瑞星卡卡安全论坛

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      8:58:22, 日期 2008-11-22
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\Program Files\StormII\stormliv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAM FILES\RISING\RAV\RavMon.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\AntiSpyware\rstray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Tencent\QQ2009\Bin\QQ.exe
C:\Program Files\Tencent\QQ2009\Bin\TXPlatform.exe
C:\Program Files\Thunder Network\Thunder\Program\Thunder5.exe
D:\HijackThis1991zww.exe
C:\Program Files\Thunder Network\Thunder\Components\Tips\TipsExtend.exe

R3 - URLSearchHook: Bhotest.bhoSearch - {9F6E4456-7942-4AA7-9AD2-547C2BEA32B6} - C:\WINDOWS\system32\flg32.dll
O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - E:\BitComet\tools\BitCometBHO_1.2.8.7.dll (file missing)
O2 - BHO: (no name) - {74381DEC-D78B-43E4-BA5D-5244F669EBE4} - C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys (file missing)
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll
O2 - BHO: 卡卡上网安全助手 - {98B7C13A-E9CD-4959-8B46-FBEAB41E42A8} - C:\WINDOWS\system32\urlFilter.dll
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [runeip] "C:\Program Files\Rising\AntiSpyware\rstray.exe" /startup
O4 - 启动项HKLM\\RunOnce: [KKDelay] C:\Program Files\Rising\AntiSpyware\RunOnce.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WangWang] "C:\Program Files\Alisoft\WangWang\WangWang.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - IE右键菜单中的新增项目: &使用BitComet下载 - res://E:\BitComet\BitComet.exe/AddLink.htm
O8 - IE右键菜单中的新增项目: &使用BitComet下载全部链接 - res://E:\BitComet\BitComet.exe/AddAllLink.htm
O8 - IE右键菜单中的新增项目: &使用BitComet下载本页视频 - res://E:\BitComet\BitComet.exe/AddVideo.htm
O8 - IE右键菜单中的新增项目: 使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\geturl.htm
O8 - IE右键菜单中的新增项目: 使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\getallurl.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O9 - 浏览器额外的按钮: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 浏览器额外的“工具”菜单项: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 浏览器额外的按钮: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://E:\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O9 - 浏览器额外的按钮: 雨林木风 - {C3F1448C-58E9-4F6D-A622-9DE26B846DA9} - http://www.ylmf.com/index.htm (file missing) (HKCU)
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\mapi32.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\espi11.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\espi11.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\mapi32.dll
O15 - “受信任的站点”中添加项: http://www.icbc.com.cn
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2B71507-7156-4EE2-A4FA-3DF6F05822D1}: NameServer = 218.85.157.99,202.101.107.85
O20 - AppInit_DLLs: kmon.dll
O21 - SSODL: dpvvoxmh.dll - {00070007-0007-0007-0007-00070007BB15} - C:\WINDOWS\system32\dpvvoxmh.dll (file missing)
O23 - NT 服务: Contrl Center of Storm Media (ccosm) - 北京暴风网际科技有限公司 - C:\Program Files\StormII\stormliv.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - NT 服务: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Information Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: Rising RealTime Monitor (RsRavMon) - Beijing Rising Information Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe



用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

O10 - 未知的文件在 Winsock LSP
c:\windows\system32\mapi32.dll

SSODL: dpvvoxmh.dll - {00070007-0007-0007-0007-00070007BB15} - C:\WINDOWS\system32\dpvvoxmh.dll (file missing)

可疑项目

日志看不出什么来。系统有何异常？

PS：以上对应文件发上来

你们说的话我听不怎么懂  我想知道的是 我电脑有问题吗  不过就是有点慢了 :default8:

c:\windows\system32\mapi32.dll
C:\WINDOWS\system32\dpvvoxmh.dll

压缩后发上来

建议楼主发个SRENG的日志

HJ日志不全
不能提供完整方案:default2:

可以提供一下 你说的软件吗 我不知道在哪下载哦

已经过了HJ的时代了:default14:



请严格按照以下步骤操作

1.扫日志前建议清理助手清理系统
清理助手下载
解压后运行，升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。(注：如发现系统文件被替换，请将情况报上来，勿自己随意操作
如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序
3.Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr
4.金山清理专家官方下载  | 免安装版直接运行版金山清理专家下载
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告
5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.已发帖请跟贴，勿另开新帖。
建议2份日志同时上传，起到互补的作用（原因：金山和SRENG都能扫出另一个不能扫出的内容）！！

