HijackThis_zww汉化版扫描日志 V1.99.1
保存于      14:15:43, 日期 2006-3-23
操作系统：  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\SYSTEM32\RUNDLL32.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\internat.exe
D:\Program Files\工具\qq\QQ.exe
D:\Program Files\工具\qq\TIMPlatform.exe
F:\查杀毒工具\HijackThis1[1].99.1\HijackThis1991zww.exe

R3 - URLSearchHook: (no name) - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - (no file)
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINNT\system32\xunleibho_v8.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: QuickBtn - {1A199C20-DE2B-4838-AE3F-B5257ECE2B7E} - C:\Program Files\CoolWebsite\QuickLink.dll
O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yphtb.dll (file missing)
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yangling.dll (file missing)
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\Program Files\工具\qq\QQIEHelper.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\YDRAGS~1.DLL (file missing)
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - C:\PROGRA~1\KuGoo3\KUGOO3~1.OCX
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - IE工具栏增项: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - F:\BitComet\BitCometBar\BitCometBar0.2.dll
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [NvCplDaemon] rem RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] rem nwiz.exe /install
O4 - 启动项HKLM\\Run: [zcom] \zPlatform.exe MIN
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - 启动项HKLM\\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - 启动项HKLM\\Run: [Update] C:\Program Files\Common Files\UPDAT\Update.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /Minimized
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\Program Files\工具\迅雷\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\Program Files\工具\迅雷\getallurl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Program Files\工具\qq\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用KuGoo3下载(&K) - C:\Program Files\KuGoo3\KuGoo3DownX.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\工具\qq\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\工具\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\工具\qq\SendMMS.htm
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - D:\Program Files\游戏\浩方对战平台\GameClient.exe
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\工具\qq\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\工具\qq\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\工具\qq\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\工具\qq\QQIEHelper.dll
O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://hu.520mov.com/plugin/PowerPlr.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/30bee8fbaf0d3f75d406/netzip/RdxIE601_cn.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132855703625
O16 - DPF: {7253A666-8D4A-11D7-A4DC-00E04C504779} (BDC Control) - http://wklds.kmip.net/BDC.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (趋势科技在线扫毒程序) - http://www.trendmicro.com.cn/housecall/xscan53.cab
O16 - DPF: {88734439-46D0-42C0-A13F-7E881EE550CF} (Filetran Control) - http://www.bluesky.cn/download/filetran.cab
O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F172543D-5847-4385-A792-1FCE9C4E7831}: NameServer = 61.130.254.34 61.130.254.35
O20 - AppInit_DLLs: APIHookDll.dll
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

【回复“々太子々”的帖子】
修复
R3 - URLSearchHook: (no name) - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - (no file)
O2 - BHO: QuickBtn - {1A199C20-DE2B-4838-AE3F-B5257ECE2B7E} - C:\Program Files\CoolWebsite\QuickLink.dll
O4 - 启动项HKLM\\Run: [zcom] \zPlatform.exe MIN
O4 - 启动项HKLM\\Run: [Update] C:\Program Files\Common Files\UPDAT\Update.exe

卸载
C:\Program Files\CoolWebsite\
C:\Program Files\zcom\

重启后删除
C:\Program Files\CoolWebsite\
C:\Program Files\zcom\
C:\Program Files\Common Files\UPDAT\

进入注册表
搜索www.9991.com
找到后全部删除

9991这个号称中国05年末最大的流氓网站凭借非正常手段用了三个月就窜上了ALEXA排名的百名左右，每日独立IP最高达到三百万左右。可是后来在网民的口诛笔伐之下，同时可能自己也觉得差不多了，于是收敛，装出一幅好人的样子，自己还挂上自己是一个“绿色网站”，想为自己摘掉“流氓”的帽子，可是随即访问量直线下降，最惨的时候每日仅仅为独立ip5万左右，排名到了10000之外，可是今日不知为何又突然蹿升到日排名140位左右，日均ip170万。
      现在9991.COM用的何处方式快速反弹，如果是说是正常，打死我也不信。他是作弊还是继续强*网民呢？

梦幻之都精灵族的部落长老 无名 (男) 于 2006-1-15 13:51:46 在第1楼高谈阔论
--------------------------------------------------------------------------------

