瑞星卡卡安全论坛

<img src=icon/face12.gif><img src=icon/face12.gif><img src=icon/face12.gif><br><br>我昨天7、8点钟时候计算机还好好的...我那时候肚子痛啊...然后忘记几点了就关了机子...<br><br>我分几个楼说一下我现在的情况...<br><br>天啊~~~~~我今天快3点时候起床上网，打开电脑自己都愣了！！！我的桌面没有了，换成了系统自己的桌面，桌面上的软件没有了，似乎是系统还原般的，只剩下2个软件图标和一个回收站。<br><br><br>如图：

之后，我马上察看了我的c盘，下了一跳！！！只剩下几个系统文件夹了！！！昨天看的时候绝对不是这样的！！！<br><br>但是我看了以我名字下的“桌面”...我原来桌面上应该有的软件还在...<br><br>如图：<br><br>但是我不明白，我是用我的账号进来的，又不是用管理员账号！！！为什么，为什么不是进入我自己的桌面？？？？？？

接着让我哭的东西还多呢！！！！！！<br><br>我自己上装的photoshop等软件居然全部恢复成初始状态！！！！！！！！进去后告诉我这是个新装软件要配置色彩！！！！！！！<br><br>但是也不是全部，瑞星这种升级的软件就没有恢复，还是写着前天更新的日期...<br><br>下面是任务管理器...我根本没有看出什么...<br><br>

扫描了...也没有发现什么...

Logfile of HijackThis v1.99.0
Scan saved at 3:15:06, on 2006-7-24
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
D:\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
D:\Rising\Rav\Ravmond.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
D:\Rising\Rav\RavStub.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
c:\program files\rising\rfw\RfwMain.exe
D:\Rising\Rav\RavTask.exe
D:\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\photoshop cs\Photoshop.exe
C:\DOCUME~1\TEMP\LOCALS~1\Temp\~e5d141.tmp
C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOCUME~1\TEMP\LOCALS~1\Temp\~e5d141.tmp
E:\HijackThis\HijackThis\HijackThis.exe

R3 - Default URLSearchHook is missing
O3 - Toolbar: BitComet工具栏 - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\BitComet\BitCometBar\BitCometBar0.5.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [RavTask] "D:\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE
O4 - Global Startup: Microtek 扫描仪探测器.lnk = C:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {C37FBD87-3AA7-4640-9A8D-19AFC10B15B2} (Netease Chat Control) - http://room.chat.163.com/xchat/chat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6ED29DF9-30C1-4E73-AB6F-8A2CB1AB40AA}: NameServer = 202.106.46.151 202.106.0.20
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: APIHookDll.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Rising Proxy  Service - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center - Beijing Rising Technology Co., Ltd. - D:\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service - Beijing Rising Technology Co., Ltd. - D:\Rising\Rav\Ravmond.exe

而且开机的时候还探出一个对话框，让我修改注册表。我没有刷下来，一会我重启再刷

晕~~~~！！！~我重启了，不弹出那个对话框了~~~~~~~~~~~`郁闷！！！！！！！

不过我又发现一件事情，我重启之后刚才的所有配置又都没有了！！！

我终于知道，我进入的桌面不是我的桌面，而是公共的桌面！！！也就是说，我根本没有进入到我自己的用户配置里，可是我真的输入的是我自己的用户名和密码阿~~~~~~天阿

我下意识觉得应该查一下从昨天到今天系统修改过哪些文件？又创建了哪些非法文件？<br><br>我搜了c盘，好多啊，分几楼贴一下：<br><br>

好多不明文件是新创建的...尤其那些绿色的xml文件

到底是怎么回事？难道我被人攻击了？还是我机子从什么时候设定了还原？但是我真的记得老早我就关闭了系统还原阿！！！！

到底怎么回事

看不出来问题啊

我发誓没有别人动过我的机子

以上就是c盘昨天到今天修改或者新创建的文件...

关于那些xml文件 我搜索了一下他的名字 不知道这个人说得是不是我的情况...他也是出现了很多莫名和我那名字一样的xml文件









以文本方式查看主题

-中年话题(http://www.30-60.com/bbs5/index.asp)
--电脑世界(http://www.30-60.com/bbs5/list.asp?boardid=9)
----[求助]请教(http://www.30-60.com/bbs5/dispbbs.asp?boardid=9&id=131296)

--------------------------------------------------------------------------------

--作者：我爱心雨
--发布时间：2005-8-17 9:02:54

--[求助]请教

在一次偶然操作电脑时, 电脑出现自动重复某一操作,而使电脑无法工作.后来在任务管理器 发现有一应用程序CDNotify 引起的 结束该任务后电脑恢复正常



后来 经搜索有关 CDNotify 的文件 在C盘 WINDOWS ----PCHealth--HelpCtr--Datacool---提示里面有四 个文件 CollectedData-45CollectedData-195 CollectedData-224 CollectedData-225



(里面有同类的许多这样的文件)将这四个文件删除后 电脑就正常了另外 每次开机 在任务管理器里 自动 有CDNotify 程序在运行



请问 该 CDNotify 程序 有什么意义? 删除提到的四个文件对程序有没有影响(目前没有发现异常)



怎样停止 CDNotify 程序 ?



