【回复“我是新手天昭”的帖子】

O23 - NT 服务: svchost - Unknown owner - C:\WINDOWS\svchost.exe

这一项可能是灰鸽子的系统服务启动项。


》》关闭系统还原功能

》》清空IE临时文件夹

这些在顶楼贴子中的相关链接中均有说明。

【系统修复系列之】如何 停止系统服务
http://endurer.bokee.com/2578501.html

【系统修复系列之】如何 显示所有的文件和文件夹
http://endurer.bokee.com/2590659.html

【系统修复系列之】如何 清空IE临时文件夹
http://endurer.bokee.com/2722966.html

【系统修复系列之】如何 禁用 或 启用 Windows XP 系统还原
http://endurer.bokee.com/2575822.html

【回复“heyday”的帖子】

建议你：

1。到安全模式下查杀。


2。清空IE临时文件夹
可参考：【系统修复系列之】如何 清空IE临时文件夹
http://endurer.bokee.com/2722966.html

3。如果你启用了系统还原功能，请禁用此功能。

可参考：【系统修复系列之】如何 禁用 或 启用 Windows XP 系统还原
http://endurer.bokee.com/2575822.html

【系统修复系列之】如何 禁用 或 启用 Windows Me 系统还原
http://endurer.blogchina.com/2575853.html

4。重新启动到一般模式，再用瑞星扫描。

5。重新开启系统还原功能。

【回复“ncqd”的帖子】

请把C:\WINDOWS\TEMP\remotesetup.exe发到endurer@163.com

>>%SystemRoot%\Installer\{37C629F7-E196-4AE4-9547-30BA6E99AAEF}\_49442e40.exe没有找到（其搜索显示是C:\WINDOWS\Installer\{37C629F7-E196-4AE4-9547-30BA6E99AAEF}应用了一个不可用的位置，它可能是一个在本机或网络上的计算机的硬盘驱动器，请检查以确认此盘正确连接或者你连接到interner或你的网络上，然后再试一次，如果仍然不能定位，可能信息已经被移到其它地方）

如果这个东东不是你安装的，建议用HijackThis修复它。


》》还有上次删除的文件c:\windows\microsoft webserver.exe 又存在了

国为你的Win XP系统只打了SP1，还存不相当多的漏洞可以被利用。

请到安全模式下

停止并禁用服务Microsoft WebServer

设置系统显示所有文件和文件夹

删除C:\WINDOWS\Microsoft WebServer.exe

关闭所有文件夹和浏览器窗口，用HijackThis修复：

O4 - Global Startup: VIP.lnk = ?SystemRoot%\Installer\{37C629F7-E196-4AE4-9547-30BA6E99AAEF}\_49442e40.exe

O23 - NT 服务: Microsoft WebServer - Unknown owner - C:\WINDOWS\Microsoft WebServer.exe

关闭系统还原功能

请空IE临时文件夹

【回复“魔幻乱舞”的帖子】

》》我每次开机时瑞星防火墙都有显示清除Worm.Mail.Fanbot木马的信息

请确认是瑞星杀毒软件报告的还是瑞星防火墙的？

如果是瑞星杀毒软件报告的，请把瑞星杀毒软件的历史记录导出贴上来，方便大家分析。

》》安全模式下我也去杀了几次毒,但是无效...
不知是否查杀到病毒？

瑞星杀毒软件报告Worm.Mail.Fanbot，可能是由于灰鸽子插入explorer进程引起的。

还请使用HijackThis扫描一个LOG贴上来，方便大家分析。

【回复“魔幻乱舞”的帖子】

以下修复的操作方法可参考第125楼里的相关连接


1。启动计算机到Windows的安全模式下

2。停止并禁用系统服务Pigeon

3。开始--》设置--》控制面板--》添加删除程序，卸载青娱乐、完美网译通

如果要删除MMSAssist，请参考：
技巧:杀掉娱乐心空及MMSassist.dll - - 飘雪工作室
http://www.pxue.com/Html/510.html

4。设置系统显示所有文件和文件夹

5。寻找如下文件

C:\WINDOWS\foxse.exe
C:\WINDOWS\foxse.dll
C:\WINDOWS\foxse_dll.dll
C:\WINDOWS\system32\aucheck.exe
C:\WINDOWS\system32\ABBD9FF5.dll
C:\WINDOWS\system32\IEBHODLL.dll
C:\WINDOWS\system32\hookie.dll

先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

6。关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

R3 - URLSearchHook: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)

O2 - BHO: (no name) - {01A7A372-71E8-4022-9D76-B66BECF71A2E} - C:\WINDOWS\system32\IEBHODLL.dll

