瑞星卡卡安全论坛

建能老大，我昨晚照你推荐的方法去下载了一个新的HijackThis1991，今天分别在安全模式和正常的XP上网模式下扫描了两份Logo，请帮我分析一下，谢谢了！
安全模式Logo：
ackThis_815汉化版扫描日志 V1.99.1
保存于      16:53:44, 日期 2005-11-14
操作系统：  Windows XP  (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2600.0000)

当前运行的进程：         
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
F:\应用程序\HijachThis V1.99.2汉化版\HijackThis1991zww.exe

O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - D:\PROGRA~1\baidu\bar\baidubar.dll (file missing)
O3 - IE工具栏增项: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - D:\PROGRA~1\baidu\bar\baidubar.dll (file missing)
O4 - 启动项HKLM\\Run: [APVXDWIN] "D:\Program Files\Panda Software\熊猫卫士钛金版2004\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O10 - Broken Internet access because of LSP provider 'd:\program files\panda software\
O16 - DPF: {371B29D9-4563-4E7F-B93D-F85ED5682ABC} (CoRaise Player Object) - http://202.104.212.55/tsplay/tsplay.cab
O18 - 列举现有的协议: ipp - (no CLSID) - (no file)
O18 - 列举现有的协议: msdaipp - (no CLSID) - (no file)
O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - D:\WINDOWS\G_Server.exe
O23 - NT 服务: Panda Process Protection Service (PavPrSrv) - Panda Software - D:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - NT 服务: Panda anti-virus service (PAVSRV) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2004\pavsrv51.exe
O23 - NT 服务: Panda IManager Service (PSIMSVC) - Panda Software Internacional - D:\Program Files\Panda Software\熊猫卫士钛金版2004\PsImSvc.exe

-------------------------------------------------------------------------------

正常的XP上网模式Logo：
jackThis_815汉化版扫描日志 V1.99.1
保存于      17:00:32, 日期 2005-11-14
操作系统：  Windows XP  (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2600.0000)

当前运行的进程：         
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\PsImSvc.exe
D:\WINDOWS\System32\wdfmgr.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Panda Software\熊猫卫士钛金版2004\APVXDWIN.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\WebProxy.exe
D:\Program Files\VnetClient1.6\VnetClient.exe
F:\应用程序\HijachThis V1.99.2汉化版\HijackThis1991zww.exe

O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - D:\PROGRA~1\baidu\bar\baidubar.dll (file missing)
O3 - IE工具栏增项: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - D:\PROGRA~1\baidu\bar\baidubar.dll (file missing)
O4 - 启动项HKLM\\Run: [APVXDWIN] "D:\Program Files\Panda Software\熊猫卫士钛金版2004\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O10 - Broken Internet access because of LSP provider 'd:\program files\panda software\
O16 - DPF: {371B29D9-4563-4E7F-B93D-F85ED5682ABC} (CoRaise Player Object) - http://202.104.212.55/tsplay/tsplay.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A5220D4-E0CA-4A7C-810F-455C11C140B3}: NameServer = 202.96.128.86 202.96.128.166
O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - D:\WINDOWS\G_Server.exe
O23 - NT 服务: Panda Process Protection Service (PavPrSrv) - Panda Software - D:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - NT 服务: Panda anti-virus service (PAVSRV) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2004\pavsrv51.exe
O23 - NT 服务: Panda IManager Service (PSIMSVC) - Panda Software Internacional - D:\Program Files\Panda Software\熊猫卫士钛金版2004\PsImSvc.exe


请高手和各位大侠帮忙分析一下，谢谢！

[font_color=#FF0000]
请救救小弟！！！

重新启动到安全模式（进入安全模式的方法:重新启动电脑, 开机自动检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式(Safe Mode)进入Windows。）

开始→控制面板→性能和维护→管理工具→服务→查找Gray_Pigeon_Server→右击→属性→启动类型→禁止→应用→停止→确定。

请关闭所有IE界面，重新使用HijackThis扫描一次，选中下面建议修复的项目，让HijackThis修复，修复前请允许HijackThis保留备份。（如果楼主知道是安全的可以不必勾选）
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {371B29D9-4563-4E7F-B93D-F85ED5682ABC} (CoRaise Player Object) - http://202.104.212.55/tsplay/tsplay.cab

