主页又变成了www.9991.com了,昨天也发帖询问过,改过来了,谁知今天又这样了><
这是什么烦人的网站啊.



HijackThis_zww汉化版扫描日志 V1.99.1
保存于      16:51:29, 日期 2006-3-29
操作系统：  Windows XP SP1 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\RUANJIANANZHUANG\RISING\RISING\RAV\CCENTER.EXE
C:\WINDOWS\Explorer.EXE
D:\ruanjiananzhuang\Rising\Rising\Rav\Ravmond.exe
d:\ruanjiananzhuang\rising\rising\rfw\rfwsrv.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
D:\ruanjiananzhuang\Rising\Rising\Rav\RavTask.exe
D:\ruanjiananzhuang\Rising\Rising\Rfw\rfwmain.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\MSMSGS.EXE
D:\ruanjiananzhuang\Rising\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\WINDOWS\System32\svchost.exe
D:\ruanjiananzhuang\Rising\Rising\Rav\RavStub.exe
D:\ruanjiananzhuang\Real\RealPlayer\RealPlay.exe
D:\ruanjiananzhuang\Rising\Rising\Rav\Rav.exe
D:\ruanjiananzhuang\Rising\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\2535952005811174944\HijackThis1991zww.exe

O2 - BHO: QuickBtn - {1A199C20-DE2B-4838-AE3F-B5257ECE2B7E} - C:\Program Files\CoolWebsite\QuickLink.dll
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\ruanjiananzhuang\Tencent\QQ\QQIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\RUANJI~1\FLASHGET\jccatch.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\RUANJI~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\KakaTool.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [NMGameX_AutoRun] C:\WINDOWS\System32\Rundll32.exe NMGameX.dll,LiveProcess /aa
O4 - 启动项HKLM\\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - 启动项HKLM\\Run: [RavTask] "D:\ruanjiananzhuang\Rising\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [RfwMain] "D:\ruanjiananzhuang\Rising\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - Startup: 腾讯QQ.lnk = D:\ruanjiananzhuang\Tencent\QQ\QQ.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\ruanjiananzhuang\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - D:\ruanjiananzhuang\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - D:\ruanjiananzhuang\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\ruanjiananzhuang\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\ruanjiananzhuang\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\ruanjiananzhuang\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - 浏览器额外的“工具”菜单项: Sun Java 控制台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - 浏览器额外的按钮: 实用网址导航 - {1D901067-2529-4A9B-9B6B-7A1DB3A44CB5} - C:\Program Files\CoolWebsite\QuickLink.dll
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\ruanjiananzhuang\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\ruanjiananzhuang\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\RUANJI~1\FLASHGET\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\RUANJI~1\FLASHGET\flashget.exe
O9 - 浏览器额外的按钮: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - 浏览器额外的“工具”菜单项: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\ruanjiananzhuang\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\ruanjiananzhuang\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122612879671
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O16 - DPF: {A984ED9F-E8DA-44E5-BC18-C14B9ABEF79D} (photo_uploader Control) - http://upload.photo.163.com/photoup.cab
O16 - DPF: {AC3A36A8-9BFF-410A-A33D-2279FFEB69D2} (Qzone Media Tools) - http://219.133.62.236/QQPlayer.cab
O16 - DPF: {F381FC65-D92D-4410-B865-E4E9713994E8} (Cytd Encipherment Memory) - http://202.99.42.177/sso/ccitpay.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3486B3A-E0B5-4E0C-AE33-2E70EB5AB7A6}: NameServer = 202.106.46.151 202.106.0.20
O18 - 列举现有的协议: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\System32\mbprot.dll
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\ruanjiananzhuang\rising\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\RUANJIANANZHUANG\RISING\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\ruanjiananzhuang\Rising\Rising\Rav\Ravmond.exe

【回复“樱桃思思”的帖子】
参考
http://forum.ikaka.com/topic.asp?board=67&artid=7926199

【回复“不言放弃”的帖子】
>_<不太明白啊~

“开始－－控制面板－－管理工具－－服务
禁用其服务”

在这里没有找到那个服务啊~

而且从没去过这个网站，怎么就从前天开始被劫持了呢》《

菜菜晕~~~我的浏览器也被这个网页劫持了,和楼主一样找不到那个什么服务啊

实在不行　就试试这样：
1.清除IE的临时文件
2.打开注册表　查找　www.9991.com
找到后　把www.9991.com改为自己熟悉的网页
3.按F3键　再把www.9991.com改为自己熟悉的网页
重复F3键　直到没找到www.9991.com

