单位的笔记本,开始由于机器启动极慢，故安装超级兔子，StarupFaster,在装兔子时上网找注册码时误安装了2006_7_3的程序,导致中毒.之后在安全模式下用瑞星杀毒,找到了以下的病毒:
Trojan.clicker.Delf.dk
Trojan.DL.Small.oaz
Trojan.DL.Agent.lpx
Trojan.DL.Samll.nzw
Trojan.DL.Agent.ldt
Trojan.DL.Direct.oaz

之后用HijackThis进行了BHO项的回复,但是注册表中的相应的项无法删除.
目前我的机器开机变得更慢，再做上述工作之前启动不了，而且运行极慢,outlook中的文件打不开，时有死机现象，我都有重装系统的心了。但是由于是单位的机器，因此现在勉强能够开机了。希望斑竹能给分析一下，帮助给出一个解决方案。谢谢！！！

Logfile of HijackThis v1.99.1
Scan saved at 15:26:39, on 2006-9-28
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Media\updata.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Rundll32.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\WINDOWS\System32\igfxsrvc.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\System32\SVOHOST.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Svchost.exe
C:\PROGRA~1\EFFICI~1\ENTERN~2\app\pppoeservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINDOWS\System32\CCM\CcmExec.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Utility\ha_hijackthis_1991\HijackThis~.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\Media\updata.exe,C:\WINDOWS\System32\userinit.exe,
O2 - BHO: (no name) - {08A312BB-5409-49FC-9347-54BB7D069AC6} - (no file)
O2 - BHO: 5940bar BHO - {15953528-6C01-481A-8DB4-01888FB85B7D} - (no file)
O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_5115.dll
O2 - BHO: (no name) - {23AB87A9-8D32-4266-AAAD-0EA93DABD7DB} - (no file)
O2 - BHO: XBTP03129 - {6029B367-250A-4696-925C-641709CA7381} - (no file)
O2 - BHO: (no name) - {C61A70F3-505E-4B90-916F-627A8706B4BC} - (no file)
O2 - BHO: (no name) - {CE7C3CF0-98A8-474D-B2B5-1ED7E2E3B004} - (no file)
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {6AE02E1C-8859-4F57-9097-5A55A56A4CAF}? - (no file)
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\kakatool.dll (file missing)
O4 - HKLM\..\Run: [RichMedia] C:\WINDOWS\System32\Rundll32.exe  "C:\PROGRA~1\pcast\hbcast.dll",WaitWindows
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\System32\WLTRAY.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\PROGRA~1\SkyNet\FireWall\pfw.exe
O4 - HKLM\..\Run: [SoundMam] C:\WINDOWS\System32\SVOHOST.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O8 - Extra context menu item: 访问通用网址 - C:\Program Files\CNNIC\Cdn\cnnic.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b}? - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b}? - C:\Program Files\Tencent\QQ\QQ.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://werbearqin.spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,912,0
O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (CPasswordEditCtrl Object) - https://account.qq.com/qqedit.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = faw-vw.in
O17 - HKLM\Software\..\Telephony: DomainName = faw-vw.in
O17 - HKLM\System\CCS\Services\Tcpip\..\{A05E2FDA-7A68-443D-98E7-E012E0901207}: Domain = faw-volkswagen.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{A05E2FDA-7A68-443D-98E7-E012E0901207}: NameServer = 168.168.0.8,10.112.192.25
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = faw-vw.in
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = faw-vw.in
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Program Files\Common Files\Microsoft Shared\Web Folders\pkmcdo.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\System32\msvidctl.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ic32pp - {BBCA9F81-8F4F-11D2-90FF-0080C83D3571} - C:\WINDOWS\wc98pp.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\System32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - C:\Program Files\SAP\FrontEnd\SapGui\SAPHTMLP.DLL
O18 - Protocol: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - C:\Program Files\SAP\FrontEnd\SapGui\SAPHTMLP.DLL
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\System32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\System32\msdxm.ocx
O18 - Protocol: vw-wi - {0F3C833F-FB28-40EA-8CB9-6A55B996C3F6} - C:\ElsaWin\bin\wiProt.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\System32\wiascr.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: ELSA Administration Service (LcSvrAdm) - Volkswagen AG - C:\ElsaWin\bin\LcSvrAdm.exe
O23 - Service: ELSA Auftragsverwaltungs Service (LcSvrAuf) - Volkswagen AG - C:\ElsaWin\bin\LcSvrAuf.exe
O23 - Service: ELSA DBA Server (LcSvrDba) - Volkswagen AG - C:\ElsaWin\bin\LcSvrDba.exe
O23 - Service: ELSA Historie Server (LcSvrHis) - Volkswagen AG - C:\ElsaWin\bin\LcSvrHis.exe
O23 - Service: ELSA PASS Server (LcSvrPAS) - Volkswagen AG - C:\ElsaWin\bin\LcSvrPas.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\EFFICI~1\ENTERN~2\app\pppoeservice.exe
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: ELSA Vaudis Service (VSGate) - Volkswagen AG - C:\ElsaWin\bin\VSgate.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