然后打开我的电脑→再点工具→打开文件夹选项→查看→把隐藏受保护的系统文件（推荐）和隐藏已知文件类型的扩展名的勾去掉→再显示所有文件→找到以下文件并删除：(如果有的话)
D:\WINDOWS\G_Server.exe
D:\WINDOWS\G_Server.dll
D:\WINDOWS\G_Server_hook.dll
D:\WINDOWS\G_Serverkey.dll

谢谢飞跃迷离老大的回复和指导，我昨天没空搞，现在立即去试。不过我还想请问飞跃迷离老大，这样搞会不会把系统也搞的崩溃了，要不要备份文件啊，请回答，谢谢！噢，对了，哪个baidu我在注册表编辑器里也不能删除，我一删它就会出问题，注册表编辑器连动也动不了，在安全模式下也是一样，我该怎么办，由于我是一个菜鸟，有些方法能不能讲得详细一点，拜托了，谢谢，如果看见了就请快点回答我，我及着要去尝试！

baidu可以用 流氓软件清理助手 1.45 Build 025 清除

彻底清理掉Baidu搜霸的办法：在纯Dos环境下清理Baidu搜霸.所以从1.43版本开始的流氓软件清理助手增加了另外一个delbaidu.exe,专门用于清理Baidu搜霸. 软件的使用方法很简单,启动计算机到纯Dos环境之后运行DelBaidu.exe,然后输入windows系统所在的目录,比如c:\winnt,或者c:\windows等,然后进行清理工作,清理完成后重新启动windows,再次运行流氓软件清理助手,Baidu搜霸已经可以彻底清理干净了.

下载地址：

http://www.anti-vir.cn/bbs/read.php?tid=1129&fpage=1
6楼附件

http://free5.ys168.com/?jerryni

飞跃迷离、魔法学徒两位老大你们好啊，我刚刚按照飞跃迷离老大所教的方法把哪个Gray_Pigeon_Server的祸害搞惦了，但是我现在的问题是，哪个baidu还在，我等会再按照魔法学徒老大所的方法去搞，这是第一个问题，第二个问题是，我现在的杀毒软件熊猫卫士钛金2004（不好意思我本来是用瑞星的，但后来我生日我朋友送了熊猫卫士给我当礼物，我没理由不用的，你们不会歧视不帮吧？！哈哈哈）不能正常升级了，本来我是设定为自动升级的，现在也行，只是升级过后还是不能加载哪个自动保护，和升级完了，但是显示还是当初那个日期，升级不了，我想应该还是有其他病毒影响！所以我都不知该怎么办，请两位老大帮帮忙吧，感激不尽，谢谢！

这是刚刚用HijackThis1991扫的两份新的扫描logo！如下：
2005-11-16(安全模式)：
This_815汉化版扫描日志 V1.99.1
保存于      17:41:44, 日期 2005-11-16
操作系统：  Windows XP  (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2600.0000)

当前运行的进程：         
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\system32\mmc.exe
F:\应用程序\HijachThis V1.99.2汉化版\HijackThis1991zww.exe

O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - D:\PROGRA~1\baidu\bar\baidubar.dll (file missing)
O3 - IE工具栏增项: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - D:\PROGRA~1\baidu\bar\baidubar.dll (file missing)
O4 - 启动项HKLM\\Run: [APVXDWIN] "D:\Program Files\Panda Software\熊猫卫士钛金版2004\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O10 - Broken Internet access because of LSP provider 'd:\program files\panda software\
O16 - DPF: {371B29D9-4563-4E7F-B93D-F85ED5682ABC} (CoRaise Player Object) - http://202.104.212.55/tsplay/tsplay.cab
O23 - NT 服务: Panda Process Protection Service (PavPrSrv) - Panda Software - D:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - NT 服务: Panda anti-virus service (PAVSRV) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2004\pavsrv51.exe
O23 - NT 服务: Panda IManager Service (PSIMSVC) - Panda Software Internacional - D:\Program Files\Panda Software\熊猫卫士钛金版2004\PsImSvc.exe
-----------------------------------------------------------
2005-11-16(上网模式)：
HijackThis_815汉化版扫描日志 V1.99.1
保存于      17:58:41, 日期 2005-11-16
操作系统：  Windows XP  (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2600.0000)

当前运行的进程：         
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\PsImSvc.exe
D:\WINDOWS\System32\wdfmgr.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Panda Software\熊猫卫士钛金版2004\APVXDWIN.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\WebProxy.exe
D:\Program Files\VnetClient1.6\VnetClient.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\pavprot.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\PavFnSvr.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\AVENGINE.EXE
F:\应用程序\HijachThis V1.99.2汉化版\HijackThis1991zww.exe

