HijackThis_815汉化版扫描日志 V1.99.1
保存于      9:24:13, 日期 2005-11-16
操作系统：  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
D:\RISING\RAV\Ravmond.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
d:\Winfgate\winntfgate.exe
C:\WINNT\system32\regsvc.exe
D:\RISING\RAV\CCENTER.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\ZETRONIC\ZEUPDATE\zeupdsvr.exe
d:\Winfgate\ServerGuard.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\system32\CTHELPER.EXE
C:\Program Files\Creative\SBLive\Surround Mixer\CTSysVol.exe
D:\RISING\RAV\RAVTIMER.EXE
C:\WINNT\system32\internat.exe
C:\Hintsoft\Pubsrv\Pubsrv.exe
C:\Hintsoft\Pubsrv\RecBmp.exe
C:\Hintsoft\Pubsrv\LockClient.exe
D:\Program Files\Zetronic\过滤王网吧版2.8 - 控制台\PW_Manager.exe
C:\WINNT\system32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
E:\hj\HijackThis1991汉化版\HijackThis1991zww.exe

O4 - 启动项HKLM\\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - 启动项HKLM\\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - 启动项HKLM\\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL;ctaud2k.sys
O4 - 启动项HKLM\\Run: [WINDVDPatch] CTHELPER.EXE
O4 - 启动项HKLM\\Run: [CTSysVol] C:\Program Files\Creative\SBLive\Surround Mixer\CTSysVol.exe /r
O4 - 启动项HKLM\\Run: [RavTimer] D:\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] D:\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [internat.exe] internat.exe
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - Global Startup: Pubwin4服务版.lnk = C:\Hintsoft\Pubsrv\Pubsrv.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - d:\Thunder Network\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - d:\Thunder Network\Thunder\getallurl.htm
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\QQ\QQ.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAB7E080-2A9D-40DE-9C0F-E1CE1A6F9581}: NameServer = 219.146.0.130,218.56.57.58,219.150.32.132,202.102.134.68
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - NT 服务: Creative Service for CDROM Access - Unknown owner - C:\WINNT\system32\CTsvcCDA.exe (file missing)
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: FG3000 Server (FG3000Server) - Zhuhai Zetronic Ltd. - d:\Winfgate\winntfgate.exe
O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - D:\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\RISING\RAV\Ravmond.exe
O23 - NT 服务: Zetronic Update Service (ZeupdServer) - Zhuhai Zetronic Ltd. - C:\Program Files\ZETRONIC\ZEUPDATE\zeupdsvr.exe

重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows

显示隐藏文件

双击我的电脑--工具---文件夹选项--查看选项卡--单击选取"显示隐藏文件或文件夹"--清除"隐藏受保护的操作系统文件（推荐）"复选框。在提示您确定更改时，单击“是”--单击“确定”。

然后找到如下文件并删除（如果有的话）。

C:\WINNT\System32\winhelper.exe
C:\WINNT\System32\AlxUp.exe

【回复“魔法学徒”的帖子】
请问这两个是什么文件，从哪里看出这两个文件的存在。可以回复一下吗。

木马程序，隐藏在系统进程中，可以借助一些反病毒工具查看到！

请参考：
关于--IE总是弹出www.deepdo.com和www.u4123.com的解决办法
http://forum.ikaka.com/topic.asp?board=67&artid=7380599