【回复“kakapashui”的帖子】
除了上述问题以外，office软件进入启动界面就不动了。
另外，瑞星的小绿伞也不见了

【回复“kakapashui”的帖子】
在线等，顶一下。

引用:

【仙剑VS景天的贴子】C:\WINDOWS\System32\wbem\wmiprvse.exe何物? ………………

我自己也不知道。
另外，我刚刚搜索了一下，我中了2006_7_3的病毒。以下是相关信息，不过我的症状没有他得厉害。


/////
第一次在tw发帖，我要咒骂一个叫刘玉冰！

今天用baidu找一个软件， 一下子就点进这个网站http://ballerium.cn/*s6qK!_k _@
一个页面接着一个页面的点，总于看到了真实的下载地址，我高兴啊，赶紧下下来
*G\6`!@ K$T  谁知刚点完这个名称为2006_7_3.exe的压缩包，精彩啊，我的电脑像天女散花般一下子弹出n个ie窗口，杀毒软件嘟嘟嘟的叫个不停，打开任务管理器，进程数量比往常倍增，cpu使用率嗖嗖嗖窜到100 %， 此刻我就想起起星爷那经典的台词，曾经有一个机会。。。，总之那个悔啊！
8VrW@ E?
w H,L-\7D    那么多流氓一下子冒出来，把平常对杀杀个别流氓软件还蛮在行的我搞的虚汗直冒，V1U/VHCi
只好down了个流氓软件清除助手来帮忙，杀来杀去，进安全模式，还有四个就是杀不了*wl'o8z!t/U
点一下名， 顺便问候一下这四个后台老板的女性亲属 6~xC!|S9^
yahoo助手fT3Oy} c.u;K A
3721上网助手  /i$~1r0KK5O7y+{(A
cnic中文上网 p!mJC ock5s*`o
开心运程速递?NH$RWi ?/A
重启后ie用不了了，电脑明显比往常慢了 ， 没辙了这种情况只能重装系统了，学会上网以来，第一次遇到这么郁闷的事，再次访问这个网站我更郁闷了，原来这个网站所有的软件下载连接下载下来的全是2000_7_3.exe， 压根就没一个正常的软件
Wg3Kb VH.?
Z
9{0Ji jpc#d/m] 面对流氓，我能怎么办，生活中可以打110，互联网上该怎么办？？？？$t psxp#x/S
灵光一闪，我想到违法和不良信息举报中心，赶紧登陆，谁知一细看，咱要举报的根本不在人家的受理范围。咋办呢，不能就这么的任它继续害人啊，俺去法院告他，我告谁呀？我找呀找呀找呀找，终于被我找到了，在互联网信息中心查到了这个流氓?0y&S LzJ%[%n
.CN Registry WHOIS Data #U qi;qY9}
dD5IH+e5Gi;B
Domain Name ballerium.cn
kSf3H bW1{8q Domain Status ok
4N!^W7|1eI5^ Registrant Name 刘玉冰
.Vm0u"DL2{'m Administrative Email fastdown@263.net k~0K W%U$[6st
Sponsoring Registrar 创联万网国际信息技术（北京）有限公司
9wX-K
tS"Cd Name Server dns9.hichina.com
j#R6P~;g
@.KhQ!n#Z+z Name Server dns10.hichina.com
N cU |%z%N3n!bh Registration Date 2006-02-19 23:53
WyC5Y:AM \-u ph2d;@ Expiration Date 2007-02-19 23:53 x8H3Vp/p
G^hs%M6L,M Z"mm
我告他啥呢，他违反了哪条法律呢，去法律网站找，找呀找呀找呀找，找到了告他的理由 ，互联网就是方便的，可是多了些流氓就一颗老鼠屎坏了一锅粥 @,m@6[Q

