瑞星卡卡安全论坛

HijackThis_815汉化版扫描日志 V1.99.1
保存于      10:47:47, 日期 2006-1-7
操作系统：  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
D:\Winfgate\winntfgate.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\System32\snmp.exe
C:\Program Files\Common Files\SAND\client.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\ZETRONIC\ZEUPDATE\zeupdsvr.exe
C:\WINNT\Explorer.EXE
D:\Winfgate\ServerGuard.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINNT\system32\hkcmd.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINNT\system32\NTdhcp.exe
C:\WINNT\system32\internat.exe
D:\Program Files\Hintsoft\Pubsrv\Pubsrv.exe
C:\Program Files\cnk\BarServer\BarServer.exe
D:\Program Files\Hintsoft\Pubsrv\RecBmp.exe
D:\Program Files\Hintsoft\Pubsrv\LockClient.exe
C:\WINNT\wingmt.exe
C:\Documents and Settings\fengyun\My Documents\HijackThis_815汉化版\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
O2 - BHO: (no name) - {0005A87D-D626-4B3A-84F9-1D9571695F55}? - (no file)
O2 - BHO: Target Class - {002AF282-E42D-4B51-9F70-F1570C02FAAD} - C:\Program Files\NetMeting\Target\Target.dll
O2 - BHO: Ado32 AtlObj - {7E093FD0-5372-4FD5-9C7B-875668B4CDB2}? - (no file)
O2 - BHO: (no name) - {B8CCDD47-38E4-4CD2-B7FA-3B4B690F74BD}? - (no file)
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\Program Files\Internet Explorer\lib\stdie.dll
O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000}? - (no file)
O2 - BHO: AlxTB BHO - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333}? - (no file)
O4 - 启动项HKLM\\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - 启动项HKLM\\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [NTdhcp] C:\WINNT\system32\NTdhcp.exe
O4 - 启动项HKLM\\Run: [Update] C:\Program Files\Common Files\UPDATE\Update.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [升级程序] C:\Program Files\Internet Explorer\2052\aupdate.exe
O4 - HKCU\..\Run: [updata] c:\Program Files\Internet Explorer\IE Uninstall\aupdate.exe
O4 - HKCU\..\Run: [update8] C:\WINNT\aupdate.exe
O4 - HKCU\..\RuunServices:[Rundli32] winsys.exe
O4 - Global Startup: Pubwin4服务版.lnk = D:\Program Files\Hintsoft\Pubsrv\Pubsrv.exe
O4 - Global Startup: 网吧服务器.lnk = C:\Program Files\cnk\BarServer\BarServer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - E:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - C:\Program Files\Tencent\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\SendMMS.htm
O9 - 浏览器额外的按钮: 江民在线杀毒 - {06926B30-424E-4f1c-8EE3-543CD96573DC} - http://online.jiangmin.com/online.asp (file missing)