O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - D:\PROGRA~1\baidu\bar\baidubar.dll (file missing)
O3 - IE工具栏增项: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - D:\PROGRA~1\baidu\bar\baidubar.dll (file missing)
O4 - 启动项HKLM\\Run: [APVXDWIN] "D:\Program Files\Panda Software\熊猫卫士钛金版2004\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O10 - Broken Internet access because of LSP provider 'd:\program files\panda software\
O16 - DPF: {371B29D9-4563-4E7F-B93D-F85ED5682ABC} (CoRaise Player Object) - http://202.104.212.55/tsplay/tsplay.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A5220D4-E0CA-4A7C-810F-455C11C140B3}: NameServer = 202.96.128.86 202.96.128.166
O23 - NT 服务: Panda PAVFNSVR (PAVFNSVR) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2004\PavFnSvr.exe
O23 - NT 服务: Panda PAVPROT (PAVPROT) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2004\pavprot.exe
O23 - NT 服务: Panda Process Protection Service (PavPrSrv) - Panda Software - D:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - NT 服务: Panda anti-virus service (PAVSRV) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2004\pavsrv51.exe
O23 - NT 服务: Panda Preventium+ Service (PREVSRV) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2004\Prevsrv.exe
O23 - NT 服务: Panda IManager Service (PSIMSVC) - Panda Software Internacional - D:\Program Files\Panda Software\熊猫卫士钛金版2004\PsImSvc.exe

修复 O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - D:\PROGRA~1\baidu\bar\baidubar.dll (file missing)
O3 - IE工具栏增项: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - D:\PROGRA~1\baidu\bar\baidubar.dll (file missing)

您的意思是升级过后，还是显示以前的版本？您可以修复杀软或者重新安装看看...

好的，谢谢老大回复，搞不惦我再找各位帮忙，先吃饭，再见了！

各位老大好，我刚吃完了饭，我忘了告诉你们，我是装了双系统的，我刚在98那边升级了杀毒软件，将它更新为熊猫钛金2005，再用它扫描了全机，结果发现了两个病毒，一个是QQPass、还有一个是间谍软件，之后我再重启回到XP，我在开机的时候用HijackThis1991扫描了一个Logo，然后又在上网时扫了一个Logo，我等会再发给老大研究。之后我的这个熊猫又自动升级，但是还是无法开启自动保护，之后我的机子就发现一个病毒Exploit/Lsass它正想入侵我的机子，这是熊猫刚发的提示！现在呈上Logo两份，请帮忙分析，好象有变化哦！Logo如下：
2005-11-16(刚开机)：
This_815汉化版扫描日志 V1.99.1
保存于      20:12:51, 日期 2005-11-16
操作系统：  Windows XP  (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2600.0000)

当前运行的进程：         
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\PavFnSvr.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\pavprot.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\Prevsrv.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\PsImSvc.exe
D:\WINDOWS\System32\wdfmgr.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\APVXDWIN.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\WebProxy.exe
F:\应用程序\HijachThis V1.99.2汉化版\HijackThis1991zww.exe

O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - D:\PROGRA~1\baidu\bar\baidubar.dll (file missing)
O3 - IE工具栏增项: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - D:\PROGRA~1\baidu\bar\baidubar.dll (file missing)
O4 - 启动项HKLM\\Run: [APVXDWIN] "D:\Program Files\Panda Software\熊猫卫士钛金版2004\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O10 - Broken Internet access because of LSP provider 'd:\program files\panda software\
O16 - DPF: {371B29D9-4563-4E7F-B93D-F85ED5682ABC} (CoRaise Player Object) - http://202.104.212.55/tsplay/tsplay.cab
O20 - AppInit_DLLs: PAVWAIT.DLL
O23 - NT 服务: Panda PAVFNSVR (PAVFNSVR) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2004\PavFnSvr.exe
O23 - NT 服务: Panda PAVPROT (PAVPROT) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2004\pavprot.exe
O23 - NT 服务: Panda Process Protection Service (PavPrSrv) - Panda Software - D:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - NT 服务: Panda anti-virus service (PAVSRV) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2004\pavsrv51.exe
O23 - NT 服务: Panda Preventium+ Service (PREVSRV) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2004\Prevsrv.exe
O23 - NT 服务: Panda IManager Service (PSIMSVC) - Panda Software Internacional - D:\Program Files\Panda Software\熊猫卫士钛金版2004\PsImSvc.exe

