Hi，各位老大，下午好啊！我求助SMSS.EXE的解决办法各位都给了很好的意见，我开始由于第一搞这么复杂的“工程”结果搞了两天都是一头雾水，后来我为了不向那该死的病毒投降，我在昨晚又决定再搞一次彻底，搞不好就决定重装系统了，我狠下心来，决定连C盘也把它给感染了，好再重头再领略一下Baohe老大所教的方法，我为了弄懂哪个SSM是怎样使用的也好好的看了金色老大的教程，基本弄懂了之后就把C盘也染毒了，然后就想Baohe老大所说的那样，先用SSM把哪个木马的后门给废了，然后就查毒，好了，这会真的很管用，基本把图片介绍到的病毒文件都给查找出来了，然后一一删除，之后在照着把所有的注册表给修了一遍，做完了这步之后我就开始用SSM把那些规则给移除Del了。再来就是用System Repair Engineer、Regfix和瑞星注册表修复工具来修复关联了，最后再用HijachThis V1.99.2汉化版来扫一下，哈哈哈，好啦，病毒项不见了，我好高兴啊，顿时觉得好有成就感！接着我就照这个过程在今天早上把D盘的病毒给打扫一次，完工之后满心欢喜，以为这次一定OK了，我用HijachThis V1.99.2汉化版扫过了，的确没什么问题了。但是我还高兴的太早了，当我打开我的电脑，点击D盘盘符的时候，就出现了D盘打不开，提示找不到路径什么的，这时我的杀毒就弹出一个对话框，提示保护最低级，要检测脚本阻断程序，这就说明应该还有病毒，要不就是我的杀毒短路了，每办法，我宁愿信杀毒短路了，好歹我也花了这么多精力和时间去搞，只好重装杀毒了，但是在重新升级杀毒的时候就检测到病毒了：Trj/Legmir.WG，路径除了Baohe老大教程图片3上显示的外还多了d：/windows/system32/anskya0.exe和d：/windows/system32/anskya1.exe两处，请问各位老大，我这样算不算把这个毒给杀了，现在我再扫两份HijachThis V1.99.2的logo上来，先来看这份，这份是XP系统盘的！如下：
HijackThis_815汉化版扫描日志 V1.99.1
保存于      13:44:42, 日期 2006-5-23
操作系统：  Windows XP  (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 (6.00.2600.0000)

当前运行的进程：         
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\SYSTEM32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2005\PavProt.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Panda Software\熊猫卫士钛金版2005\APVXDWIN.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2005\Firewall\PavFires.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2005\PavFnSvr.exe
D:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2005\pavsrv51.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2005\AVENGINE.EXE
D:\Program Files\Panda Software\熊猫卫士钛金版2005\prevsrv.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2005\PsImSvc.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2005\WebProxy.exe
D:\Program Files\VnetClient1.6\VnetClient.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
F:\应用程序\HijachThis V1.99.2汉化版\HijackThis1991zww.exe

O2 - BHO: (no name) - {54EBD53A-9BC1-480B-966A-843A333CA162} - (no file)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O4 - 启动项HKLM\\Run: [APVXDWIN] "D:\Program Files\Panda Software\熊猫卫士钛金版2005\APVXDWIN.EXE" /s
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] ;"D:\Program Files\Messenger\msmsgs.exe" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O10 - Broken Internet access because of LSP provider 'd:\program files\panda software\
O16 - DPF: {371B29D9-4563-4E7F-B93D-F85ED5682ABC} (CoRaise Player Object) - http://202.104.212.55/tsplay/tsplay.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F756EE17-4486-48C5-97DF-7151D41ADE90}: NameServer = 202.96.128.86 202.96.128.166
O20 - Winlogon Notify: System Safety Monitor - D:\WINDOWS\SYSTEM32\SSMWinlogonEx.dll
O23 - NT 服务: Panda Firewall Service (PAVFIRES) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2005\Firewall\PavFires.exe
O23 - NT 服务: Panda Function Service (PAVFNSVR) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2005\PavFnSvr.exe
O23 - NT 服务: Panda PavProt (PavProt) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2005\PavProt.exe
O23 - NT 服务: Panda Process Protection Service (PavPrSrv) - Panda Software - D:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - NT 服务: Panda anti-virus service (PAVSRV) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2005\pavsrv51.exe
O23 - NT 服务: Panda Preventium+ Service (PREVSRV) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2005\prevsrv.exe
O23 - NT 服务: Panda IManager Service (PSIMSVC) - Panda Software Internacional - D:\Program Files\Panda Software\熊猫卫士钛金版2005\PsImSvc.exe