O16 - DPF: _{7253A666-8D4A-11D7-A4DC-00E04C504779} -
O16 - DPF: _{991481A7-4669-4E15-8C24-100404E1F5CB} - http://www.bluesky.cn/download/blueskyvoice_60.cab
O16 - DPF: _{C8BD9ACB-F7EC-48E6-BB2F-DAADC6789E9A} - http://211.152.52.102/duba/antiscan/update/OCX/KAVClean.CAB
O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) -
O16 - DPF: {20C2C286-BDE8-441B-B73D-AFA22D914DA5} (PowerList Control) - http://www.ppstream.com/bin/powerplayer.cab
O16 - DPF: {2EA6D939-4445-43F1-A12B-8CB3DDA8B855} (BlueskyVideo Control) - http://www.bluesky.cn/download/v2_60.cab
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O16 - DPF: {40CF48AF-E75D-4B5E-97A7-A37D1F9110F0} (icuavchat Control) - http://file1.hawa.cn/icuavchat.cab
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/aliedit.cab
O16 - DPF: {5DD731E6-D4F0-11D3-BE3F-00105A6FDA50} (V3ProX Control) -
O16 - DPF: {5EC7C511-CD0F-42E6-830C-1BD9882F3458} (PowerPlayer Control) - http://www.ppstream.com/bin/powerplayer.cab
O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) - http://61.153.48.61:1995/talk.cab
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O16 - DPF: {9242BB35-0DB0-43AC-8DFC-8EA07E63B92A} - http://219.133.60.95:1080/qqtv/QQLive1.0Beta02.exe
O16 - DPF: {9BBD100C-E820-4930-9937-E8F3AA40E584} (DFVSScanFile Control) - http://antivirus3.sunv.com/dfvsolDown/dfvsol.cab
O16 - DPF: {A984ED9F-E8DA-44E5-BC18-C14B9ABEF79D} (photo_uploader Control) - http://upload.photo.163.com/photoup.cab
O16 - DPF: {ABA7CC7F-019D-47DB-A0D2-B3C2B3AC1B44} (Fc2Boot Class) - http://h5.kele8.com/onet/ActiveX/fc2boot.cab
O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (CPasswordEditCtrl Object) - https://www.tenpay.com/download/qqedit.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD24AA26-7A48-4B2D-A74C-34BA7A0DDDBD}: NameServer = 219.150.32.132,219.146.0.130
O18 - 列举现有的协议: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINNT\system32\mbprot.dll (file missing)
O18 - Filter: text/html - {65CBAF77-19CA-4B81-86D5-7835D59BEA85} - C:\WINNT\system32\so.dll
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: FG3000 Server (FG3000Server) - Zhuhai Zetronic Ltd. - D:\Winfgate\winntfgate.exe
O23 - NT 服务: Remote Procedure loadcat  - Unknown owner - C:\WINNT\Remote Procedure.exe
O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - NT 服务: Windows Print Controller (Universal Disk Manager) - COMENET TECHNOLOGY - C:\Program Files\Common Files\SAND\client.exe
O23 - NT 服务: Zetronic Update Service (ZeupdServer) - Zhuhai Zetronic Ltd. - C:\Program Files\ZETRONIC\ZEUPDATE\zeupdsvr.exe