-----------------------------------------------------------
2005-11-16(上网后)：
HijackThis_815汉化版扫描日志 V1.99.1
保存于      20:20:14, 日期 2005-11-16
操作系统：  Windows XP  (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2600.0000)

当前运行的进程：         
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\PavFnSvr.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\pavprot.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\Prevsrv.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\PsImSvc.exe
D:\WINDOWS\System32\wdfmgr.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\APVXDWIN.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\WebProxy.exe
D:\Program Files\VnetClient1.6\VnetClient.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\WINDOWS\system32\cmd.exe
D:\WINDOWS\System32\csrssv.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\pavsrv51.exe
D:\Program Files\Panda Software\熊猫卫士钛金版2004\AVENGINE.EXE
F:\应用程序\HijachThis V1.99.2汉化版\HijackThis1991zww.exe

O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - D:\PROGRA~1\baidu\bar\baidubar.dll (file missing)
O3 - IE工具栏增项: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - D:\PROGRA~1\baidu\bar\baidubar.dll (file missing)
O4 - 启动项HKLM\\Run: [APVXDWIN] "D:\Program Files\Panda Software\熊猫卫士钛金版2004\APVXDWIN.EXE" /s
O4 - 启动项HKLM\\Run: [Microsoft DLL Verifier] csrssv.exe
O4 - 启动项HKLM\\RunServices: [Microsoft DLL Verifier] csrssv.exe
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O10 - Broken Internet access because of LSP provider 'd:\program files\panda software\
O16 - DPF: {371B29D9-4563-4E7F-B93D-F85ED5682ABC} (CoRaise Player Object) - http://202.104.212.55/tsplay/tsplay.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A5220D4-E0CA-4A7C-810F-455C11C140B3}: NameServer = 202.96.128.86 202.96.128.166
O20 - AppInit_DLLs: PAVWAIT.DLL
O23 - NT 服务: Panda PAVFNSVR (PAVFNSVR) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2004\PavFnSvr.exe
O23 - NT 服务: Panda PAVPROT (PAVPROT) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2004\pavprot.exe
O23 - NT 服务: Panda Process Protection Service (PavPrSrv) - Panda Software - D:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - NT 服务: Panda anti-virus service (PAVSRV) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2004\pavsrv51.exe
O23 - NT 服务: Panda Preventium+ Service (PREVSRV) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2004\Prevsrv.exe
O23 - NT 服务: Panda IManager Service (PSIMSVC) - Panda Software Internacional - D:\Program Files\Panda Software\熊猫卫士钛金版2004\PsImSvc.exe

-----------------------------------------------------------

请高手们详细分析，请[font_color=#FF0000]“救救小弟，Please！Helep Me！SOS”[/font]

重新启动到安全模式（进入安全模式的方法:重新启动电脑, 开机自动检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式(Safe Mode)进入Windows。）

先终止下面的进程（关闭所有窗口，同时按下CTRL+ALT+DELETE，在打开的窗口中选中要终止的进程，然后按下“结束任务”或者“结束进程”，最后关闭该窗口。
D:\WINDOWS\System32\csrssv.exe

请关闭所有IE界面，重新使用HijackThis扫描一次，选中下面建议修复的项目，让HijackThis修复，修复前请允许HijackThis保留备份。（如果楼主知道是安全的可以不必勾选）
O4 - 启动项HKLM\\Run: [Microsoft DLL Verifier] csrssv.exe
O4 - 启动项HKLM\\RunServices: [Microsoft DLL Verifier] csrssv.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

然后打开我的电脑→再点工具→打开文件夹选项→查看→把隐藏受保护的系统文件（推荐）和隐藏已知文件类型的扩展名的勾去掉→再显示所有文件→找到以下文件并删除：(如果有的话)
D:\WINDOWS\System32\csrssv.exe

