新手的hijackthis日志

Logfile of HijackThis v1.99.0
Scan saved at 11:56:52, on 2006-3-5
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\SYSTEM32\RUNDLL32.EXE
C:\Program Files\Rising\Rav\RavService.exe
C:\WINNT\system32\regsvc.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
D:\电费管理\df.exe
C:\DOCUME~1\ADMINI~1\MYDOCU~1\新建文~1\ske\TrojanAssistant.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX01.835\HijackThis\HijackThis.exe

R3 - Default URLSearchHook is missing
O3 - Toolbar: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - 提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。
HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O14 - 后面无地址？IERESET.INF: SEARCH_PAGE_URL=
O14 - 后面无地址？IERESET.INF: START_PAGE_URL=
O17 -本地IP：安全 HKLM\System\CCS\Services\Tcpip\..\{F1809284-5678-42DA-8DA9-45F8B4709C1E}: NameServer = 61.139.2.69 61.139.2.69
O23 - Service: Decision Support Systems - Unknown - C:\WINNT\Explore.exe
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Netlog0n - Unknown - C:\WINNT\win32.com
O23 - Service:这个应该是流氓软件P4P Service - Unknown - C:\Program Files\P4P\p2psvr.exe (file missing)
O23 - Service:远程杀毒RavService - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\RavService.exe
O23 - Service:瑞星信息中心 Rising Process Communication Center - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service:瑞星实时病毒监控 RsRavMon Service - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe



我计算机上现在有病毒：
1：IEXPLORE。EXE (灰鸽子）
2：Trojan.RoortKit.d都是杀不死的
  当然还是在正常情况下是杀不死的。但是打开Windows的"搜索文件"，文件名称输入"_hook.dll"，
经过搜索，我们在Windows目录有2个这样的文件  mag_hook.dll
现在把具体内容体现：
  1  mag_hook.dll 
位置：C:\WINNT\system32
      C:\WINNT\system32\dllcache
大小：8.76 KB (8,976 字节)
      8.76 KB (8,976 字节)
占用空间：12.0 KB (12,288 字节)
          8.00 KB (8,192 字节) 
创建时间：2000年1月10日, 20:00:00
          2000年1月10日, 20:00:00
修改时间：2000年1月10日, 20:00:00
          2000年1月10日, 20:00:00
属性：高级：不同点————压缩或加密属性
      1 无勾： 压缩内容以便节省磁盘空间（C）
      2 有勾： 压缩内容以便节省磁盘空间（C）
文件版本： 4.10.1723.0
          4.10.1723.0
说明：Microsoft Magnifier hook library file
      Microsoft Magnifier hook library file
版权：Copyright ? 1997, 1998 by Microsoft Corporation
      Copyright ? 1997, 1998 by Microsoft Corporation
产品名称：Microsoft Windows Mag_Hook Library
          Microsoft Windows Mag_Hook Library
公司名称：Microsoft Corporation
          Microsoft Corporation
内部名称：Mag_Hook
          Mag_Hook
源文件名：Mag_Hook.dll
          Mag_Hook.dll
安全：第一个共计5个用户，都可以修改权限（允许。拒绝）
      第二个共计2个用户，都不可以修改（允许）权限
可以肯定其中一个是灰鸽子把
灰鸽子原理分析我们知道，如果mag_Hook.DLL是灰鸽子的文件，
则在操作系统安装目录下还会有mag.exe和mag.dll文件。
打开Windows目录，却没有这两个文件，
至于用于记录键盘操作的magKey.dll文件。
Key.dlL 文件我这里只有一个：softkey.dll并且无对应的EXE和DLL。

HijackThis1.99.1扫描有灰鸽子创建的进程：IEXPLORE。EXE
灰鸽子2005有一个弱点，可供手工杀毒时利用。这个弱点就是--
用HijackThis1.99.1扫系统日志，O23项可以显示灰鸽子注册的
系统服务名和可执行文件名

请斑竹帮我分析下系统服务名和谈下Trojan.RoortKit.d病毒的查杀

鸽子变种很多，查杀方法各异。

（1）杀软报告灰鸽子但杀不净；且
（2）HijackThis日志中发现异常O23项（如：O23 - Service: svchost (Windows Access) - Unknown owner - C:\WINDOWS\windr.exe）；且
（3）灰鸽子的文件在%windows% 目录下。

这类灰鸽子的手工查杀流程：

1、打开注册表编辑器，展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。删除灰鸽子的服务项。
怎么确认灰鸽子服务项的名字？看HijackThis日志O23的提示。如：O23 - Service: svchost (Windows Access)，
括弧中的Windows Access就是你要删除的灰鸽子服务项。
如果HijackThis日志O23的提示中没有括弧中的内容，
紧接在Service:后面的内容就是灰鸽子的服务名——删！
有人可能会问：这是不是笨了点儿？
在HijackThis面板中直接点击这个O23，再点击“修复”不就完了吗？
是的。我也知道有此一法。但这种方法并不能保证你总能修复掉这个异常的O23。
最后，还是要用注册表编辑器删除它。
2、重启系统。为什么要重启？
因为这类鸽子没有注册表监控。删除其服务项后，重启系统，
鸽子就不能运行了。这时，鸽子的文件可以随便删。

