其中两个用户名为：SYSTEM的iexplore.exe的进程应该是病毒。因为在没有打开网页的时候也会跳出来。还有就是最顶端的进程也十分可疑。在那个目录下我能找到那个文件，但是一结束进程就消失了。并且，他的名称并不是固定的。好像每次开机都会变一次。

另外参看了baohe版主的帖子。。使用了似乎没有发现鸽子。HijackThis1991zww这个系统检测软件，并没有发现版主所说的几个服务。。比较晕。

HijackThis_815汉化版扫描日志 V1.99.1
保存于      17:30:25, 日期 2007-3-19
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\PCGuard\PCGuard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE
C:\Program Files\Thunder Network\Thunder\Program\Thunder5.exe
D:\MYOA\bin\monitor.exe
d:\MYOA\MeChat\MeChat.exe
C:\WINDOWS\system32\rundll32.exe
d:\MYOA\mysql\bin\mysqld-nt.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
d:\MYOA\bin\Apache.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\System32\WatchClient.exe
C:\WINDOWS\system32\VrvEdp_m.exe
d:\MYOA\IMA\IMAServer.exe
C:\WINDOWS\system32\vrvsafec.exe
C:\WINDOWS\system32\vrvrf_c.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
D:\MYOA\bin\Apache.exe
C:\Documents and Settings\Administrator\桌面\防病毒办法\第三方任务管理器\PrcMgr_4.00\PrcMgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator\桌面\防病毒办法\系统检测工具\HijackThis1991zww.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - C:\Program Files\Super Rabbit\MagicSet\haokanbar.dll
O2 - BHO: jwhw - {934B9134-E6E4-44AD-BC50-A4979C6A0645} - C:\PROGRA~1\scqc\wgug.dll
O3 - IE工具栏增项: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - C:\Program Files\Super Rabbit\MagicSet\haokanbar.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [VTTimer] VTTimer.exe
O4 - 启动项HKLM\\Run: [VTTrayp] VTtrayp.exe
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - 启动项HKLM\\Run: [Thunder] "C:\Program Files\Thunder Network\Thunder\Thunder.exe" /s
O4 - 启动项HKLM\\Run: [PCGuard] C:\Program Files\PCGuard\PCGuard.exe /mini
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Super Rabbit IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD
O4 - Global Startup: 通达应用服务监视器.lnk = ?
O4 - Global Startup: 金山词霸 2002 体验版.lnk = C:\Program Files\Kingsoft\PowerWord 2002 Experience\xdict.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\getallurl.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - 浏览器额外的按钮: 红心游戏 - {00000000-DAEB-480d-867B-D746D955765B} - C:\Program Files\redheart\GameHall.exe
O9 - 浏览器额外的“工具”菜单项: 红心游戏世界 - {00000000-DAEB-480d-867B-D746D955765B} - C:\Program Files\redheart\GameHall.exe
O9 - 浏览器额外的按钮: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 浏览器额外的“工具”菜单项: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 浏览器额外的按钮: 卓越 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - C:\PROGRA~1\Kingsoft\POWERW~1\IEPlugin.dll
O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - 浏览器额外的按钮: 金山词霸 - {C8CE29C5-7589-11D3-B81B-0080C8DC5DC8} - C:\PROGRA~1\Kingsoft\POWERW~1\IEPlugin.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://10.1.1.5/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - http://10.1.1.5/officescan/console/ClientInstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://10.1.1.5/officescan/console/ClientInstall/setup.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://10.1.1.5/officescan/console/ClientInstall/RemoveCtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C4093E5-8C0D-4AB6-8216-ABB6A2C3C5E4}: NameServer = 202.102.134.68,202.102.128.68
O21 - SSODL: webwork - {4C611512-2C1D-44b2-A044-872AD2AD5A61} - C:\WINDOWS\webwork\webwork.dll
O23 - NT 服务: IMA_Server - Unknown owner - d:\MYOA\IMA\IMAServer.exe
O23 - NT 服务: DNS Cache (lDOMANE) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLLFROMWIN2000.EXE (file missing)
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: MeChat - Unknown owner - d:\MYOA\MeChat\MeChat.exe
O23 - NT 服务: MySQL_OA - Unknown owner - d:\MYOA\mysql\bin\mysqld-nt.exe
O23 - NT 服务: OfficeScanNT 实时扫描 (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - NT 服务: OfficeScanNT 个人防火墙 (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - NT 服务: Office_Anywhere - Unknown owner - d:\MYOA\bin\Apache.exe" -k runservice (file missing)
O23 - NT 服务: OfficeScanNT 侦听程序 (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - NT 服务: VRVWatchServer - Unknown owner - C:\WINDOWS\System32\WatchClient.exe" -service (file missing)



这是昨天下午扫描的日志。

回复版主：
1、d:\MYOA\这个目录下的程序不是我安装的。但有可能是别人安装的。毕竟是单位的机器。用的人很多。
2、刚才问过几个同事，也都对这个“北信源”不太了解。这台机器一直都是安装的趋势的网络版杀软。是不是和这个“北信源”什么关系呢？？

想起来了。前一阵子，有个搞OA办公自动化的人来我们这，有可能是他在做演示的时候安装的。

但是北信源的确不知道是怎么装上的了。。

【回复“taylor05771”的帖子】
发所有的截图。。。是指进程的截图还是什么？？

引用:

【taylor05771的贴子】http://bbs.hzva.org/viewthread.php?tid=42430&extra=page%3D1 参考上面的 帖子的做法 并在那个坛子 的版面中 发 所有的截图 ………………

您所给出的网址打不开。。。

Fatal error: Maximum execution time of 30 seconds exceeded in f:\bbs.hzva.org\include\db_mysql.class.php on line 65


这是他报错的内容。

刚才被领导抓去干活了。帖子已经刷新，随后我就试试看。同时感谢下楼上的提醒。

看明白了。我马上做。回头把它压缩好了。发上来。

【回复“taylor05771”的帖子】
截图已经发送。麻烦看下了。