谢谢飞跃迷离老大的指导，我现在就立即去搞，但愿能搞好，要不然我又得麻烦你了！谢谢！

飞跃迷离老大，我刚照你说的方法去搞了，我进入到安全模式下，进入了进程管理器，但是却没有找到哪个D:\WINDOWS\System32\csrssv.exe进程，只有csrss.exe进程，我看都差不多，就尝试着想关掉这个进程，那知系统提示说，这是一个关键进程，没法结束，我又尝试去修改它的级别，好让我能结束它，结果还是不成，没办法我就先做了下一步，先用HijackThis扫描，在HijackThis中可以找到它，我就修复了两项04项，那两项06项是我用设置大师2005锁上了的，之后我就按你的下一步要求去删了D:\WINDOWS\System32\csrssv.exe。我还在安全模式下用HijackThis扫了个Logo，Logo如下：
ijackThis_815汉化版扫描日志 V1.99.1
保存于      15:45:03, 日期 2005-11-17
操作系统：  Windows XP  (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2600.0000)

当前运行的进程：         
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Internet Explorer\iexplore.exe
D:\WINDOWS\System32\ctfmon.exe
F:\应用程序\HijachThis V1.99.2汉化版\HijackThis1991zww.exe

O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - D:\PROGRA~1\baidu\bar\baidubar.dll (file missing)
O3 - IE工具栏增项: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - D:\PROGRA~1\baidu\bar\baidubar.dll (file missing)
O4 - 启动项HKLM\\Run: [APVXDWIN] "D:\Program Files\Panda Software\熊猫卫士钛金版2004\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O10 - Broken Internet access because of LSP provider 'd:\program files\panda software\
O16 - DPF: {371B29D9-4563-4E7F-B93D-F85ED5682ABC} (CoRaise Player Object) - http://202.104.212.55/tsplay/tsplay.cab
O20 - AppInit_DLLs: PAVWAIT.DLL
O23 - NT 服务: Panda PAVFNSVR (PAVFNSVR) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2004\PavFnSvr.exe
O23 - NT 服务: Panda PAVPROT (PAVPROT) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2004\pavprot.exe
O23 - NT 服务: Panda Process Protection Service (PavPrSrv) - Panda Software - D:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - NT 服务: Panda anti-virus service (PAVSRV) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2004\pavsrv51.exe
O23 - NT 服务: Panda Preventium+ Service (PREVSRV) - Panda Software - D:\Program Files\Panda Software\熊猫卫士钛金版2004\Prevsrv.exe
O23 - NT 服务: Panda IManager Service (PSIMSVC) - Panda Software Internacional - D:\Program Files\Panda Software\熊猫卫士钛金版2004\PsImSvc.exe

-----------------------------------------------------------
请帮忙再看看，还有什么病毒吗？！请问刚才删了的那项是为什么，我好想知道，可告之吗？！我现在的机子，基本上上网都能正常了，只是开机进入系统比几天前慢了和那个杀毒软件还是不行，不能加载自动保护功能，看来要重装了！至于哪个baidu搜霸，看来要用魔法学徒老大的方法去搞了！谢谢你们的帮助！！！

csrss.exe是系统进程，当然不能结束啦
CSRSSV.EXE 是病毒 Worm.Rbot-ATK

熊猫的东西我是不大欣赏，建议用瑞星或者卡巴

好，谢谢回复，我本来就是用瑞星的，我支持国货的嘛，但是，我现在有现成的，我不用就是浪费啊！到期就改用瑞星了，要不然我也不知这个论坛！噢，对了魔法学徒版主，你那删除baidu的方法可不可以讲得详细一点，我对Dos命令真的是一窍不通啊，而且我的机子是双系统—98&XP，我已经在98中删了XP里的哪个baidu文件夹了，只有XP的注册表中还有根键！不知有没有效？如果我真的把它删了我又该怎么预防baidu呢？还有，好象你的工具包里没有你说的哪个工具啊，快点放进去啊，拜托，能回答我吗？谢谢！

流氓软件清理助手在 卸载工具 文件夹中

预防百度搜霸可以使用UPIEA

谢谢老大你，我立即去下载去搞！

WinsockxpFix.rar 0.6MB 修复Winsock LSP问题
KillLook2Me.zip 67.5KB Look2Me专杀
upiea.exe 0.7MB Upiea 2005 SP1 IE插件免疫、清理
IE修复.bat 2.7KB 注册IE丢失的DLL链接
WinMD5.rar 74.9KB MD5码校验工具
IceSword1.12.rar 2.0MB 冰刃 IceSword v1.12 斩断黑手的利刃
hijackthis汉化第二版.exe 1.4MB HijackThis、KillBox、CopyLock、LSPFix四合一
只有这些，究竟是哪个啊？？？

不是还有个“卸载工具”文件夹吗？

没有了，我的机子能打开和显示的就这一个了！请补上啊！

明明在啊？

附件: 36976720051118164209.jpg

不好意思，是我太不用心去找了，找到，太谢谢你了，你能不能教我详细一点，进入纯Dos状态我会，就是不知哪命令怎搞，我的XP是在D：/中！请连命令给我搞上行吗？你就帮帮菜鸟我啦，好等我杀到病毒之时又学到了东西！拜托了！

用超级兔子7.25完全可以删除百度超级搜霸.其他方法很难.

