REM0REG.EXE
AV1CAP.dll

这两个很奇怪. 怎么删都删不掉.

REM0REG.exe本来在进程里,我在安全模式下,进注册表把关于REM0REG的所有都删了.然后在C盘里把它也删了. 但是重新启动以后C:\WINDOWS\system 还有它.

AV1CAP.dll 这个在启动项里发现的,它在启动项里叫STORMSETEX, AV1CAP.dll是它所在目录的文件. 我也在安全模式下,进注册表删了它.然后在C:\WINDOWS\system
里也删了它. 重启以后它又出现了.

我用瑞星杀了毒,没有. 用AVG也杀了,也没有. 我就很奇怪,它俩到底是什么?
在百度也没有找到它俩的任何消息.

下面是我的日志.我从没扫过,不知道扫的对不对.
希望高手帮帮我.
Logfile of HijackThis v1.99.1
Scan saved at 11:58:16, on 2007-3-1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
D:\系统工具\瑞星2006\Rising\Rav\CCenter.exe
C:\windows\System32\svchost.exe
D:\系统工具\瑞星2006\Rising\Rav\Ravmond.exe
C:\windows\Explorer.EXE
D:\木马\AVG Anti-Spyware 7.5\guard.exe
C:\windows\system32\svchost.exe
C:\windows\system32\wscntfy.exe
C:\windows\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
D:\系统工具\瑞星2006\Rising\Rav\RavTask.exe
C:\windows\system32\ctfmon.exe
D:\系统工具\瑞星2006\Rising\Rav\Ravmon.exe
C:\windows\notepad.exe
C:\windows\system32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\系统工具\腾讯QQ\QQ显IP\Tencent\QQ.exe
D:\系统工具\腾讯QQ\QQ显IP\Tencent\QQ.exe
D:\系统工具\腾讯QQ\QQ显IP\Tencent\QQ.exe
D:\系统工具\腾讯QQ\QQ显IP\Tencent\TIMPlatform.exe
D:\扫描日志\HijackThis.exe

O2 - BHO: ThunderBHO - {0005A87C-D626-4B3A-84F9-1D9571695F55} - D:\系统工具\迅雷\ComDlls\XunLeiBHO_007.dll
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\windows\system32\xunleibho_v5.dll
O2 - BHO: IEExt Class - {634539A8-7FA8-45E2-8DC3-253AF98548A1} - C:\windows\system\MFS0FT.DLL
O2 - BHO: NavigatMon Class - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - D:\安全卫士360\360safe\safemon\safemon.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [DAEMON Tools-2052] "C:\Program Files\D-Tools\daemon.exe"  -lang 2052
O4 - HKLM\..\Run: [RavTask] "D:\系统工具\瑞星2006\Rising\Rav\RavTask.exe" -system
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O8 - Extra context menu item: &使用迅雷下载 - D:\系统工具\迅雷\Program\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\系统工具\迅雷\Program\getallurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\系统工具\腾讯QQ\QQ显IP\Tencent\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\系统工具\腾讯QQ\QQ显IP\Tencent\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\系统工具\腾讯QQ\QQ显IP\Tencent\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\系统工具\腾讯QQ\QQ显IP\Tencent\SendMMS.htm
O9 - Extra button: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - D:\系统工具\迅雷\Thunder.exe
O9 - Extra 'Tools' menuitem: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - D:\系统工具\迅雷\Thunder.exe
O9 - Extra button: (no name) - {223bc3fe-345a-ffee-3c9e-fe12345678e1} - C:\windows\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://bbx730.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {74447F9C-5691-4A9A-8BE4-564092E40B03} (VnetAnprIns Class) - http://plugin.vnet.cn/VnetPluginIns.CAB
O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (CPasswordEditCtrl Object) - https://password.qq.com/download/qqedit.cab
O16 - DPF: {E847C78C-C210-4195-8799-FBF3BF89797D} - http://www.duba.net/cab/KOSInit.cab
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\windows\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\木马\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\系统工具\瑞星2006\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\系统工具\瑞星2006\Rising\Rav\Ravmond.exe
O23 - Service: Shadow System Service (ShadowSystemService) - Unknown owner - C:\windows\system32\shadow\ShadowService.exe

装了影子系统？

log 中没有发现AV1CAP.dll 的启动项

到安全模式下, 用IceSword检查,如果AV1CAP.dll 被加截了,则卸载,强制删除

如果REM0REG.exe在运行,也终止它,强制删除

用WomRAR找到

C:\windows\system\MFS0FT.DLL

打包备份后删除

用HijackThis 修复:
O2 - BHO: IEExt Class - {634539A8-7FA8-45E2-8DC3-253AF98548A1} - C:\windows\system\MFS0FT.DLL

另外,

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\windows\system32\WPDShServiceObj.dll

WPDShServiceObj.dll 很可能是 Windows媒体播放器(Windows Media Player,WMP) 11的文件。

如果修复后电脑中的WMP工作不正常，你可从HijackThis中恢复
或者卸载重装WMP11

清空IE临时文件夹

十分感谢,问题已经解决.

但是我还是不清楚,那两个到底是什么啊?

O23 - Service: Shadow System Service (ShadowSystemService) - Unknown owner - C:\windows\system32\shadow\ShadowService.exe

Backdoor.MoonShadow？？？？
有点像～～～