经过几天的调查搜索，以及通过各种渠道联系到庞公司人员，挖掘了一线资料。
庞升东为人浮夸，善于攻心，并且此人靠炒股票，玩证券起家，十分喜欢投机，走捷径。
庞升东证券相关公司有：至诚证券http://www.zhicheng.com 海顺证券http://www.haishun.com.cn
9991.com 999x.com 7mp3.com 600001.com zhicheng.com haishuen.com.cn这几个超级病毒站点都是庞升东所有，庞升东此人喜欢收集域名，域名众多。51.com.86.net等等数百个。
此人极度圆滑，不要廉耻。
http://pangshengdong.com/log54.html
4、最近几天的恶意攻击事件已经报案，在上海公安局的协助下，排查工作正在展开，同时我们也请来了新浪和盛大的技术专家来协助。我们会用技术、法律以及其他各种方法来保护自身权益，毕竟，51.com 60多号人都已经压宝在上面，我们输不起，只能不惜代价——拼命！
5、我们从来没有想过要去害人，尽管我们有相当的实力，无论是技术、资金、政府背景以及其他歪门邪道的关系。但是，当我们的生存根本受到威胁的时候，我们惟有反击。
庞升东的站点都是在做病毒捆绑等，谈什么不去害人。坏事做尽，定没好报，难道中国这么大，就没人管的了庞升东???，我身边的朋友，同事，机器几乎都中了9991，可见其覆盖面之广，到底9991捆绑了多少病毒软件???希望真的有人来管管！！此人通过大量软件捆绑的病毒恶毒之极，经常造成死机，自动重启，机器变慢等各种症状。
如何让这么多站点进入Alexa世界排名百位，千位呢?捆绑了多种百万用户级别常用共享软件，其捆绑思路与众不同，设置了潜伏时间，滞留了升级程序，也就是说每个机器都可以在他们的控制下随机弹出其他几个站，并且一旦中招并不立即毒发，有几个小时甚至一天的潜伏期，届时你可能在干其他的，或者浏览网站，怎么也不会想到是因为几个小时甚至几天前用的东西导致的病毒，什么东西捆绑量那么大呢?

捆绑软件：
1.多多QQ表情，几百万台机器安装。http://www.qqhelper.com
2.连连看，过千万台机器安装。 http://lianliankan.363.net华军下载排行：ht.../hits/all_1.htm 光此页连连看的下载量就近千万，何况除了华军还有天空，PCHOME等大的下载站。
3. 陈桥智能五笔，过千万台机器安装。http://www.znwb.com/
其他还有很多。

9991根本不是绿色站点，首页上写的各大网站报纸报道等全部都是花钱做的。推广也并非是外界说的外包。庞生东何其聪明，他有几百万去外包吗?出来混的，迟早要还的，庞升东，你的末日到了，在上千万台机器上投放病毒，严重影响用户使用，血债血还！！！

51.com
Alexa数据：http://www.alexa.com/data/details/traffic_details?q=&url= www.51.com
此站点没做过任何弹出，病毒。为什么?域名太贵了！庞升东花了98万人民币买的。牌子杂了，臭了，谁会买及投资?这个站点如何做到500位?靠其他强奸上千万台机器上的站点广告做到的。也就是说，他的病毒站关键位置全部都有51.com的横幅或者文字广告，而51.com就是以视频拍照为主的一个交友站，所以很能吸引用户注册登陆，从而获得高的排名和流量。而51.com上的美女帅哥大部分皆是视频舞女等。
关键词：
大家可以通过各种搜索引擎搜索一下下列关键字。
搜索：qcssbl9 五笔，qcssbl9 9991，qcssbl9 999x，qcssbl9 600001，qcssbl9 多多QQ表情，
搜索：9991弹出，9991病毒，9991捆绑，9991.com 弹出，9991.com 病毒，9991.com 捆绑。
以此改动重复部分搜索：999x，7mp3， 600001，zhicheng，haishuen。等关键词
百度知道：
http://zhidao.baidu.com/q?word=9991&ct=17&...=ikaslist&rn=10
新浪爱问：
http://iask.sina.com.cn/search_engine/sear...ne.php?key=9991

1．9991.com 网址网站+分类信息
Alexa数据：http://www.alexa.com/data/details/traffic_details?q=&url=www.9991.com
中招设置：设置主页。
2．999x.com 游戏网站
Alexa数据：http://www.alexa.com/data/details/traffic_details?q=&url=www.999x.com
中招设置：弹出网页。
3．7MP3.com 音乐网站
Alexa数据：http://www.alexa.com/data/details/traffic_details?q=&url=www.7MP3.com
中招设置：弹出网页。
4．600001.com 证券网站跳转域名
http://www.alexa.com/data/details/traffic_...=www.600001.com
中招设置：弹出网页。
5．至诚证券 证券网站（骗会费）
http://www.alexa.com/data/details/traffic_...ww.zhicheng.com
中招设置：弹出网页。
6．宁波海顺 证券网站（骗会费）
http://www.alexa.com/data/details/traffic_....haishun.com.cn
中招设置：弹出网页
7．还有很多域名站点等……

最近3天内，9991.com将合并到51.com，以此来去骗钱，圈钱。如果有人会投资庞生东此人的公司，看来眼睛也瞎了，风险投资公司都可以倒闭了。大家看看他如何合并，如何让51进入Alexa百位内的吧。

真讨厌