HijackThis_zww汉化版扫描日志 V1.99.1
保存于      15:18:09, 日期 2005-10-28
操作系统：  Windows XP SP2, v.2096 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2096)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\drivers\WDelMgr20.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\日志扫描\HijackThis1991汉化版\HijackThis1991zww.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
O2 - BHO: WebMiscItem Class - {3CD4296F-6CC3-11D9-B888-000C299AA719} - C:\WINDOWS\system32\WebMisc.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - IE工具栏增项: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [POINTER] point32.exe
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] C:\PROGRA~1\SkyNet\Firewall\PFW.exe
O4 - 启动项HKLM\\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - 启动项HKLM\\Run: [doc] c:\windows\doc.exe
O4 - 启动项HKLM\\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: desktop.ini
O4 - Global Startup: desktop.ini

O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O23 - NT 服务: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - NT 服务: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: WDelMgr20 - Unknown owner - C:\WINDOWS\system32\drivers\WDelMgr20.exe

O4 - 启动项HKLM\\Run: [doc] c:\windows\doc.exe
    一个蠕虫病毒
   
    病毒行为：
   
    该病毒由3个文件组成病毒程序文件,两个dll文件。病毒程序文件运行后将从体内放出两个dll文件到％system％目录下，文件分别为：doc.exe,onde.exe
   
    之后病毒将向窗口classname为“Shell_TrayWnd”的进程(Explorer)注入自己放出的Doc.exe动态库。
   
    Doc.exe的主要功能是加载onde.exe。
   
    病毒功能主模块：Onde.exe
   
    该模块启动后，首先装病毒文件复制到％system％目录下。文件名为：
    readme.exeopen(一个zip文件),Readme.exe并在内存中保存一份复本。
   
    在注册表中
    SOFTWARE\DateTime2记录一些信息。
    如：第一运行，端口号，id等...并在注册表：
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run中加入自己的键值：gouday.exe以达到随系统启动的目的。当病毒为第一次运行时将启动notepad做为伪装。
   
    信息上传：
   
    病毒还将把一些信息（病毒后门端口号，id等）传到一些特定的网站。
   
    进程监控：
   
    病毒建立一个线程不断的遍历系统进程例表，杀死一些和自己体内进程名相符的进程。
    ATUPDATER.EXE，AVWUPD32.EXE，AVPUPD.EXE，
    LUALL.EXE，DRWEBUPW.EXE，ICSSUPPNT.EXE
    ICSUPP95.EXE，UPDATE.EXE，NUPGRADE.EXE，
    ATUPDATER.EXE，AUPDATE.EXE，AUTODOWN.EXE
    AUTOTRACE.EXE，AUTOUPDATE.EXE，AVXQUAR.EXE，CFIAUDIT.EXE，MCUPDATE.EXE，NUPGRADE.EXE
    OUTPOST.EXE，AVLTMAIN.EXE
   
    后门：
   
    病毒建立一个后门服务线程，该后门使用2047端口。可以执行如文件下载执行，自杀，病毒文件升级等功能。
   
    邮件传播：
   
    病毒搜索所有硬盘分区。 从以下扩展名文件中提取email地址并向其发送带毒邮件
    wab,txt,htm,html,dbx,mdx,eml,nch,mmf,ods,
    cfg,asp,php,pl,adb,sht
   
    邮件特征：
   
    附件为："随机字符".zip
   
    邮件带有以下之一的字串：
    Price.New, Price-list,
    Hardware devices price-list,
    Weekly activity report
    Daily activity report,Maria,
    Jenny,Jessica,Registration confirmation
    USA government abolishes the capital punishment,Freedom for everyone
    Flayers among us,From Hair-cutter,Melissa,
    Camila,Price-list,Pricelist
    Price list,Hello my friend,Hi!,
    Well....Greet the day,The account,
    Looking for the report
    You really love me? he he,
    You are dismissed,Accounts department,
    From me,Monthly incomings summary
    The summary,Proclivity to servitude,
    Ahtung!,The employee
   
    自杀：
   
    当前系统时间为2004年3月14日时，病毒自杀。

那怎么办啊....这么复杂啊!!~~~能告诉我该怎么清除吗???

在安全模式下杀毒试一下，不行的话，下个蠕虫专杀！

都试了....安全模式下杀了....专杀也杀了...还是杀不掉....我用的是卡巴!!!~~~还有金山也用了!!~~
晕啊...该怎么办啊!!!
现在我的扩展名都无法显示了...
去工具里改也改不掉

c:\windows\doc.exe
找到了把它删掉吧..
另外在注册表里,把带doc.exe的都删掉吧..注意先保存下注册表,以防删错!~

它是隐藏的...找不到...还有,你不是说它会复制几个文件吗...只删这个就可以了吗>>????

显示隐藏文件啊!~~
找到后删掉它..

显示不了....
意思就是说改不了啊...
你进去改了以后...退出来它又自动改过来了!!!~~~
晕啊.....真麻烦!!~~我现在真不知该怎么办了...

我想重装系统了....