我下载了  马上就发上来给你看

电脑问题 急  系统日记以扫描 请大侠门看看            在附件里

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

c:\windows\system32\mapi32.dll用附件打包
发上来

1.建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。



c:\windows\system32\cbati.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\wzcfsw.dll
c:\windows\system32\ddserh.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\cedafb.dll
c:\windows\system32\wrqszl.dll
c:\windows\system32\wklsdd.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\jfdses.dll
c:\windows\system32\dndsaf.dll
c:\windows\system32\rfdswc.dll
c:\windows\system32\sgdewg.dll
c:\windows\system32\pedadt.dll
c:\windows\system32\zefdst.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\jhfrxz.dll
c:\windows\system32\jdsaex.dll
c:\windows\system32\jbgyer.dll
c:\windows\system32\ijdybpaw.dll
c:\program files\internet explorer\plugins\unixsys08.sys
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\mnmsrvc.exe
c:\windows\system32\drivers\presafe.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}]    <>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}]    <>
[{EB71E0B3-E97D-4D30-8733-E28266467617}]    <>
[{000F087F-4378-545F-74FA-37D345AD7A8C}]    <C:\WINDOWS\system32\mttwfh.dll>
[{28766E1C-74B0-4417-8C75-F12AE309EF35}]    <C:\WINDOWS\system32\wzcfsw.dll>
[{A9895933-6636-4281-BC58-EE6DE2AF96E3}]    <C:\WINDOWS\system32\ddserh.dll>
[{841529CB-7F77-4B99-A895-B5441E0D302F}]    <C:\WINDOWS\system32\jfrwdh.dll>
[{84143967-B645-4BFF-B873-DA1DC886E9A7}]    <C:\WINDOWS\system32\cedafb.dll>
[{F99DEFDD-200B-4410-B572-E90883D527D2}]    <C:\WINDOWS\system32\wrqszl.dll>
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}]    <C:\WINDOWS\system32\wklsdd.dll>
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}]    <C:\WINDOWS\system32\tdffdl.dll>
[{81AF1CF6-D1C9-4C6A-AC01-EDE54E71945B}]    <C:\WINDOWS\system32\jfdses.dll>
[{259BF3CF-194D-4FE6-9ADB-DE6544B098B6}]    <C:\WINDOWS\system32\dndsaf.dll>
[{259BF3CF-194D-4FE6-9ADB-DE6544B098B6}]    <C:\WINDOWS\system32\dndsaf.dll>
[{461D2AB4-29A5-45C2-9134-D52272D3DE38}]    <C:\WINDOWS\system32\rfdswc.dll>
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}]    <C:\WINDOWS\system32\sgdewg.dll>
[{5E907A48-400E-4EA8-9792-FFAE052D59E9}]    <C:\WINDOWS\system32\pedadt.dll>
[{28EB3777-3E23-4E72-8449-A992D09D24C3}]    <C:\WINDOWS\system32\zefdst.dll>
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{7914E0AA-ECCB-4311-B584-C49538227824}]    <C:\WINDOWS\system32\jhfrxz.dll>
[{B29583D8-033A-4B9F-8553-7C5458F3FB8E}]    <C:\WINDOWS\system32\jdsaex.dll>
[{B29583D8-033A-4B9F-8553-7C5458F3FB8E}]    <C:\WINDOWS\system32\jdsaex.dll>
[{00ED0F3B-D53B-4DBF-BB20-8DFBC3176068}]    <C:\WINDOWS\system32\jbgyer.dll>
[{2A698452-C5D8-C584-C256-C264C987C5A2}]    <C:\WINDOWS\system32\ijdybpaw.dll>
[{74381DEC-D78B-43E4-BA5D-5244F669EBE4}]    <C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys>
[dpvvoxmh.dll]    <C:\WINDOWS\system32\dpvvoxmh.dll>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[NetMeeting Remote Desktop Sharing / mnmsrvc]    <C:\WINDOWS\system32\mnmsrvc.exe>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[presafe / presafe]    <\??\C:\WINDOWS\system32\drivers\presafe.sys>

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys>
[]    <C:\Program Files\Internet Explorer\PLUGINS\UnixSys08.Sys>

附件: 文_件_提_取_工_具.rar

大哥，你说的那些文件和浏览器加载项有的在日志里找不到啊 ~:default8: :default8: :default8:

浏览器加载项：

[AxInputControl Class]
  {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} <C:\WINDOWS\system32\INPUTC~1.DLL, >
[AxSubmitControl Class]
  {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} <C:\WINDOWS\system32\SUBMIT~1.DLL, >
[RootCertInstall Class]
  {D1056C7C-E30B-4234-9A4B-7E1038B167A7} <C:\WINDOWS\system32\RootCert.dll, >
C:\WINDOWS\system32\mapi32.dll应该被病毒篡改了。

你那个下载不了

不能下载?
哪个？

不用迅雷试试

aaccbbdd    在不 我打包发上来了 还有你说的那个我下载不了啊

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: mapi32.rar

还没鉴定呢

瑞星就发现了
Trojan.PSW.Win32.WoWar.awa
C:\Documents and Settings\Administrator\桌面\mapi32.dll>>upack0.34

将C:\WINDOWS\system32\mapi.dll
用附件粉碎了

什么不能下载？
说说看

附件: 修改的2007年金-山-粉-碎-器.rar

楼主玩魔兽？？？