瑞星卡卡安全论坛

求助 杀木马 查出却无法杀

查出来是 Win32.Troj.PSWQQ.15872
路径C:\WINDOWS\system32\ Process[000008b8:00ab0000]:c:\windows\system32\................如下

染毒文件:winsook.dll
病毒名称:Win32.Troj.PSWQQ.15872
所在路径:C:\WINDOWS\system32\
文件状态:忽略处理


--------------------------------------------------------------------------------

染毒文件:winsook.dll
病毒名称:Win32.Troj.PSWQQ.15872
所在路径:Process[000008b8:00ab0000]:c:\windows\system32\
文件状态:忽略处理


--------------------------------------------------------------------------------

染毒文件:winsook.dll
病毒名称:Win32.Troj.PSWQQ.15872
所在路径:Process[00000680:003e0000]:c:\windows\system32\
文件状态:忽略处理


--------------------------------------------------------------------------------

染毒文件:winsook.dll
病毒名称:Win32.Troj.PSWQQ.15872
所在路径:Process[0000063c:00d40000]:c:\windows\system32\
文件状态:忽略处理


--------------------------------------------------------------------------------

染毒文件:winsook.dll
病毒名称:Win32.Troj.PSWQQ.15872
所在路径:Process[0000060c:00a50000]:c:\windows\system32\
文件状态:忽略处理


--------------------------------------------------------------------------------

染毒文件:winsook.dll
病毒名称:Win32.Troj.PSWQQ.15872
所在路径:Process[00000604:00930000]:c:\windows\system32\
文件状态:忽略处理


--------------------------------------------------------------------------------

染毒文件:winsook.dll
病毒名称:Win32.Troj.PSWQQ.15872
所在路径:Process[000005fc:01310000]:c:\windows\system32\
文件状态:忽略处理


--------------------------------------------------------------------------------

染毒文件:winsook.dll
病毒名称:Win32.Troj.PSWQQ.15872
所在路径:Process[000005f4:00ce0000]:c:\windows\system32\
文件状态:忽略处理


--------------------------------------------------------------------------------

染毒文件:winsook.dll
病毒名称:Win32.Troj.PSWQQ.15872
所在路径:Process[000005ec:00c80000]:c:\windows\system32\
文件状态:忽略处理


--------------------------------------------------------------------------------

染毒文件:winsook.dll
病毒名称:Win32.Troj.PSWQQ.15872
所在路径:Process[000005e4:00d50000]:c:\windows\system32\
文件状态:忽略处理


--------------------------------------------------------------------------------

染毒文件:winsook.dll
病毒名称:Win32.Troj.PSWQQ.15872
所在路径:Process[000004e0:01430000]:c:\windows\system32\
文件状态:忽略处理

可是用反间谍什么的又扫不出来有毒了


怎么办啊??
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 17:19:17, 日期 2006-2-5
操作系统： Windows XP SP2 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Herosoft\HeroV8\SYSEXPLR.EXE
C:\WINDOWS\system32\WNILOGON.exe
C:\WINDOWS\system32\ctfmon.exe
D:\下载文件\qq\QQ.exe
D:\下载文件\qq\TIMPlatform.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\ELMTOJWF\RavQQMsender[1].exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\User\LOCALS~1\Temp\Rar$EX01.890\HijackThis1991zww.exe