进入DOS状态

如果您将delbaidu.exe解压到了D:\TOOL目录下
输入
D:\>CD TOOL
D:\TOOL\>delbaidu.exe
会提示您输入windows系统所在的目录 D:\WINDOWS  确定

重启WINDOWS 使用流氓软件清理助手

好的，谢谢你啊，多次麻烦你真不好意思，我先去搞，搞不好，也只能再次麻烦你了！再次感谢！Bye......

魔法学徒老大，你好，今天我终于有空来搞机子了，我刚按照你所推荐的方法去搞了哪个BaiDu，我先在纯DOS下运行了哪个DelBaidu.exe，然后重启回到WinXP，哪知我刚进了界面就出现了IRQ中断号，具体是哪个我没有记，进不了Windows，我没办法，只能重启，用安全模式进去，我也以为进不了，好在等了一会进入了Windows，我就按你说的再重新运行清理助手，就把检测到的baidu和3721注册表残留文件一一删了，之后我又进入注册表里发现HKEY_CURRENT_USER/HKEY_CURRENT_USER\Software里的baidu文件夹还在，想删它，还是和以前一样，删不了，但是这次不会死机，而在HKEY_LOCAL_MACHINE/Software里的baidu文件夹就不在了，然后我就再次用HijackThis扫描了一次发现03项baidu不在了，我就尝试着再次用正常模式进入Windows，结果可以进入了，我就赶紧第一时间再次用清理助手来扫描，没有，但注册表里的情况还是和刚才一样，而用HijackThis扫描的结果和刚才也一样，请问我现在是不是算把baidu完全清理了，还有为什么第一次进入Windows会死机？能回答我吗？谢谢！还有，老大，我现在把杀毒软件卸载了在用HijackThis扫描张贴贴上来，请帮我分析一下，我的机子是不是完全没有了其他病毒了，请帮忙，因为有病毒的感觉实在是很不好，呵呵呵！

HijackThis Logo如下：
2005-11-25(卸载了杀毒软件后)：
HijackThis_815汉化版扫描日志 V1.99.1
保存于      17:56:24, 日期 2005-11-25
操作系统：  Windows XP  (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2600.0000)

当前运行的进程：         
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\SYSTEM32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\ctfmon.exe
F:\应用程序\HijachThis V1.99.2汉化版\HijackThis1991zww.exe

O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: 用比特精灵下载(&B) - F:\应用程序\比特精灵2.7\BitSpirit\bsurl.htm
O16 - DPF: {371B29D9-4563-4E7F-B93D-F85ED5682ABC} (CoRaise Player Object) - http://202.104.212.55/tsplay/tsplay.cab
O20 - AppInit_DLLs: PAVWAIT.DLL
------------------------------------------------------------
2005-11-25(卸载了杀毒软件上网后)：
HijackThis_815汉化版扫描日志 V1.99.1
保存于      17:58:11, 日期 2005-11-25
操作系统：  Windows XP  (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2600.0000)

当前运行的进程：         
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\SYSTEM32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\VnetClient1.6\VnetClient.exe
F:\应用程序\HijachThis V1.99.2汉化版\HijackThis1991zww.exe

O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: 用比特精灵下载(&B) - F:\应用程序\比特精灵2.7\BitSpirit\bsurl.htm
O16 - DPF: {371B29D9-4563-4E7F-B93D-F85ED5682ABC} (CoRaise Player Object) - http://202.104.212.55/tsplay/tsplay.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A5220D4-E0CA-4A7C-810F-455C11C140B3}: NameServer = 202.96.128.86 202.96.128.166
O20 - AppInit_DLLs: PAVWAIT.DLL
------------------------------------------------------------
以上是两篇Logo，请老大帮忙分析分析，谢了！

日志似乎并无异常，可以修复：
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

是吗？！哪两项是我用设置大师2005把它锁上的，其他的清理完了吗？！谢谢飞跃迷离老大！