瑞星卡卡安全论坛

我的IE为空白每次点IE它都会出来，用收藏夹就没事

建议您下载并使用HijackThis1.99.1

HijackThis下载地址请参考：
【必读】本版说明及常用小软件下载
http://forum.ikaka.com/topic.asp?board=67&artid=5188931

HijackThis的使用方法-----请参考--瑞星HijackThis专题
http://it.rising.com.cn/newSite/Channels/anti_virus/Antivirus_Faq/TopicExplorerPagePackage/hijackthis.htm

运行HijackThis，先点[扫描]或[Scan]按钮，扫描完成后，[扫描]或[Scan]按钮会变为[保存Log]或[Save Log]按钮，点击它，LOG将会在记事本中显示，再从记事本里复制/粘贴到贴子里。
如果LOG比较长，一贴发不完，你可以分成几个部分发在回贴里。

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      21:24:55, 日期 12/3/05
操作系统：  Windows 98 SE (Win9x 4.10.2222A)
浏览器：    Internet Explorer v5.00 (5.00.2614.3500)

当前运行的进程：         
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\RISING\RAV\RAVMON.EXE
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\PROGRAM FILES\RISING\RAV\RAVMOND.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAM FILES\RISING\RAV\RAVTIMER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAM FILES\COMMON FILES\FILSECLAB\FILMSG.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\DESKTOP\FTC\TROJANWALL.EXE
C:\WINDOWS\DESKTOP\FTC\NEWSCANDRIVE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\HIJACKTHIS1991ZWW.EXE

R3 - URLSearchHook: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - (no file)
O3 - IE工具栏增项: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\SYSTEM\KAKATOOL.DLL
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [SystemTray] systray.exe
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [internat.exe] internat.exe
O4 - 启动项HKLM\\Run: [Windows木马防火墙] C:\WINDOWS\DESKTOP\FTC\TROJANWALL.EXE
O4 - 启动项HKLM\\RunServices: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\RunServices: [RsCcenter] C:\PROGRA~1\RISING\RAV\CCENTER.EXE
O4 - 启动项HKLM\\RunServices: [RavMond] C:\PROGRA~1\RISING\RAV\RAVMOND.EXE
O4 - Startup: 费尔消息服务.lnk = C:\Program Files\Common Files\Filseclab\FilMsg.exe
O4 - User Startup: 费尔消息服务.lnk = C:\Program Files\Common Files\Filseclab\FilMsg.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\PROGRAM FILES\THUNDER NETWORK\THUNDER\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\PROGRAM FILES\THUNDER NETWORK\THUNDER\getallurl.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\PROGRAM FILES\QQLITE\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\PROGRAM FILES\QQLITE\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\PROGRAM FILES\QQLITE\SendMMS.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\下载软件\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\下载软件\jc_all.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {9BDBC41E-C335-4263-83C0-ECE78EE28A33} (SysMonOCX Control) - http://origin-www.ahn.com.cn/aspservice/plugin/myfirewall20.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 219.150.32.132,202.97.224.68,210.46.80.1

还有我用费尔查出来的病毒
backdoor.hupigon.jn.ut.dll
mhtmlredir.exploit.c
script.htmlstring.encode
chm.exefile.container.s
谢谢老大帮忙看下

请把病毒的完整路径贴上来...

你好
因为我用的费尔没有注册，不提供病毒路经
DateVirus NameVirus TypeUserFilenameScan Type
11/30/2005 17:19Adware.WSearch.a.xq广告程序Default0.(未注册)Manual scan
11/25/2005 10:17Backdoor.Hupigon.jn.ut.dll木马Default3.(未注册)Manual scan
11/25/2005 10:14MHTMLRedir.Exploit.C病毒Default2.(未注册)Manual scan
11/25/2005 10:13Script.HtmlString.Encode病毒Default1.(未注册)Manual scan
11/25/2005 10:13Chm.Exefile.Container.S病毒Default0.(未注册)Manual scan
11/24/2005 12:40注册表监控错误的类型DefaultHKEY_CLASSES_ROOT\inffile\shell\open\command[]=Notepad %1Realtime scan
11/24/2005 12:40注册表监控错误的类型DefaultHKEY_CLASSES_ROOT\inifile\shell\open\command[]=Notepad %1Realtime scan
11/24/2005 12:40注册表监控错误的类型DefaultHKEY_CLASSES_ROOT\txtfile\shell\open\command[]=Notepad %1Realtime scan