S ej?S4u%P 按照草案规定，有下列行为之一的，处五日以下拘留；情节严重的，处五日以上十日以下拘留：违反国家规定，侵入计算机信息系统，造成危害的；违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的；违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行的。 HMz/d.S
$c1sa`(O+o
下一步 索赔，他这种行为对我造成了伤害，理所当然得做点补偿9` {A)^x e
误工费：半天 *100元/天=50n}"T4| hx
精神损失费，5000              共计 ：5050元 +?)n,P%\El!`
缘由: 1, 被老板骂,老板规定上班期间不许装系统
'LIm\M Z C&wr\)C Y      2, 心理障碍,这次事件已经对我纯洁的心灵造成严重的伤害,e4n5@(Wz'c8t7tm
        今后我将不惮以最坏的恶意去揣度每个网站m@Wz/ku's5[z"i
        我在今后的网络使用中将会战战兢兢,小心面对每一个连接,
.z6R v[/h)d*X0i"~ 我已经就此事联系了律师,姓刘的等着收法院传单吧 ！！！！
//////

引用:

【仙剑VS景天的贴子】C:\WINDOWS\System32\wbem\wmiprvse.exe何物? ………………

刚找到的。

进程文件:wmiprvse或者wmiprvse.exe
进程名称: microsoft windows management instrumentation
描述: wmiprvse.exe是微软windows操作系统的一部分。用于通过winmgmt.exe程序处理wmi操作。这个程序对你系统的正常运行是非常重要的。
出品者:microsoft
属于: Windows系统
系统进程: 是
后台进程: 是
使用网络: 否
硬件相关: 否
常见错误: 未知
内存使用: 未知
安全等级:0
间谍软件:否
广告软件:否
病毒:否
木马:否

引用:

【水树雨下的贴子】安全模式，打开任务管理器中止进程 C:\WINDOWS\System32\SVOHOST.exe 找到并删除 C:\WINDOWS\System32\SVOHOST.exe 或者去下个落雪专杀，置顶的帖子有 ………………

万分感谢，基本搞定，但是在输入登陆名后进入到桌面的过程依然很慢，直到的1分多钟以上，不知大虾能否帮我分析分析。

另外：
C:\WINDOWS\System32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINDOWS\System32\CCM\CcmExec.exe
这又是什么程序？


kakapashui
我也不知道,但是我同事的笔记本里都有这两个进程.

我的机器目前还有很多问题，其中一个是：
运行HijackThis后，出现一个拷贝文件HijackThis~.exe
删除之后下次运行之后又出来。
请大虾帮忙给分析一下。万分感谢！！

引用:

【kakapashui的贴子】我的机器目前还有很多问题，其中一个是： 运行HijackThis后，出现一个拷贝文件HijackThis~.exe 删除之后下次运行之后又出来。 请大虾帮忙给分析一下。万分感谢！！ ………………

其他问题目前似乎已经解决，就剩下这一个问题了。
运行exe文件时同时产生一个~.exe文件，而且卡卡助手安装时提示不能创建临时文件夹。
请大虾帮帮忙，分析一下。

高手请过来看看！