【回复“roymond”的帖子】
修复
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

另
O10 - Broken Internet access because of LSP provider 'd:\program files\panda software\
这一项也有问题
建议卸载重装一下d:\program files\panda software\

不言放弃老大，我刚刚重装过了，再装恐怕也无济于事了吧，我哪个毒究竟杀得怎样了，我已经搞了几天啦！！！

【回复“roymond”的帖子】
卸载重装卸载重装一下d:\program files\panda software\
是为了解决如下问题：
O10 - Broken Internet access because of LSP provider 'd:\program files\panda software\

日志已经没有问题了

【回复“roymond”的帖子】
从你的叙述以及HJ日志来看，原来那个难缠的木马已经杀掉了。
d：/windows/system32/anskya0.exe和d：/windows/system32/anskya1.exe与那个木马无关。那个木马虽然也在D盘创建文件，但创建的木马文件在D盘根目录下。如果D盘是系统盘，木马SMSS创建的文件应该在d：/windows/目录下，当然system32下也有木马文件，但不是这两个文件名。我估计你这两个文件是另外一个木马。
如果不能搞掂，请将d：/windows/system32/anskya1.exe打包，发到：baohelin@yahoo.com.cn

谢谢两位老大，我回头再搞，我有样本我就第一时间发给你们研究，我得休息一下了，昨晚到现在我才睡了3小时，算是和哪该死的木马较上劲了，回头再见，拜拜！

终于又有时间来搞了，我的机子现在的问题就是我的D盘在我的电脑面版里面不能双击打开，只能选择右键菜单打开！提示是：Windows无法找到pagefile.pif。打开“文件”类型的文件需要该程序。（注：我的XP组件里没有截图器，只能口述了，不好意思）和一打开文件类型的文件就会弹出一个警告对话框，具体内容太长了，不复述了，大概意思是说Windows找不到所在路径的文件的意思。请问我该怎样解决这两个问题，是不是和文件关联有关，但我用了System Repair Engineer、Regfix和瑞星注册表修复工具等工具修了也无济于事。请各位老大和懂的朋友告之，还有杀毒的问题，现在我还未重装，但我今天开机时在XP下用HJ扫了一下又多了一项06但我那以前的Logo出来对了一下是正常的，一般我的杀毒在我没有尝试双击我的电脑D盘盘符和打开D盘它在重启之后都显示正常，一旦我打开D盘之后，一会就提醒我“提示保护最低级，要检测脚本阻断程序”。可能是D盘还有毒吧！还有就是baohe老大要我找的怀疑病毒文件可能被杀毒清了或者修改了名称找不到了！请各位老大帮帮我先解决了前面的第1、2点问题先吧！再来一份今天的XP下HJ的扫描和一份昨天的98下的HJ扫描，请各位帮忙分析分析，谢谢！
今天的XP下的HJ扫描，如下：
HijackThis_815汉化版扫描日志 V1.99.1
保存于      14:40:15, 日期 2006-5-24
操作系统：  Windows XP  (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 (6.00.2600.0000)

当前运行的进程：         
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\SYSTEM32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2005\PavProt.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Panda Software\熊猫卫士钛金版2005\APVXDWIN.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2005\Firewall\PavFires.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2005\PavFnSvr.exe
D:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2005\pavsrv51.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2005\AVENGINE.EXE
D:\Program Files\Panda Software\熊猫卫士钛金版2005\prevsrv.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2005\PsImSvc.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2005\WebProxy.exe
D:\Program Files\VnetClient1.6\VnetClient.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
F:\应用程序\HijachThis V1.99.2汉化版\HijackThis1991zww.exe

