具体情况是这样的，一个白痴（大白痴）用我的机子上网页后，我发现有问题，用HIJACKTHIS扫描后做了修理，因为前面来这里问过斑竹类似的问题，很顺利的修复那些可疑项，其中包括：

O17 - HKLM\System\CCS\Services\Tcpip\..\{B128017B-3044-47C8-9568-9BB1DC03D85B}: NameServer = 69.50.188.180,85.255.112.5

修复后一切不正常现象消失，以为修复完毕，今天又发现了问题，在浏览“华军软件园”时会非正常的停顿，而后会出现“买麦网”（www.mymai.com）网页，不过不是普通的页面，而象是镶嵌在IE里的网页，没有菜单，没有快捷按钮。关闭浏览器后扫描，再次出现上面提到的那一项，修复后再上华军，又出现停顿后显示“买麦网”，再次修复后，有意打开其他网页（百度，驱动之家...），多次后也没有问题，再次打开华军后，就又...
我不太相信华军会在网页上做什么手脚，那个买麦网到是听过恶名，是不是我还是没有清除干净机子里的病毒？麻烦的是我不知道大白痴是在哪里染上的病毒，又不敢去专门打开买麦网以身试毒，请斑竹指教下病毒还能藏在哪里？怎么启动和添加的？

附原始扫描记录：
Logfile of HijackThis v1.99.1
Scan saved at 12:05:05, on 2005-7-12
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

运行进程:           
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINDOWS\System32\RUNDLL32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\FarStone\VirtualDrive\Netsrv.exe
C:\WINDOWS\System32\wuauclt.exe
F:\常用工具\hijackthis\HijackThis.exe

O2 - BHO: EyeOnBrowser Class - {1272F701-349D-4DB3-BBCD-10CBDCD049FE} - C:\WINDOWS\Downlo~1\_IS_WEBH.dll
O2 - BHO: (no name) - {3D898C55-74CC-4B7C-B5F1-45913F368388} - C:\WINDOWS\System32\mewin.dll
O2 - BHO: URLMonitor Class - {3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} - C:\WINDOWS\System32\hap.dll
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: DownloadValue Class - {616D4040-5712-4F0F-BCF1-5C6420A99E14} - C:\WINDOWS\System32\winhtp.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (没有文件) 
O2 - BHO: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\Progra~1\Baidu\bar\BaiDuBar.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (没有文件) 
O3 - Toolbar: 完美网译通 - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - C:\WINDOWS\WORLD2\TOOLBAR\hmtoolbar.dll
O3 - Toolbar: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\Progra~1\Baidu\bar\BaiDuBar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Virtual Drive] "C:\Program Files\FarStone\VirtualDrive\vdtask.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [dflnl.exe] C:\WINDOWS\System32\dflnl.exe
O4 - HKLM\..\Run: [advapi32] RUNDLL32 C:\WINDOWS\Downlo~1\_IS_ISC.dll,isc
O4 - HKLM\..\Run: [dmpdu.exe] C:\WINDOWS\System32\dmpdu.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Virtual Drive] C:\Program Files\FarStone\VirtualDrive\vdtask.exe
O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"
O8 - Extra context menu item: 使用网际快车下载 - D:\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\FlashGet\jc_all.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O8 - Extra context menu item: 百度-搜索MP3 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDUMP3.HTM
O8 - Extra context menu item: 百度-搜索图片 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDUIMG.HTM
O8 - Extra context menu item: 百度-搜索新闻 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDUNEWS.HTM
O8 - Extra context menu item: 百度-搜索歌词 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDULYRIC.HTM
O8 - Extra context menu item: 百度-搜索网页 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDUSEARCH.HTM
O8 - Extra context menu item: 百度-搜索贴吧 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDUPOST.HTM
O8 - Extra context menu item: 百度-词典搜索 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDU_DIC.HTM
O9 - Extra button: 豪杰超级解霸9 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - d:\Herosoft\Hero 9\STHSDVD.EXE
O9 - Extra 'Tools' menuitem: 豪杰超级解霸9 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - d:\Herosoft\Hero 9\STHSDVD.EXE
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\WareOut\WareOut.exe (文件故障)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\WareOut\WareOut.exe (文件故障)
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d:oo.mht!http://195.95.218.83/users/sale/web/axe/x.chm::/update.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1120052560055
O16 - DPF: {F138084D-84D7-48CD-BEA8-04772457516E} (VqqSpeedDlProxy Class) - http://218.85.138.27/vqqsdl1009.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B128017B-3044-47C8-9568-9BB1DC03D85B}: NameServer = 69.50.188.180,85.255.112.5