3、显示隐藏文件，删除鸽子的文件。
这类鸽子的文件都在%windows% 目录下。
%windows%是什么意思？%windows%是个变量符号，
表示“WINDOWS”目录。因为每个人的系统不一定都安装在相同的分区，
因此，只能这么表示。如果你的系统安装在C盘，%windows%指的是C:\WINDOWS；
如果你的系统安装在D盘，%windows%指D:\WINDOWS，依此类推。

怎么确认鸽子的文件名？还是看HijackThis日志。
Unknown owner - 后面的内容就是鸽子文件的所在位置及其文件名。本例是C:\WINDOWS\windr.exe）。

注意：除了可执行文件.exe外（本例是windr.exe），%WINDOWS%下可能还有包含可执行文件名的.dll文件（以本例为例，这些dll的文件名可能有windr.dll

我的问题是：023的那一项是异常O23项，望斑竹给于讲解判断的原因。
并给个衔接我去了解 下Trojan.RoortKit.d

Logfile of HijackThis v1.99.1
Scan saved at 19:47:22, on 2006-3-5
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\SYSTEM32\RUNDLL32.EXE
C:\Program Files\Rising\Rav\RavService.exe
C:\WINNT\system32\regsvc.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\notepad.exe
C:\WINNT\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.624\HijackThis.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.333\HijackThis\HijackThis.exe

R3 - Default URLSearchHook is missing
O3 - Toolbar: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1809284-5678-42DA-8DA9-45F8B4709C1E}: NameServer = 61.139.2.69 61.139.2.69
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINNT\system32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINNT\system32\urlmon.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINNT\system32\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINNT\system32\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINNT\system32\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINNT\system32\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINNT\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINNT\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINNT\system32\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINNT\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINNT\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINNT\system32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINNT\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINNT\system32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINNT\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINNT\system32\mshtml.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINNT\system32\mshtml.dll
O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINNT\system32\msdxm.ocx
O23 - Service: Decision Support Systems (DecisionSupport) - Unknown owner - C:\WINNT\Explore.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Netlog0n (Net Log0n) - Unknown owner - C:\WINNT\win32.com
O23 - Service: P4P Service - Unknown owner - C:\Program Files\P4P\p2psvr.exe (file missing)
O23 - Service: RavService - Unknown owner - C:\Program Files\Rising\Rav\RavService.exe" /service (file missing)
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

1:、打开注册表编辑器，展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services/Netlog0n
已经找到，是这个把，我要删除整个Netlog0n项。

读来毒网 朋友 呵，肯定的告诉我下，有点怕怕
还有我准备把：P4P SERVICE 一起在注册表里去掉，可以吗

Windows 98/ME用户运行HijackThis后如提示没有MSVBVM60.DLL文件，请下载这个VB包，其中有需要的文件：




http://download.microsoft.com/download/vb60pro/Redist/sp5/WIN98Me/EN-US/vbrun60sp5.exe

好了，现在已经无病毒！！！速度也恢复正常
我的方法是：
1：进入安全模式，去注册表里删除Net Log0n  DecisionSupport P4P Service 服务项
2  然后去 C:\WINNT\Explore.exe C:\WINNT\win32.com
  C:\Program Files\P4P\p2psvr.exe  把这些都 删除
3：_Hook.DLL我没搞，2个MAG_Hook.DLL请帮我判断下：具体内容在本帖的第一楼

恩：）是的，但是一般应该是几个。我这里个是2个
现在把具体内容体现：
1 mag_hook.dll
位置：C:\WINNT\system32
      C:\WINNT\system32\dllcache
大小：8.76 KB (8,976 字节)
      8.76 KB (8,976 字节)
占用空间：12.0 KB (12,288 字节)
        8.00 KB (8,192 字节)
创建时间：2000年1月10日, 20:00:00
        2000年1月10日, 20:00:00
修改时间：2000年1月10日, 20:00:00
2000年1月10日, 20:00:00
属性：高级：不同点————压缩或加密属性
1 无勾： 压缩内容以便节省磁盘空间（C）
2 有勾： 压缩内容以便节省磁盘空间（C）
文件版本： 4.10.1723.0
          4.10.1723.0
说明：Microsoft Magnifier hook library file
    Microsoft Magnifier hook library file
版权：Copyright ? 1997, 1998 by Microsoft Corporation
        Copyright ? 1997, 1998 by Microsoft Corporation
产品名称：  Microsoft Windows Mag_Hook Library
            Microsoft Windows Mag_Hook Library
公司名称：Microsoft Corporation
        Microsoft Corporation
内部名称：Mag_Hook
Mag_Hook
源文件名：Mag_Hook.dll
Mag_Hook.dll
安全：第一个共计5个用户，都可以修改权限（允许。拒绝）
第二个共计2个用户，都不可以修改（允许）权限