O2 - BHO: IEMenu Class - {5D8B0CBC-6A8F-4495-96F0-631BAEEC93A6} - C:\WINDOWS\system32\hookie.dll


O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll

O2 - BHO: (no name) - {88BF653B-4A6B-4C05-8CF9-EE321702547A} - C:\WINDOWS\system32\ABBD9FF5.dll

O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\qylhelper.dll


O3 - Toolbar: 完美网译通 - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - C:\WINDOWS\WORLD2\TOOLBAR\hmtoolbar.dll

O4 - HKCU\..\Run: [Update] C:\WINDOWS\system32\aucheck.exe

O23 - Service: Pigeon - Unknown owner - C:\WINDOWS\foxse.exe


7。关闭系统还原功能

8。清空IE临时文件夹



如果

O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll

这一项反复出现

请参考魔法学徒版主的贴再处理一下：
【讨论】关于stdup.dll反复出现、无法删除的解决办法
http://forum.ikaka.com/topic.asp?board=67&artid=7423269

【回复“ncqd”的帖子】

>>请问在删除C:\WINDOWS\Microsoft WebServer.exe时，电脑提示“此文件是系统文件，如果删除，您的计算机或某个程序可能无法正常工件”　还要删除它吗？

请先用压缩软件（如WinRAR, WinZIP）把C:\WINDOWS\Microsoft WebServer.exe打包备份，并把打包备份的文件发到endurer@163.com。

再把原文件C:\WINDOWS\Microsoft WebServer.exe删除。

》》如果删除了会不会有什么影响？
在拿到这个Microsoft WebServer.exe文件前还不好说。
目前估计不会对你的系统有什么影响。



》》还有VIP是我安装的（打电话用的），我就没修复这项，不会有问题吧。

如果你知道这项是安全的，自然不必处理。

【回复“尘封绝恋”的帖子】

从病毒名里的“backdoor”看，这是个后门程序。

瑞星病毒资料库里的信息：

http://it.rising.com.cn/antivirus/virusdataasp/viruslist.asp?id=76059


病毒分类  WINDOWS下的PE病毒  病毒名称  Backdoor.Berbew.b
别    名    　 病毒长度     
依赖系统    传播途径    　
行为类型  WINDOWS下的木马程序  感    染    　
病毒发作  瑞 星 版 本 号  　  17.11

【回复“蜡笔小忻”的帖子】

以下修复的操作方法可参考第125楼里的相关连接


1。启动计算机到Windows的安全模式下

2。停止并禁用系统服务WindowsUpdate

3。设置系统显示所有文件和文件夹

4。寻找如下文件

C:\WINDOWS\system32\mbprot.dll
C:\Program Files\WindowsUpdate\WinUp.exe

先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把WinUp.exe的打包备份文件发到endurer@163.com。

5。关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：


R3 - 默认的URLSearchHook丢失。用HijackThis修复

O14 - IERESET.INF: START_PAGE_URL=about:blank

O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - http://pcastdl.dudu.com/files/pCastCtl.cab

O18 - 列举现有的协议: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\system32\mbprot.dll
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - NT 服务: WindowsUpdate - Unknown owner - C:\Program Files\WindowsUpdate\WinUp.exe


6。关闭系统还原功能

7。清空IE临时文件夹

【回复“黑◆哥◆哥”的帖子】

以下修复的操作方法可参考第125楼里的相关连接


1。启动计算机到Windows的安全模式下

2。关闭系统还原功能

3。停止并禁用系统服务Windows Control Service (ClassService)和windows

4。建议卸载百度超级搜霸（开始--》设置--》控制面板--》添加删除程序）

5。设置系统显示所有文件和文件夹

6。寻找如下文件：

C:\WINDOWS\system32\Update.exe
C:\WINDOWS\system32\NtSysUpdate.exe
C:\WINDOWS\system32\Classsv.exe
C:\WINDOWS\system32\Classsv.dll
C:\WINDOWS\system32\Classsv_dll.dll
C:\WINDOWS\windows.exe
C:\WINDOWS\windows.dll
C:\WINDOWS\windows_dll.dll

把找到的文件先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

7。关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

O4 - 启动项HKLM\\Run: [Update] C:\WINDOWS\system32\Update.exe
O4 - 启动项HKLM\\Run: [sysupate] C:\WINDOWS\system32\NtSysUpdate.exe

O23 - NT 服务: Windows Control Service (ClassService) - Unknown owner - C:\WINDOWS\system32\Classsv.exe
O23 - NT 服务: windows - Unknown owner - C:\WINDOWS\windows.exe


8。清空IE临时文件夹

【回复“701106”的帖子】

没有发现可疑的服务项。

如果你的电脑/服务器工作不正常，请说明情况，并把完整的HijackThis的LOG发上来，方便大家分析。