O2 - BHO: (no name) - {54EBD53A-9BC1-480B-966A-843A333CA162} - (no file)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O4 - 启动项HKLM\\Run: [APVXDWIN] "D:\Program Files\Panda Software\熊猫卫士钛金版2005\APVXDWIN.EXE" /s
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] ;"D:\Program Files\Messenger\msmsgs.exe" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O10 - Broken Internet access because of LSP provider 'd:\program files\panda software\
O16 - DPF: {371B29D9-4563-4E7F-B93D-F85ED5682ABC} (CoRaise Player Object) - http://202.104.212.55/tsplay/tsplay.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F756EE17-4486-48C5-97DF-7151D41ADE90}: NameServer = 202.96.128.86 202.96.128.166
O20 - Winlogon Notify: System Safety Monitor - D:\WINDOWS\SYSTEM32\SSMWinlogonEx.dll
O23 - NT 服务: Panda Firewall Service (PAVFIRES) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2005\Firewall\PavFires.exe
O23 - NT 服务: Panda Function Service (PAVFNSVR) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2005\PavFnSvr.exe
O23 - NT 服务: Panda PavProt (PavProt) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2005\PavProt.exe
O23 - NT 服务: Panda Process Protection Service (PavPrSrv) - Panda Software - D:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - NT 服务: Panda anti-virus service (PAVSRV) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2005\pavsrv51.exe
O23 - NT 服务: Panda Preventium+ Service (PREVSRV) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2005\prevsrv.exe
O23 - NT 服务: Panda IManager Service (PSIMSVC) - Panda Software Internacional - D:\Program Files\Panda Software\熊猫卫士钛金版2005\PsImSvc.exe

-----------------------------------------------------------
昨天的98下的HJ扫描，如下：
HijackThis_815汉化版扫描日志 V1.99.1
保存于      17:41:36, 日期 06-5-23
操作系统：  Windows 98 SE (Win9x 4.10.2222A)
浏览器：    Internet Explorer v5.00 (5.00.2614.3500)

当前运行的进程：         
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\熊猫卫士钛金版2005\PAVFNSVR.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\熊猫卫士钛金版2005\PSIMSVC.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\熊猫卫士钛金版2005\FIREWALL\PAVFIRES.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\熊猫卫士钛金版2005\PAVPROT9.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\熊猫卫士钛金版2005\PREVSRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\熊猫卫士钛金版2005\APVXDWIN.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\杀毒工具集\SYSTEM SAFETY MONITOR\SYSSAFE.EXE
C:\PROGRAM FILES\PANDA SOFTWARE\熊猫卫士钛金版2005\WEBPROXY.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\HIJACHTHIS V1.99.1.2汉化版\HIJACKTHIS1991ZWW.EXE

O4 - 启动项HKLM\\Run: [APVXDWIN] "C:\Program Files\Panda Software\熊猫卫士钛金版2005\APVXDWIN.EXE" /s
O4 - 启动项HKLM\\Run: [internat.exe] internat.exe
O4 - 启动项HKLM\\Run: [SystemSafetyMonitor] C:\杀毒工具集\SYSTEM SAFETY MONITOR\SYSSAFE.EXE
O4 - 启动项HKLM\\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - 启动项HKLM\\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - 启动项HKLM\\RunServices: [PAVFNSVR] "C:\Program Files\Panda Software\熊猫卫士钛金版2005\PavFnSvr.exe"
O4 - 启动项HKLM\\RunServices: [PSIMSVC] "C:\Program Files\Panda Software\熊猫卫士钛金版2005\PSIMSVC.exe"
O4 - 启动项HKLM\\RunServices: [PAVFIRES] "C:\Program Files\Panda Software\熊猫卫士钛金版2005\Firewall\PavFires.exe"
O4 - 启动项HKLM\\RunServices: [Pavprot9] "C:\Program Files\Panda Software\熊猫卫士钛金版2005\Pavprot9.exe"
O4 - 启动项HKLM\\RunServices: [Panda Preventium+ Service] "C:\PROGRAM FILES\PANDA SOFTWARE\熊猫卫士钛金版2005\PREVSRV.EXE"
O4 - 启动项HKLM\\RunServices: [PavProc] "C:\Program Files\Common Files\Panda Software\PavShld\PavPrS9x.exe"
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'c:\program files\panda software\
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {371B29D9-4563-4E7F-B93D-F85ED5682ABC} (CoRaise Player Object) - http://202.104.212.55/tsplay/tsplay.cab

【回复“roymond”的帖子】
这个木马破坏注册表相当严重。诸多文件关联都被改动。请参考原来推荐给你的那个帖子，将注册表中木马改动的地方一一改正过来。

谢谢baohe老大，我昨天晚上就照你方法去修改过注册表了，但是好象都没什么用，还有其他的办法吗？！

D盘根目录下的command文件有没有删掉？