我前几天也是中了这个网页的毒　　是这样把它清掉的

【回复“萧萧2002”的帖子】
【回复“樱桃思思”的帖子】

http://forum.ikaka.com/topic.asp?board=67&artid=5188931
下载System Repair Engineer 2.0.12.350 RC1版
导出全部日志

附：对付www.9991.com的方法

一段时间不知道安装了哪一款软件，搞得偶地IE每次重新启动计算机后就被www.9991.com占领主页，想想偶地水平，甚是郁闷。

　　没有办法，只能再操工具对付这个无耻的家伙了。输入msconfig，打开启动项一看，有一个update.exe启动着，顺手打开任务管理器，看了一下，没有Update.exe这个程序运行，偶就把这个启动项给勾掉了，然后根据启动项的启动目录，找到C:\Program Files\Common Files内，对准Update目录，按下DEL键，居然提示不能删除，郁闷！

　　看了一下通用文件夹下，还有一个SAND文件夹，这个文件夹也不是什么好玩意，按下DEL，一并清理，将IE主页恢复，重新启动计算机，再次找到Update目录夹，按下DEL，这次它乖乖地和垃圾呆在一起了。打开IE一看，主页已经被我顺利收复。

　　全盘搜索了一下，发现在c:\windows\system32下还有一个update.exe，确认了一下日期及公司，一并删除。

　　至此，搞定9991.com！

-----------
如果C:\Program Files\Common Files下没有SAND目录
就到COMM目录下 看看有没有network.exe 之类的文件
删除COMM目录

综上所述 解决方法是到安全模式下
删除C:\Program Files\Common Files\Update
C:\Program Files\Common Files\SAND
C:\Program Files\Common Files\COMM
删除C:\WINDOWS\system32\update.exe
C:\WINDOWS\system32\NtSysUpdate.exe

9991.com这个垃圾网页困扰了我一段时间，其实什么修复的作用不大，快则半小时，慢则半天它又会变成自动首页(除非你锁定注册表)。原因它不但修改注册表，还把恶意软件自动复制到各分区随意目录，如果不把它 彻底删除，即使重装系统意义也不大。注意，这个修改首页的垃圾东西与另一个恶意软件捆绑，即“多多QQ表情”。

首先按照以下方法删除：

【注意】多多QQ表情---带病毒
安装程序运行后会产生以下文件：
%ProgramFiles%\Common Files\SAN\AdInstall.exe(注意该文件夹有时可能名为SAND而非SAN，下同)
%ProgramFiles%\Common Files\SAN\diskman.exe
%ProgramFiles%\Common Files\SAN\svr.dat
%ProgramFiles%\Common Files\SAN\updatesr.ini
%ProgramFiles%\Common Files\Upd\update.dat（注意这一项的文件夹有时可能为UPDATE而非UPD，下同）
%ProgramFiles%\Common Files\Upd\update.exe
%ProgramFiles%\qqhelper\index.txt
%ProgramFiles%\qqhelper\uninstall.exe
%ProgramFiles%\qqhelper\多多QQ表情.exe

启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Update"="%ProgramFiles%\Common Files\Upd\update.exe"

服务：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Universal Disk Manager]
%ProgramFiles%\Common Files\SAN\diskman.exe
显示名：Universal Disk Manager
描述：监测和监视新的通用磁盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。如果此服务被终止，动态磁盘状态和配置信息会过时。如果此服务被禁用，任何依赖它的服务将无法启动。

%ProgramFiles%\Common Files\Upd\和%ProgramFiles%\qqhelper\是“多多QQ表情”的目录；
%ProgramFiles%\Common Files\SAN\应该不是“多多QQ表情”的，可能是广告性质的东西。

运行%ProgramFiles%\qqhelper\uninstall.exe可以卸载“多多QQ表情”，但也只是删除了这三个文件：
%ProgramFiles%\qqhelper\index.txt
%ProgramFiles%\qqhelper\uninstall.exe
%ProgramFiles%\qqhelper\多多QQ表情.exe

一般，%ProgramFiles%\Common Files\SAN\diskman.exe会出现在进程里，结束它的进程，删除相关服务：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Universal Disk Manager]

再删除%ProgramFiles%\Common Files\SAN\和%ProgramFiles%\Common Files\Upd\目录以及启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Update"="%ProgramFiles%\Common Files\Update\update.exe"


还有注册表里：HKEY_LOCAL_MACHINE\SOFTWARE\Lamp

最后
打开资源管理器，工具－设置－查看，选显示所有文件
然后，搜索所有硬盘驱动器，查找setuprun.exe文件，全部删除。

PS：这个软件在98、2000、XP各系统中的路径和文件夹不一定相同，但生成的文件名都是一样的。大家可以按其文件名查找、判断后加以清除。