进一论坛，瑞星提示有Exploit,HTML.MHT病毒，赶快关闭网页，杀毒.....
打开进程管理器，没有异常启动项。但是查看c:\windows\explorer.exe程序进程时发现好像比过去多了两个程序－－1.snoghet_HOOK_DLL 2.snoghet.exe 在c:\windows目录下。
重启进入安全模式，把这两个程序换名移到别的文件夹，重启电脑系统可以正常使用，不知这两个程序是什么，版主和哪位高手知道，让我也放心

可能是灰鸽子,你扫个日志上来看看

隔了一个多小时就有朋友回答，非常感谢
请教，怎么扫日志？
我的系统是WinME，我认为它进程少，看管起来方便，所以一直用。
任何可以程序提出访问网络，我都禁止是否可以确保安全，用天网

用Autoruns保存一个日志发上来
日志保存方法:选择File->Save菜单项

工具使用参考http://forum.ikaka.com/topic.asp?board=28&artid=7318038第14楼

请到置顶贴“【公告】反病毒论坛暂行条例（2005.9.12更新）及本版常用小工具”下个HijackThis,用它扫个日志贴上来，方便别人帮你。

多谢神无，BlackStone ，七彩黄花菜萱草 ，扫描日志如下
－－－－－－－－－－－－－－－－－－－－－－－－－
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      16:04:55, 日期 2005-11-14
操作系统：  Windows ME (Win9x 4.90.3000)
浏览器：    Internet Explorer v5.50 (5.50.4134.0100)

当前运行的进程：         
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\RISING\RAV\RAVMOND.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\SKYNET\FIREWALL\PFW.EXE
C:\PROGRAM FILES\RISING\RAV\RAVTIMER.EXE
C:\PROGRAM FILES\RISING\RAV\RAVMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\北京通信\北京宽带通\APP\ENTERNET.EXE
D:\腾讯QQ 2005 珊瑚虫版\QQ.EXE
D:\腾讯TT浏览器\TTRAVELER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
E:\下载\2535952005811174944\HIJACKTHIS1991ZWW.EXE

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - 启动项HKLM\\Run: [internat.exe] internat.exe
O4 - 启动项HKLM\\Run: [SystemTray] SysTray.Exe
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] C:\PROGRAM FILES\SKYNET\FIREWALL\pfw.exe
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\RunServices: [RavMond] C:\PROGRA~1\RISING\RAV\RAVMOND.EXE
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - D:\网际快车 V1.60A\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - D:\网际快车 V1.60A\jc_all.htm
O8 - IE右键菜单中的新增项目: 豪杰超级解霸V8实时播放 - D:\豪杰超级解霸V8\MPURLGET.HTM
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\腾讯QQ 2005 珊瑚虫版\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\腾讯QQ 2005 珊瑚虫版\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\腾讯QQ 2005 珊瑚虫版\SendMMS.htm
O8 - IE右键菜单中的新增项目: Save豪杰超级解霸V8实时播放 - D:\豪杰超级解霸V8\MPURLGET.HTM
O8 - IE右键菜单中的新增项目: 导出当前页到超星阅览器(&A) - D:\超星图书浏览器\ss_all.htm
O8 - IE右键菜单中的新增项目: 导出选中部分到超星阅览器(&S) - D:\超星图书浏览器\ss_select.htm
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\网际快车 V1.60A\FLASHGET.EXE
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\网际快车 V1.60A\FLASHGET.EXE
O9 - 浏览器额外的按钮: 豪杰超级解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - D:\豪杰超级解霸V8\STHSDVD.EXE
O9 - 浏览器额外的“工具”菜单项: 豪杰超级解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - D:\豪杰超级解霸V8\STHSDVD.EXE
O10 - 未知的文件在 Winsock LSP: c:\windows\system\wspl32.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system\wspl32.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system\wspl32.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system\wspl32.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system\wspl32.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system\wspl32.dll

－－－－－－－－－－－－－－－－－－－－－－－－－－
前边都没异常，只是不知道wspl32.dll是什么。
那个1.snoghet_HOOK_DLL 2.snoghet.exe（隐藏文件） 文件我已删除，系统没异常。网上搜索也没人提过snoghet这个名字。我是浏览www.stockcci.com论坛时瑞星提示有毒后发现的，希望朋友再次回答

你的O4项我没看出什么异常。
你在日志后的说明中提到的1.snoghet_HOOK_DLL （是不是snoghet_HOOK.DLL？对一下好吗？）2.snoghet.exe（隐藏文件）象灰鸽子的东西。
在注册表中用snoghet.exe搜索一下，能否对应找到服务项？

我在网上搜索了一下：
核新公司利用winspl.dll这个文件，强行链接广告网页，在2005年4月就出现了，强行打一个绿色上网的广告，据说还是中国电信和网通的DNS服务器带有这个文件！
　　所以核新公司利用winspl.dll文件来强行链接自己的同化顺软件广告网页，不是第一家，被诺顿、卡巴斯基等顶级专业杀软判断为木马绝对没有冤枉核新公司！！！

非常非常感谢七彩黄花菜萱草
你说核新的那就对了，我用核新的同花顺。

另外，1.snoghet_HOOK_DLL 2.snoghet.exe（两个隐藏文件）3.snoghet.DLL三个文件自动进入到explorer.exe程序进程里，因为我用WinME所以进程有限，我就做了各进程的原始记录，这三个程序过去没有。我在安全模式删除了系统也没出现问题。大家如果见到可以警觉。
再次感谢论坛的朋友