其中大部分我已经修复，不过顺便请高手指教下，验证下我修的对不

刚才发完帖子转身又扫描了下，那一项又出现了，这次没有打开华军，不过出现了小停顿...可能因为还没有打开新网页，所以还没有出现买麦

O2 - BHO: EyeOnBrowser Class - {1272F701-349D-4DB3-BBCD-10CBDCD049FE} - C:\WINDOWS\Downlo~1\_IS_WEBH.dll
O2 - BHO: (no name) - {3D898C55-74CC-4B7C-B5F1-45913F368388} - C:\WINDOWS\System32\mewin.dll
O2 - BHO: URLMonitor Class - {3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} - C:\WINDOWS\System32\hap.dll
O4 - HKLM\..\Run: [dmpdu.exe] C:\WINDOWS\System32\dmpdu.exe

O4 - HKLM\..\Run: [dflnl.exe] C:\WINDOWS\System32\dflnl.exe

O2 - BHO: DownloadValue Class - {616D4040-5712-4F0F-BCF1-5C6420A99E14} - C:\WINDOWS\System32\winhtp.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (没有文件)
O2 - BHO: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\Progra~1\Baidu\bar\BaiDuBar.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (没有文件)
O3 - Toolbar: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\Progra~1\Baidu\bar\BaiDuBar.dll
O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\WareOut\WareOut.exe (文件故障)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Program Files\WareOut\WareOut.exe (文件故障)
如果使用了系统还原，请先关闭。
请关闭所有浏览器窗口和文件夹窗口, 在安全摸试下修复上面几项)（如果你清楚某项是安全的，可以不处理）
，将隐藏的文件不隐藏。找到下面几项
C:\WINDOWS\System32\dmpdu.exe
C:\WINDOWS\System32\dflnl.exe
C:\Progra~1\Baidu\bar\BaiDuBar.dll
C:\WINDOWS\System32\winhtp.dll
C:\WINDOWS\System32\hap.dll
C:\WINDOWS\System32\mewin.dll
C:\WINDOWS\Downlo~1\_IS_WEBH.dll
把它们删除。

谢谢，除了在安全模式下扫描（我的机子上安全模式无法运行HIJACKTHIS），其他全部照做了。
现在还剩017项无法彻底修复，帮忙再想想办法

O17提示“域劫持”，这是一些与DNS解析相关的改变。已知会造成此现象的恶意网站为Lop.com。上面在解释O1项时提到过，当在浏览器中输入网址时，如果hosts文件中没有相关的网址映射，将请求DNS域名解析以把网址转换为IP地址。如果恶意网站改变了您的DNS设置，把其指向恶意网站，那么当然是它们指哪儿您去哪儿啦！

2. 举例
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

3. 一般建议
如果这个DNS服务器不是您的ISP或您所在的局域网提供的，请查询一下以决定是否使用HijackThis来修复。已知Lop.com应该修复，似乎已知的需要修复的O17项也就此一个。

请问以下两项在安全模式下清除以后，为何在重启后又出现了，不知什么原因，请高手指点！先谢了！

C:\WINDOWS\System32\winhtp.dll
C:\WINDOWS\System32\hap.dll

【回复“初凡”的帖子】是不是备份没删掉？

有可能，我再试试，谢你了！

引用:

【建能的贴子】O17提示“域劫持”，这是一些与DNS解析相关的改变。已知会造成此现象的恶意网站为Lop.com。上面在解释O1项时提到过，当在浏览器中输入网址时，如果hosts文件中没有相关的网址映射，将请求DNS域名解析以把网址转换为IP地址。如果恶意网站改变了您的DNS设置，把其指向恶意网站，那么当然是它们指哪儿您去哪儿啦！ 2. 举例 O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com 017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175 3. 一般建议 如果这个DNS服务器不是您的ISP或您所在的局域网提供的，请查询一下以决定是否使用HijackThis来修复。已知Lop.com应该修复，似乎已知的需要修复的O17项也就此一个。 ...........................

太专业了，只明白一点点，是说这个017项的出现是我的ADSL服务商做的手脚么？或者是“可能”是电信做的？因为前面没有出现过这个网页，我的推断是最近感染所至，HOSTS表里也没有额外的项目（只有127.0.0.1      localhost），现在是他总是悄悄的出现，打枪地不要...那个DNS设置是在我自己机子的哪里设置啊？怎么设置？

本地连接--属性---TCP/IP协议中设置dns，dns的地址请咨询您的网络提供商