您用的不是有瑞星吗？

怎么搞的？

【回复“db828”的帖子】
用SREng把日志扫上来.
下载:konce.ys168.com

各位
用瑞星没查出来呀，才用的费尔。
HijackThis_zww扫描日志
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      10:32:31, 日期 12/5/05
操作系统：  Windows 98 SE (Win9x 4.10.2222A)
浏览器：    Internet Explorer v5.00 (5.00.2614.3500)

当前运行的进程：         
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\RISING\RAV\RAVMON.EXE
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\PROGRAM FILES\RISING\RAV\RAVMOND.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAM FILES\RISING\RAV\RAVTIMER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAM FILES\COMMON FILES\FILSECLAB\FILMSG.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\HIJACKTHIS1991ZWW.EXE

R3 - URLSearchHook: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - (no file)
O3 - IE工具栏增项: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\SYSTEM\KAKATOOL.DLL
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [SystemTray] systray.exe
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [internat.exe] internat.exe
O4 - 启动项HKLM\\Run: [Windows木马防火墙] C:\WINDOWS\DESKTOP\FTC\TROJANWALL.EXE
O4 - 启动项HKLM\\RunServices: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\RunServices: [RsCcenter] C:\PROGRA~1\RISING\RAV\CCENTER.EXE
O4 - 启动项HKLM\\RunServices: [RavMond] C:\PROGRA~1\RISING\RAV\RAVMOND.EXE
O4 - Startup: 费尔消息服务.lnk = C:\Program Files\Common Files\Filseclab\FilMsg.exe
O4 - User Startup: 费尔消息服务.lnk = C:\Program Files\Common Files\Filseclab\FilMsg.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\PROGRAM FILES\THUNDER NETWORK\THUNDER\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\PROGRAM FILES\THUNDER NETWORK\THUNDER\getallurl.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\PROGRAM FILES\QQLITE\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\PROGRAM FILES\QQLITE\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\PROGRAM FILES\QQLITE\SendMMS.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\下载软件\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\下载软件\jc_all.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {9BDBC41E-C335-4263-83C0-ECE78EE28A33} (SysMonOCX Control) - http://origin-www.ahn.com.cn/aspservice/plugin/myfirewall20.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 219.150.32.132,202.97.224.68,210.46.80.1

引用:

【花落花又开的贴子】【回复“db828”的帖子】 用SREng把日志扫上来. 下载:konce.ys168.com...........................

没023项吗？

【回复“6825cc”的帖子】
对于98与ME系统HijackThis显示不出来023项的

版主http://rsrmsos.ys168.com你的空间我去了，打不开常用安全小工具
正在读取数据……

网上搜索一下也可以找到。

版主请看2005-12-06,08:41:49

System Repair Engineer 1.1.0.269
    Windows 98 Second Edition

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <load><>
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <run><>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <RavTimer><C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <RavMon><C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <SystemTray><systray.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <internat.exe><internat.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <Windows木马防火墙><C:\WINDOWS\DESKTOP\FTC\TROJANWALL.EXE>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <PowerMon><C:\WINDOWS\TEMP\RARSFX0\OK.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
  <RavMon><C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
  <RsCcenter><C:\PROGRA~1\RISING\RAV\CCENTER.EXE>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
  <RavMond><C:\PROGRA~1\RISING\RAV\RAVMOND.EXE>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <shell><Explorer.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <AppInit_DLLs><>

==================================
启动文件夹
[费尔消息服务]
  <C:\WINDOWS\Start Menu\Programs\启动\费尔消息服务.lnk><N>

==================================
服务

==================================
浏览器加载项
[SysMonOCX Control]
  <C:\WINDOWS\DOWNLO~1\SYSMON~1.OCX>
[Shockwave Flash Object]
  <C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX>
[Rising Web Scan Object]
  <C:\WINDOWS\DOWNLOADED PROGRAM FILES\OL2005.DLL>
[Ravonline]
  <C:\WINDOWS\DOWNLOADED PROGRAM FILES\RSONLINE.DLL>
[&使用迅雷下载]
  <C:\PROGRAM FILES\THUNDER NETWORK\THUNDER\geturl.htm>
[&使用迅雷下载全部链接]
  <C:\PROGRAM FILES\THUNDER NETWORK\THUNDER\getallurl.htm>
[添加到QQ自定义面板]
  <C:\PROGRAM FILES\QQLITE\AddPanel.htm>
[添加到QQ表情]
  <C:\PROGRAM FILES\QQLITE\AddEmotion.htm>
[用QQ彩信发送该图片]
  <C:\PROGRAM FILES\QQLITE\SendMMS.htm>
[使用网际快车下载]
  <C:\下载软件\jc_link.htm>
[使用网际快车下载全部链接]
  <C:\下载软件\jc_all.htm>