那位斑竹 帮我看看呀

郁闷  没人理我

U88找流氓软件杀手和恶意软件清理助手去清理啊
你的9111是什么不知道，最好给病毒全名。
O4 - 启动项HKLM\\Run: [Update] C:\Program Files\Common Files\UPDATE\Update.exe和O23 - NT 服务: Windows Print Controller (Universal Disk Manager) - COMENET TECHNOLOGY - C:\Program Files\Common Files\SAND\client.exe
一定是病毒了，找到目录删除然后修复启动项和服务
之前要停止update和client进程。

哦 打错了 是www.9991.com    u88  用那个软件根本不行呀  天天用那个  可重起又有了

你先把我说的两个病毒项搞掉再说吧

直接删除吗？ 还要在安全模式下吗？

结束进程，删除sand目录，然后修复服务和启动项，另外据说windows和system32目录下可能也会有这个软件的文件，把目录里的文件名记录下来，然后到这两个目录里找找看。或者用可疑文件扫描工具扫描一下。

哦还有update目录

开始→控制面板→管理工具→服务→查找Windows Print Controller→右击→属性→启动类型→禁止→应用→停止→确定。

重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows

运行Hijackthis，扫描结束后在下列选项前打上勾，然后选修复“Fix Checked”：

R3 - 默认的URLSearchHook丢失。用HijackThis修复
O2 - BHO: (no name) - {0005A87D-D626-4B3A-84F9-1D9571695F55}? - (no file)
O2 - BHO: Target Class - {002AF282-E42D-4B51-9F70-F1570C02FAAD} - C:\Program Files\NetMeting\Target\Target.dll
O2 - BHO: Ado32 AtlObj - {7E093FD0-5372-4FD5-9C7B-875668B4CDB2}? - (no file)
O2 - BHO: (no name) - {B8CCDD47-38E4-4CD2-B7FA-3B4B690F74BD}? - (no file)
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\Program Files\Internet Explorer\lib\stdie.dll
O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000}? - (no file)
O2 - BHO: AlxTB BHO - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333}? - (no file)
O4 - 启动项HKLM\\Run: [NTdhcp] C:\WINNT\system32\NTdhcp.exe
O4 - 启动项HKLM\\Run: [Update] C:\Program Files\Common Files\UPDATE\Update.exe
O4 - HKCU\..\Run: [升级程序] C:\Program Files\Internet Explorer\2052\aupdate.exe
O4 - HKCU\..\Run: [updata] c:\Program Files\Internet Explorer\IE Uninstall\aupdate.exe
O4 - HKCU\..\Run: [update8] C:\WINNT\aupdate.exe
O4 - HKCU\..\RuunServices:[Rundli32] winsys.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O18 - Filter: text/html - {65CBAF77-19CA-4B81-86D5-7835D59BEA85} - C:\WINNT\system32\so.dll

显示隐藏文件

双击我的电脑--工具---文件夹选项--查看选项卡--单击选取"显示隐藏文件或文件夹"--清除"隐藏受保护的操作系统文件（推荐）"复选框。在提示您确定更改时，单击“是”--单击“确定”。

然后找到如下文件并删除（如果有的话）。


C:\Program Files\Internet Explorer\lib\整个目录
C:\WINNT\system32\NTdhcp.exe
C:\Program Files\Common Files\UPDATE\整个目录
C:\Program Files\Internet Explorer\2052\整个目录
c:\Program Files\Internet Explorer\IE Uninstall\整个目录
C:\WINNT\aupdate.exe
winsys.exe（请用开始菜单中的搜索功能查找）
C:\WINNT\system32\so.dll
C:\Program Files\Common Files\SAND\整个目录

另外请问楼主
O23 - NT 服务: Remote Procedure loadcat - Unknown owner - C:\WINNT\Remote Procedure.exe
这一项是您安装的吗？

谢谢
O23 - NT 服务: Remote Procedure loadcat - Unknown owner - C:\WINNT\Remote Procedure.exe
这一项是您安装的吗？
这个我也不知道是什么！~

建议先停止这项服务

开始→控制面板→管理工具→服务→查找Remote Procedure loadcat→右击→属性→启动类型→禁止→应用→停止→确定。

将C:\WINNT\Remote Procedure.exe
压缩打包备份
发一份到我的邮箱，谢谢

又骗人家啊，帮主又想到瑞星那里捞好处了吧。呵呵
帮主别打我啊，完全是玩笑。

引用:

【shawtian的贴子】又骗人家啊，帮主又想到瑞星那里捞好处了吧。呵呵 帮主别打我啊，完全是玩笑。 ...........................

请问我是如何骗人了？捞什么好处？

大哥说了是玩笑了。
郁闷，看来我是别想在这混了

没有排斥您的意思！

不过开玩笑是有度的……请注意分寸!

此话题不再讨论!

Remote Procedure loadcat
    的描述是：
提供本地映射程序 (explorer) 以及其它 RPC 服务。

有问题吗？

没有问题，正常服务，主要功能是同步时间的网络服务支持等

对了  我安装过  JAVA  和这个有关系吗

不是，你的机器是xp吗？xp有同步系统时间的功能，和这个有关你关闭了这个服务以后系统时间就不能同步了。

引用:

【npd868的贴子】Remote Procedure loadcat     的描述是： 提供本地映射程序 (explorer) 以及其它 RPC 服务。 有问题吗？ ...........................

这一项不是系统服务，请将那个文件发到我的信箱

或者提交到多引擎扫描器扫描一下：

多引擎扫描之Virustotal：
http://www.virustotal.com/

显眼啊，丢人啊