各位尊敬的大虾：


  我的电脑出现如下症状：

    系统为XP，在登录输入名字和密码后，系统总是进不去桌面,等待一阵后按出“任务管理器”，显示CPU占用100%,看进程时显示EXPLORER.EXE占用98%，再过一会儿就会弹出一个网页，“www.searc-h.com/normal/yyy34.html”,有时会是另外一个网页叫什么“www.papyou????”什么的名字记不全了,用了正版的金山毒霸6显示没有中毒，用安全模式进入都不行。
   
  以前在工作时也会弹出前述两张网页或另外几张网页，并在桌面上自动生成几个快捷图标,有飞机等等形状,但最近闹得很厉害连桌面都进不了!!!!1
 
      用别人名字登录可以进入！



      请大虾们尽快诊断并提出意见啊！！很多工作要做！！！老板催得紧！！

您好，为了方便帮您解决问题，请您使用hijackthis把扫描的日志贴到贴子上来。

运行HijackThis，先点[扫描系统并保存日志]或[Do a system scan and save a logfile]按钮，扫描完成后，LOG将会在自动弹出的记事本中
显示，再从记事本里复制/粘贴到贴子里。如果LOG比较长，一贴发不完，你可以分成几个部分发在回贴里。

Logfile of HijackThis v1.99.1
Scan saved at 11:52:26, on 2005-8-22
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\KAV6\Kulansyn.EXE
C:\KAV6\KpopMon.EXE
C:\KAV6\KWatchUI.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\KAV6\MailMon.EXE
C:\WINDOWS\System32\taskmgr.exe
F:\HijackThis.exe

O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\assist\asbar.dll
O3 - Toolbar: 金山毒霸 - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\KAV6\KAIEPlus.DLL
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - HKLM\..\Run: [OfficeScanNT 监控程序] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [KAVRun] C:\KAV6\KAVRun.EXE
O4 - HKLM\..\Run: [Kulansyn] C:\KAV6\Kulansyn.EXE
O4 - HKLM\..\Run: [KpopMon] C:\KAV6\KpopMon.EXE
O4 - HKLM\..\Run: [iDuba Personal FireWall] C:\KAV6\KAVPFW.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [iDuba Personal FireWall] C:\KAV6\KAVPFW.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing)
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://hot.3721.com/rd/shop_btn.htm (file missing)
O9 - Extra button: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - Extra button: 金山卓越 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - url:http://www.joyo.com (file missing)
O9 - Extra button: 金山毒霸网站 - {e1fc9760-7b95-49cd-80b9-8c9e41017b93} - url:http://www.duba.net (file missing)
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra button: 在线查毒 - {f58d36c3-40be-4418-a786-d8fbe3eb3554} - C:\KAV6\kavie.HTM
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O11 - Options group: [!CNS]  网络实名
O16 - DPF: {5DD731E6-D4F0-11D3-BE3F-00105A6FDA50} (V3ProX Control) - http://origin-www.ahn.com.cn/aspservice/plugin/myv3.cab
O16 - DPF: {9BBD100C-E820-4930-9937-E8F3AA40E584} (DFVSScanFile Control) - http://antivirus1.sunv.com/dfvsol/dfvsol.cab
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - http://advnt01.com/dialer/int_ver30.CAB
O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/DS3/DS3.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = foundersz.com
O17 - HKLM\Software\..\Telephony: DomainName = foundersz.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED101B08-59D6-42ED-827F-7D525EC95520}: NameServer = 192.168.0.4,211.98.2.4
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = foundersz.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = foundersz.com
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = foundersz.com
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\q6680gjue6o80.dll
O23 - Service: Kingsoft AntiVirus Service (KAVSvc) - kingsoft Antivirus - C:\KAV6\KAVSvc.EXE
O23 - Service: KDDelegateService - KINGDEE - C:\Program Files\KingDee\KDDelegateService.exe
O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Program Files\lotus\notes\ntmulti.exe
O23 - Service: OfficeScanNT 实时扫描 (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT 侦听程序 (tmlisten) - Unknown owner - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: Windows Management NetWork Service Extensions - Unknown owner - NetManager.exe (file missing)
O23 - Service: Windows Management Protocol v.0 (experimental) - Unknown owner - Rundll32.exe (file missing)
O23 - Service: _reg - Unknown owner - Rundll32.exe (file missing)

大虾：

  这个是我用同事的名字登录进去后用这个软件检查后生成的

  因为用我的名字是无法进去的！

  以上记录请大虾们多多留心！感激不尽！！

【回复“新进者”的帖子】
修复:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\q6680gjue6o80.dll
O23 - Service: Windows Management NetWork Service Extensions - Unknown owner - NetManager.exe (file missing)
O23 - Service: Windows Management Protocol v.0 (experimental) - Unknown owner - Rundll32.exe (file missing)
O23 - Service: _reg - Unknown owner - Rundll32.exe (file missing)

停止服务:开始--控制面版--管理工具--服务--分别找到Windows Management NetWork Service Extensions,Windows Management Protocol v,_reg属性--改成已禁用

显示隐藏文件,删除以下文件:
C:\WINDOWS\system32\q6680gjue6o80.dll

您是否使用了代理上网?

是啊
我是工作电脑，所以是用的代理上网

我刚刚按照版主的方法去做，下面几步做不到，说正在使用程序，无法修改，是不是与代理上网有关呢？
停止服务:开始--控制面版--管理工具--服务--分别找到Windows Management NetWork Service Extensions,Windows Management Protocol v,_reg属性--改成已禁用

显示隐藏文件,删除以下文件:
C:\WINDOWS\system32\q6680gjue6o80.dll

不能停止服务？重启后看看是否能停用。如果还是不行就算了，直接到注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetManager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rundll32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rundll32

删除该项。

对于删除C:\WINDOWS\system32\q6680gjue6o80.dll
可以尝试重启后删除或使用killbox删除。

版主所说的方法我已进行操作，除下述操作找不到文件外其余都已操作
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetManager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rundll32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rundll32
上述三个在注册表里没找到
停止服务:开始--控制面版--管理工具--服务--分别找到Windows Management NetWork Service Extensions,Windows Management Protocol v,_reg属性--改成已禁用

上述两项无法修改


因我这些操作都是用同事名字登录进去操作的，现在用我的名字登录还是无法进入桌面，输入我的登录名后，点登录就无法进去，查看任务管理器就会看到进程EXPLORER.exe占用99% 的内存，并弹出网站（www.ad-w-a-r-e.com/cgi-bin/popupv3?id={76d76c7b-2443-c63d-b6e1-2dbf3dccce89}&type.......）（省略号表示后面的内容看不到了）

【回复“新进者”的帖子】
运行hijackthis--杂项工具--创建启动列表日志.

把生成的日志贴上来.