==================================
正在运行的进程
[PID: 4294966471][C:\WINDOWS\SYSTEM\MPREXE.EXE]  <Microsoft Corporation><4.10.1998>
    [C:\PROGRAM FILES\RISING\RAV\RSCOMMON.DLL]  <Beijing Rising Technology Co., Ltd.><17, 0, 0, 17>
    [C:\PROGRAM FILES\RISING\RAV\PNGDLL.DLL]  <Rising><17, 0, 0, 2>
    [C:\PROGRAM FILES\RISING\RAV\RSCOMMX.DLL]  <rising><17, 0, 0, 3>
    [C:\PROGRAM FILES\RISING\RAV\CFGDLL.DLL]  <rising><17, 0, 0, 60>
    [C:\PROGRAM FILES\RISING\RAV\RSAPPMGR.DLL]  <Rising Corp.><17, 0, 0, 7>
[PID: 4294849155][C:\PROGRAM FILES\RISING\RAV\RAVMON.EXE]  <Beijing Rising Technology Co., Ltd.><17, 0, 1, 37>
    [C:\PROGRAM FILES\RISING\RAV\RSGUILIB.DLL]  <Beijing Rising Technology Co., Ltd.><17, 0, 0, 40>
[PID: 4294858943][C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE]  <rising><17, 0, 0, 1>
    [C:\PROGRAM FILES\RISING\RAV\UNPACKER.DLL]  <rising><17, 0, 0, 19>
    [C:\PROGRAM FILES\RISING\RAV\SCANEXEC.DLL]  <N/A><17, 0, 0, 21>
    [C:\PROGRAM FILES\RISING\RAV\SCANSCT.DLL]  <rising><17, 0, 0, 31>
    [C:\PROGRAM FILES\RISING\RAV\SCANMAC.DLL]  <rising><17, 0, 0, 19>
    [C:\PROGRAM FILES\RISING\RAV\NVFILE.DLL]  <瑞星><17, 0, 0, 13>
    [C:\PROGRAM FILES\RISING\RAV\POSTTRT.DLL]  <Rising><17, 0, 0, 21>
    [C:\PROGRAM FILES\RISING\RAV\SCANEX.DLL]  <Rising><17, 0, 0, 33>
    [C:\PROGRAM FILES\RISING\RAV\HOOKWEB.DLL]  <rising><17, 0, 0, 4>
    [C:\PROGRAM FILES\RISING\RAV\REGMON.DLL]  < ><17, 0, 0, 12>
    [C:\PROGRAM FILES\RISING\RAV\MEMMON.DLL]  <北京瑞星><17, 8, 0, 0>
    [C:\PROGRAM FILES\RISING\RAV\UNEXE.DLL]  <Rising><17, 0, 0, 27>
    [C:\PROGRAM FILES\RISING\RAV\ENGINE.DLL]  <rising><17, 0, 0, 40>
    [C:\PROGRAM FILES\RISING\RAV\SPAMENG.DLL]  <><17, 0, 0, 7>
    [C:\PROGRAM FILES\RISING\RAV\MAILMON.DLL]  < ><17, 0, 0, 9>
    [C:\PROGRAM FILES\RISING\RAV\VIRUSLIB.DLL]  <Rising><17, 0, 0, 26>
    [C:\PROGRAM FILES\RISING\RAV\LIBLOAD.DLL]  <Rising><17, 0, 0, 14>
    [C:\PROGRAM FILES\RISING\RAV\RSCOMMON.DLL]  <Beijing Rising Technology Co., Ltd.><17, 0, 0, 17>
    [C:\PROGRAM FILES\RISING\RAV\SCANNER.DLL]  <Rising><17, 0, 0, 43>
    [C:\PROGRAM FILES\RISING\RAV\CFGDLL.DLL]  <rising><17, 0, 0, 60>
    [C:\PROGRAM FILES\RISING\RAV\RSAPPMGR.DLL]  <Rising Corp.><17, 0, 0, 7>
    [C:\PROGRAM FILES\RISING\RAV\RSCOMMX.DLL]  <rising><17, 0, 0, 3>
[PID: 4294854891][C:\PROGRAM FILES\RISING\RAV\RAVMOND.EXE]  <Beijing Rising Technology Co., Ltd.><17, 0, 1, 57>
    [C:\PROGRAM FILES\RISING\RAV\GUIDLL.DLL]  <rising><17, 0, 0, 13>