R3 - URLSearchHook: bho Class - {ED8DFC5C-10EF-45AB-9DC2-0639AFF5A270} - C:\PROGRA~1\COMMON~1\Wnwb\wnwbio.dll
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\下载文件\qq\QQIEHelper.dll
O2 - BHO: 百度搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\WINDOWS\DOWNLO~1\BaiDuBar.dll
O2 - BHO: update wnwb - {ED8DFC5C-10EF-45AB-9DC2-0639AFF5A270} - C:\PROGRA~1\COMMON~1\Wnwb\wnwbio.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: 百度搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\WINDOWS\DOWNLO~1\BaiDuBar.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - 启动项HKLM\\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [SysExplr] C:\Herosoft\HeroV8\SYSEXPLR.EXE
O4 - 启动项HKLM\\Run: [SonudMan] C:\WINDOWS\system32\WNILOGON.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: 腾讯QQ.lnk = ?
O8 - IE右键菜单中的新增项目: Save豪杰超级解霸V8实时播放 - C:\Herosoft\HeroV8\MPURLGET.HTM
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\下载文件\qq\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\下载文件\qq\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\下载文件\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\下载文件\qq\SendMMS.htm
O8 - IE右键菜单中的新增项目: 百度Flash搜索 - res://C:\WINDOWS\DOWNLO~1\BaiDuBar.dll/FLASHSEARCH.HTM
O8 - IE右键菜单中的新增项目: 百度mp3搜索 - res://C:\WINDOWS\DOWNLO~1\BaiDuBar.dll/BAIDUMP3.HTM
O8 - IE右键菜单中的新增项目: 百度信息快递搜索 - res://C:\WINDOWS\DOWNLO~1\BaiDuBar.dll/BAIDUIE.HTM
O8 - IE右键菜单中的新增项目: 百度图片搜索 - res://C:\WINDOWS\DOWNLO~1\BaiDuBar.dll/BAIDUIMG.HTM
O8 - IE右键菜单中的新增项目: 百度搜索 - res://C:\WINDOWS\DOWNLO~1\BaiDuBar.dll/BAIDUSEARCH.HTM
O8 - IE右键菜单中的新增项目: 百度新闻搜索 - res://C:\WINDOWS\DOWNLO~1\BaiDuBar.dll/BAIDUNEWS.HTM
O8 - IE右键菜单中的新增项目: 解霸实时播放 - C:\HEROSOFT\Hero3000\MPURLGET.HTM
O8 - IE右键菜单中的新增项目: 豪杰超级解霸V8实时播放 - C:\Herosoft\HeroV8\MPURLGET.HTM
O9 - 浏览器额外的按钮: 豪杰超级解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Herosoft\HeroV8\STHSDVD.EXE
O9 - 浏览器额外的“工具”菜单项: 豪杰超级解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Herosoft\HeroV8\STHSDVD.EXE
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\下载文件\qq\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\下载文件\qq\QQ.EXE
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\下载文件\qq\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\下载文件\qq\QQIEHelper.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128484684810
O16 - DPF: {A96C48EA-AA88-4BBD-B58C-7B41146A6EAC} (PhotoUploadCtrl Control) - http://imgcache.qq.com/qzone/photo/QzoneMediaTools.cab
O16 - DPF: {ACFE8232-03C5-4AEC-AF5E-42B806724096} (KSHScan Control) - http://safe.qq.com/scan/KAllScan.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{87A3E6F8-8857-4F70-A78E-A673ACBB59E5}: NameServer = 202.103.0.117 202.103.24.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{970AE64A-A9E8-4E3E-BE5C-8FEC73E71994}: NameServer = 202.103.24.68,202.103.0.68
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O23 - NT 服务: GrayPigeon_Hacker.com.cn - Unknown owner - C:\WINDOWS\Hacker.com.cn.exe
O23 - NT 服务: Kingsoft Personal Firewall Service (KPfwSvc) - Unknown owner - C:\KAV2006\KPfwSvc.EXE (file missing)
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Unknown owner - C:\Program Files\rising\rav\CCenter.exe (file missing)
O23 - NT 服务: Rising Realtime Monitor Service (RsRavMon) - Unknown owner - C:\Program Files\rising\rav\RavMonD.exe (file missing)

结束C:\WINDOWS\system32\WNILOGON.exe进程

修复
O4 - 启动项HKLM\\Run: [SonudMan] C:\WINDOWS\system32\WNILOGON.exe
O23 - NT 服务: GrayPigeon_Hacker.com.cn - Unknown owner - C:\WINDOWS\Hacker.com.cn.exe

删除
C:\WINDOWS\system32\WNILOGON.exe
C:\WINDOWS\Hacker.com.cn.exe
C:\WINDOWS\system32\winsook.dll

其中
O23 - NT 服务: GrayPigeon_Hacker.com.cn - Unknown owner - C:\WINDOWS\Hacker.com.cn.exe
是灰鸽子
具体操作请参考
http://forum.ikaka.com/topic.asp?board=28&artid=7713905

附件: 364052200626123644.JPG

不言放弃真是高手中的高手啊

附件: 241680200626124946.jpg

那么Win32.Troj.PSWQQ.15872是什么啊??