC Service] svc32.pif
O4 - 启动项HKLM\\RunServices: [MS Unix Binary] msmq2inst.exe
O4 - 启动项HKLM\\RunServices: [ETB Tester] etbtest.exe
O4 - 启动项HKLM\\RunServices: [WFFT Test] wffttest.exe
O4 - 启动项HKLM\\RunServices: [Win32 Test] bleatest.exe
O4 - 启动项HKLM\\RunServices: [RNDc Test] wf32b.exe
O4 - 启动项HKLM\\RunServices: [RNBz Test] wf32vbc.exe
O4 - 启动项HKLM\\RunServices: [WinZap Check] winzaap.exe
O4 - 启动项HKLM\\RunServices: [Microsoft SDKb] mswinsdl.exe
O4 - 启动项HKLM\\RunServices: [SVC Service] svc32.pif
O4 - HKCU\..\Run: [MS Unix Binary] msmq2inst.exe
O4 - HKCU\..\Run: [ETB Tester] etbtest.exe
O4 - HKCU\..\Run: [WFFT Test] wffttest.exe
O4 - HKCU\..\Run: [Win32 Test] bleatest.exe
O4 - HKCU\..\Run: [RNDc Test] wf32b.exe
O4 - HKCU\..\Run: [RNBz Test] wf32vbc.exe
O4 - HKCU\..\Run: [WinZap Check] winzaap.exe
O4 - HKCU\..\Run: [Microsoft SDKb] mswinsdl.exe
O4 - HKCU\..\Run: [SVC Service] svc32.pif
O4 - 启动项HKCU\\RunServices: [SVC Service] svc32.pif
O23 - NT 服务: Remote Administrator Service (r_server) - Unknown owner - E:\新建文件夹\radmin3.2\r_server.exe" /service (file missing)
O23 - NT 服务: serviceMangr (tcphost.exe) - Unknown owner - C:\WINDOWS\tcphost.exe
O23 - NT 服务: WindowsSysBoot - Unknown owner - C:\WINDOWS\winsysnet.exe

然后打开我的电脑→再点工具→打开文件夹选项→查看→把隐藏受保护的系统文件（推荐）和隐藏已知文件类型的扩展名的勾去掉→再显示所有文件→找到以下文件并删除：(如果有的话)
msmq2inst.exe（请用开始菜单中的搜索功能查找）
etbtest.exe（请用开始菜单中的搜索功能查找）
wffttest.exe（请用开始菜单中的搜索功能查找）
bleatest.exe（请用开始菜单中的搜索功能查找）
wf32b.exe（请用开始菜单中的搜索功能查找）
wf32vbc.exe（请用开始菜单中的搜索功能查找）
winzaap.exe（请用开始菜单中的搜索功能查找）
mswinsdl.exe（请用开始菜单中的搜索功能查找）
svc32.pif（请用开始菜单中的搜索功能查找）
C:\WINDOWS\tcphost.exe
C:\WINDOWS\winsysnet.exe

O4 - 启动项HKLM\\Run: [System service79] C:\WINDOWS\etb\pokapoka79.exe
请参考：
http://www.anti-vir.cn/bbs/htm_data/12/0508/777.html

lianglong - 2005-11-5 10:36:00

还是好样子，还有什么好法吗？我看怎么有的修复不了。
请各位大大在看看。

HijackThis_zww汉化版扫描日志 V1.99.1
保存于 10:31:53, 日期 2005-11-5
操作系统： Windows XP SP1 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HijackThis1991汉化版\HijackThis1991zww.exe

R3 - URLSearchHook: assist - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRA~1\3721\assist\assist.dll
R3 - URLSearchHook: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\assist\asbar.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CONFLICT.13\CnsHook.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - 启动项HKLM\\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
O4 - 启动项HKLM\\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - 启动项HKLM\\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - 启动项HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - 启动项HKLM\\Run: [StatusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - 启动项HKLM\\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera
O4 - 启动项HKLM\\Run: [ExFilter] Rundll32.exe C:\WINDOWS\System32\hookdll.dll,ExecFilter solo
O4 - 启动项HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CONFLICT.13\CnsMin.dll,Rundll32
O4 - 启动项HKLM\\Run: [System service79] C:\WINDOWS\\\etb\\pokapoka79.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - 启动项HKCU\\RunServices: [SVC Service] svc32.pif
O8 - IE右键菜单中的新增项目: 收藏此页到ViVi - http://vivi.sina.com.cn/collect/click.php?agent=ddt
O8 - IE右键菜单中的新增项目: 新浪搜索 - http://cha.sina.com.cn/ddt.html
O9 - 浏览器额外的按钮: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm?pid=U_fepa_79377 (file missing)
O9 - 浏览器额外的按钮: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - 浏览器额外的按钮: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://hot.3721.com/rd/shop_btn.htm (file missing)
O9 - 浏览器额外的按钮: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\System32\shdocvw.dll
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\System32\shdocvw.dll
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O11 - Options group: [!CNS] 上网助手-地址栏搜索
O17 - HKLM\System\CCS\Services\Tcpip\..\{B616B0BB-01CE-49E0-80AF-D1A484C6D3C2}: NameServer = 134.103.66.129
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - NT 服务: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - NT 服务: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - NT 服务: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - NT 服务: Norton AntiVirus 自动防护服务 (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - NT 服务: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE
O23 - NT 服务: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - NT 服务: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

瑞星卡卡安全论坛