    [C:\PROGRAM FILES\TOSHIBA\SPANWORKS 2000\SPSHLEXT.DLL]  <TOSHIBA Corporation><1, 1, 1, 3>
    [C:\PROGRAM FILES\WINRAR\RAREXT.DLL]  <N/A><N/A>
    [C:\PROGRAM FILES\3721\SKE\CONTMENU.DLL]  <N/A><N/A>
    [C:\WINDOWS\SYSTEM\RAVEXT.DLL]  <Beijing Rising Technology Co., Ltd.><17, 0, 0, 8>
    [C:\WINDOWS\DESKTOP\FTC\COMMENU.DLL]  <Fygsoft and Microsoft><2.0.0.0>
    [C:\PROGRAM FILES\FILSECLAB\TWISTER\TWSHLEXT.DLL]  <FILSECLAB Corp.><1, 0, 1, 935>
    [C:\WINDOWS\SYSTEM\DHCPCSVC.DLL]  <N/A><N/A>
    [C:\WINDOWS\SYSTEM\NETBIOS.DLL]  <N/A><N/A>
[PID: 4294786927][C:\WINDOWS\EXPLORER.EXE]  <Microsoft Corporation><4.72.3110.1>
    [C:\WINDOWS\SYSTEM\NETBIOS.DLL]  <N/A><N/A>
[PID: 4294791375][C:\WINDOWS\SYSTEM\RPCSS.EXE]  <Microsoft Corporation><4.71.2900>
    [C:\PROGRAM FILES\RISING\RAV\RSCOMMX.DLL]  <rising><17, 0, 0, 3>
    [C:\PROGRAM FILES\RISING\RAV\CFGDLL.DLL]  <rising><17, 0, 0, 60>
    [C:\PROGRAM FILES\RISING\RAV\RSAPPMGR.DLL]  <Rising Corp.><17, 0, 0, 7>
    [C:\PROGRAM FILES\RISING\RAV\RSCOMMON.DLL]  <Beijing Rising Technology Co., Ltd.><17, 0, 0, 17>
[PID: 4294731599][C:\PROGRAM FILES\RISING\RAV\RAVTIMER.EXE]  <Beijing Rising Technology Co., Ltd.><17, 0, 0, 39>
[PID: 4294744371][C:\WINDOWS\SYSTEM\SYSTRAY.EXE]  <Microsoft Corporation><4.10.2222>
[PID: 4294763879][C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE]  <RealNetworks, Inc.><0.1.0.3292>
[PID: 4294757371][C:\WINDOWS\SYSTEM\INTERNAT.EXE]  <Microsoft Corporation><4.10.2222>
[PID: 4294664823][C:\PROGRAM FILES\COMMON FILES\FILSECLAB\FILMSG.EXE]  <费尔安全实验室><3, 1, 0, 927>
[PID: 4294619939][C:\WINDOWS\SYSTEM\WMIEXE.EXE]  <Microsoft Corporation><5.00.1755.1>
    [C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX]  <Macromedia, Inc.><6,0,79,0>
    [C:\WINDOWS\SYSTEM\NETBIOS.DLL]  <N/A><N/A>
    [C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WEB FOLDERS\MSONSEXT.DLL]  <><>
[PID: 4294627307][C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE]  <Microsoft Corporation><5.00.2614.3500>
    [C:\WINDOWS\SYSTEM\NVDD32.DLL]  <NVidia Corporation><4.12.01.0797>
    [C:\WINDOWS\SYSTEM\NVARCH32.DLL]  <NVidia Corporation><4.12.01.0797>
[PID: 4294527095][C:\WINDOWS\SYSTEM\DDHELP.EXE]  <Microsoft Corporation><4.08.01.0881>
[PID: 4294756995][C:\WINDOWS\SYSTEM\PSTORES.EXE]  <Microsoft Corporation><5.00.1877.3>
    [C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WEB FOLDERS\MSONSEXT.DLL]  <><>
[PID: 4294640563][C:\WINDOWS\TEMP\RAR$EX00.756\SRENG9X.EXE]  <Smallfrogs Studio><1.1.0.269>