谢谢 电脑高手们!

--------------------------------------------------------------------------------

--作者：烟落空蓝
--发布时间：2005-8-17 10:01:34

--

几种可能，心雨自己对照一下看看是哪种。
1、你的机器上可能装有魔法兔子，兔子里面有一个光盘“光驱跟踪”，类似于CD伺服，只要在兔子中禁用即可。可以在兔子的开机设置里取消或者删除，也可以在优化中“光驱音效”项去掉复选框

2、你的机器可能用过MYIE，这可以说是MYIE的一个问题，曾经用过，但后来就不用了：）如果是这个问题，再回复我吧，这个问题比较麻烦。

３、也有可能是解霸的自动伺服器，可以尝试关闭解霸的自动伺服试试看。

我知道的就这么多了，希望能帮到你：）

--------------------------------------------------------------------------------

--作者：我爱心雨
--发布时间：2005-8-17 10:45:31

--

以下是引用烟落空蓝在2005-8-17 10:01:34的发言：


几种可能，心雨自己对照一下看看是哪种。
1、你的机器上可能装有魔法兔子，兔子里面有一个光盘“光驱跟踪”，类似于CD伺服，只要在兔子中禁用即可。可以在兔子的开机设置里取消或者删除，也可以在优化中“光驱音效”项去掉复选框



2、你的机器可能用过MYIE，这可以说是MYIE的一个问题，曾经用过，但后来就不用了：）如果是这个问题，再回复我吧，这个问题比较麻烦。



３、也有可能是解霸的自动伺服器，可以尝试关闭解霸的自动伺服试试看。



我知道的就这么多了，希望能帮到你：）




哈 哈


没想到烟落空蓝 还是个电脑行家啊


谢谢你的指点我电脑里是安装了魔法兔子软件


不知 删除的四个文件 对软件使用 有没有影响?

--------------------------------------------------------------------------------

--作者：烟落空蓝
--发布时间：2005-8-17 11:03:20

--
行家不敢当阿，呵呵，碰巧你问的我知道点而已：）
删除的应该没有什么影响，这类系统优化软件弊病多多，偶是从来不用地。如果一定要用，推荐你不如用系统优化大师：）
--------------------------------------------------------------------------------

还有http://www.kill.com.cn/bnii/bnii_bdjs/2100.htm这里也提到了这个xml文件

但是我现在还没有搜索到解决方法

难道我是系统被入侵了么？怎么恢复系统？？？

麻烦大家帮助一下我很着急啊

<br>还有啊 莫名其妙的就连开始菜单也被恢复了!<br><br>可恶的是...那个转移文件的是什么?

55555555555555555555555555555555555555555555555

我的u盘都不能用了~~~~让我装驱动!!!!!!!!!

怎么回事啊

不过也有希望的曙光啊 我找到了这个:<br><br>怎么恢复用户设置?

下图是我找到all user下面的桌面。就是我现在的样子`｀｀<br><br>我终于知道我进入的是临时配置...???！！！！<br>

但是我重启多少次还是不能进入我自己的配置，是不是我的配置文件出了什么问题？？？？？？？？？

我要怎么办啊

很多东西都不能用~~~~~都要装驱动~~~~就连word都要我从新配置，还要我输入用户名还要确认。//我要疯了！！！！！！！！！！！！！！！

还有一件让我更郁闷的事情~~~~~`我没有打开过系统还原.........!!!刚刚打开........能够用用户配置文件做还原点么？？？？？？？？？？？？？？

用端星的漏洞扫描一下你的系统存在着有那些漏洞？查看下系统盘符里有那些被共享了？肯定是被黑了，断开网到安全模式下杀吧。

是不是用什么软件变成了刚装好的样子?~?还是中了什么毒~~沙一下试试

数据丢失啊~~  我也碰到过一次,往往都是直接关电源引起的

建议装好系统和必要的软件后备份一次系统.像你这种情况,就像楼上说的,不是中了病毒就是被人黑了.还有,你下载一个叫"查一下你的电脑有无黑客"的小软件查查看电脑里有没有可疑的其他帐户,如果有的话,将它删除掉.
如下图,红色标志的说明是可疑帐户.

附件: 2140652006724185352.JPG

一般是未正常关机，如点关机后就直接断电，当前用户配置文件保存出错，再开机时系统恢复了默认的配置！

你近期是否备份过注册表，比如用windows优化大师或兔子一类的软件！

恢复注册表！

一般是未正常关机，如点关机后就直接断电，当前用户配置文件保存出错，再开机时系统恢复了默认的配置！


-----------------------------------------------

是这样!!!!