==================================
文件关联
.TXT  OK. [C:\WINDOWS\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [C:\WINDOWS\winhlp32.exe %1]
.INI  OK. [C:\WINDOWS\NOTEPAD.EXE %1]
.INF  OK. [C:\WINDOWS\NOTEPAD.EXE %1]

==================================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<PowerMon><C:\WINDOWS\TEMP\RARSFX0\OK.exe>

展开注册表找到这一项，删除

并删除文件
C:\WINDOWS\TEMP\RARSFX0\OK.exe

你好斑主
C:\WINDOWS\TEMP\RARSFX0里没有OK.exe文件
在次请教

您是否显示了隐藏文件？

是的，在文件夹选项显示所有文件

RARSFX0的文件夹里有Group和hide.dll两个文件,可否删除,还是把整个文件夹删除。谢谢

把RARSFX0这个文件夹全部删了！这个不是个好东西！

可以？

建议您用KillBox来删除看看

KillBox 的下载地址：http://forum.ikaka.com/topic.asp?board=67&artid=5188931

详细介绍请看这一帖——原创之转帖--介绍 KillBox@Qoo 的使用
http://forum.ikaka.com/topic.asp?board=28&artid=5454397

下载KILL了 用它删除什么文件？

填上C:\WINDOWS\TEMP\RARSFX0\OK.exe

有没有文件，您就知道了。

没找到些文件 不存在或已删除
哈哈谢谢

能否在帮忙看下这个谢先

ProcessPIDCPUDescriptionCompany Name
CCENTER.EXE0xFFFE451FCCenterrising
RPCSS.EXE0xFFFD75C7Distributed COM ServicesMicrosoft Corporation
INTERNAT.EXE0xFFFCD617Keyboard Language Indicator AppletMicrosoft Corporation
DDHELP.EXE0xFFF98433Microsoft DirectX HelperMicrosoft Corporation
IEXPLORE.EXE0xFFFAA8EFMicrosoft Internet ExplorerMicrosoft Corporation
IEXPLORE.EXE0xFFFA623B9.52Microsoft Internet ExplorerMicrosoft Corporation
mmtask.tsk0xFFFEEC8FMultimedia background task support moduleMicrosoft Corporation
PSTORES.EXE0xFFF9E04BProtected storage serverMicrosoft Corporation
QQ.EXE0xFFF6B55B0.73QQTENCENT
RAVMOND.EXE0xFFFE55C70.63RavMonBeijing Rising Technology Co., Ltd.
RAVMON.EXE0xFFFE2F231.36RavMon Rising realtime monitor Beijing Rising Technology Co., Ltd.
RAVTIMER.EXE0xFFFC422F0.18RavTimerBeijing Rising Technology Co., Ltd.
REALSCHED.EXE0xFFFCF703RealNetworks SchedulerRealNetworks, Inc.
PROCEXP.EXE0xFFFA76EB6.17Sysinternals Process ExplorerSysinternals
Idle0x079.87System Idle Process
SYSTRAY.EXE0xFFFCA40FSystem Tray AppletMicrosoft Corporation
TIMPLATFORM.EXE0xFFF51B43TIMPlatformtencent
KERNEL32.DLL0xFF0F5E270.82Win32 Kernel core componentMicrosoft Corporation
MPREXE.EXE0xFFFFE167WIN32 Network Interface Service ProcessMicrosoft Corporation
MSGSRV32.EXE0xFFFF9337Windows 32-bit VxD Message ServerMicrosoft Corporation
EXPLORER.EXE0xFFFECB8F0.09Windows ExplorerMicrosoft Corporation
WMIEXE.EXE0xFFFBD093WMI service exe housingMicrosoft Corporation
FILMSG.EXE0xFFFB3F1B0.09费尔消息服务费尔安全实验室
FASTAIT.EXE0xFFF4EA4F0.54金山快译 2005金山软件股份有限公司

Process: TIMPLATFORM.EXE Pid: FFF51B43

TypeName
EventRPCSS_Initialized_Successfully
MappedFilefileAllocatorMutex
MappedFileDCOMSharedGlobals12321
MappedFilefileAllocatorMutex
MappedFilerpcrt4sharedmem
MutexOLESCMSRVREGLISTMUTEX
MutexOLESCMGETHANDLEMUTEX
MutexOLESCMROTMUTEX
MutexOleDfSharedMemoryMutex
MutexScmWIPMutex
Mutex{423319D9-FF97-429a-B049-D5FD6168C647}
MutexObjectResolverGlobalMutex
MutexMicrosoft RPC UUID Mutex
MutexOLESCMLOCKMUTEX
MutexOleCoSharedStateMtx
ProcessTIMPLATFORM.EXE(FFF51B43)
SemaphoreDocfileAllocatorMutex
SemaphoreDocfileAllocatorMutex

有什么问题吗？

我也不知道呀这是才扫的
好象还有病毒，前几天用费尔查的这几个

backdoor.hupigon.jn.ut.dll

MHTMLRedir.Exploit.c

Script.Htmlstring.Encode

Chm.Exefile.container.s

因为没注册  没有路径