瑞星卡卡安全论坛

我在下载游戏时中的毒（总共３个）：１．Ｔrojan.DL.Agent.hau  2.Trojan.DL.MoKeAD.a  3.Dropper,Agent.blv
    那位高手可以告诉我这都是些什么病毒，有什么危害？瑞星提示病毒已被删除，但他们是否还会隐藏在系统中？
　　在放火墙的启动启动选项中有２个程序不知是什么，会不会是病毒：１．ＨＫＥＹ－ＣＵＲＲＥＮＴ－ＵＳＥＲ＼ＳＯＦＴＷＡＲＥ＼Microsoft\Windows\CurrentVersion\Run\pbmini其路径是C:\PROGRAM FILES\PCAST\PODCASTBARMINI\PODCASTBARMINISTATER.EXE  2.C:\PROGRA-1\CNNIC\CDN\CDNSPIE.DLL
    我是一个名副其实的菜鸟，对于这些东西我一窍不通，所以希望那位高手能赐教，对此我将感激不尽．

该用户帖子内容已被屏蔽

http://forum.ikaka.com/topic.asp?board=28&artid=6979213
下载HijackThis 导出日志

多谢高手赐教。但我不知道该怎样在安全模式下进行删除，还有那个流氓软件该怎样删除？希望哪个高手能教教我具体该怎么做。谢谢了

重启后按F8直到出现登陆选项，选“安全模式”或“safe mode”按回车即可进入安全模式。之后启动瑞星进行全盘查杀。
流氓软件的处理，先照第2楼的，导出日志。

太感谢你们了,真的很感动.我还有一个疑问,为什么我用瑞星听诊工具对文件进行扫描,结果却是未发现有可疑文件.顿时我就糊涂了,那个流氓软件不是可疑文件吗,为什么它诊断不出呢.还请高手赐教.

太感谢你们了,真的很感动我还有一个疑问,为什么我使用瑞星听诊工具对文件进行扫描,结果却是未发现有可疑文件呢?那个流氓软件不是可疑文件吗,为什么它扫描不出呢.还请高手赐教.

瑞星几乎一向不理流氓软件的（一些已经有明显木马行为的除外），除了卡卡安全助手有一些作用之外。
C:\PROGRAM FILES\PCAST\PODCASTBARMINI\PODCASTBARMINISTATER.EXE
这个“播霸”好像是最近才出现的

所以瑞星没有理睬也很正常。

感谢你们的回复,那对于这个播霸我该怎么处理呢?我在防火墙里禁止运行这个程序,这个办法是否有用.现在不知什么原因,我一打开网叶就会有恶心的广告出现.我该怎么办呢.不好意思,我的确是菜鸟,有劳各位了.

唉，说了半天，还没导出日志呢。

按第2楼的，导出HijackThis日志，把日志文本内容全部复制粘贴上来。

为什么我下载的HijackThisV1.98.2无法打开啊，请高手帮忙看一下

晕，在哪里下的呀？下载下来的是不是RAR文件？还是EXE程序？

Logfile of HijackThis v1.99.0
Scan saved at 17:35:59, on 2006-4-22
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Rising\Rav\Ravmond.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\VM303_STI.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\Rising\Rfw\rfwmain.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
E:\Jieya\WinRAR.exe
C:\DOCUME~1\Zhangwei\LOCALS~1\Temp\Rar$EX02.719\HijackThis\HijackThis.exe

O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v14.dll
O2 - BHO: MyIEHelper Class - {16A770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_1100.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: DTSvc Class - {6B280AC7-8B18-46A4-BF70-FC579A1B2F76} - C:\Program Files\DTSVC\DTS\DTS.dll
O2 - BHO: NewWeb Controller - {9ACEEE30-143F-471A-AA45-72B061FE7D60} - C:\WINDOWS\system32\WinSC.dll
O2 - BHO: Internet_Explorer_Service - {9E1E1371-9D8F-4421-81B9-F8D2E1773A59} - C:\WINDOWS\system32\HelperService.dll
O3 - Toolbar: 系统标准按钮(&E) - {6B2455FD-3669-4555-8DF8-69FD5BC846F8} - C:\WINDOWS\system32\SystemToolbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [Thunder] "C:\Program Files\Thunder Network\Thunder\ThunderShell.exe" /s
O4 - HKLM\..\Run: [Windir] C:\WINDOWS\system32\Windir.exe
O4 - HKLM\..\Run: [MSService_v1.0] C:\WINDOWS\system\vfp104.exe
O4 - HKLM\..\Run: [ExFilter] Rundll32.exe "C:\PROGRA~1\CNNIC\Cdn\cdnspie.dll",ExecFilter solo
O4 - HKLM\..\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [pbmini] C:\Program Files\pcast\PodcastbarMini\PodcastBarMiniStater.exe
O4 - Startup: 腾讯QQ珊瑚虫版.lnk = C:\Program Files\Tencent\QQ\CoralQQ.exe
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1572A5CA-C3C1-4CD8-8B33-B9A9FDD56E80}: NameServer = 202.96.209.134 202.96.209.6
O17 - HKLM\System\CS1\Services\Tcpip\..\{1572A5CA-C3C1-4CD8-8B33-B9A9FDD56E80}: NameServer = 202.96.209.134 202.96.209.6
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Rising Proxy  Service - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
O23 - Service: Spectrum24 Event Monitor - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel? Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

请高手帮忙看一下,究竟问题出在哪儿?

修复：
O2 - BHO: MyIEHelper Class - {16A770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_1100.dll
O2 - BHO: DTSvc Class - {6B280AC7-8B18-46A4-BF70-FC579A1B2F76} - C:\Program Files\DTSVC\DTS\DTS.dll
O2 - BHO: NewWeb Controller - {9ACEEE30-143F-471A-AA45-72B061FE7D60} - C:\WINDOWS\system32\WinSC.dll
O2 - BHO: Internet_Explorer_Service - {9E1E1371-9D8F-4421-81B9-F8D2E1773A59} - C:\WINDOWS\system32\HelperService.dll
O3 - Toolbar: 系统标准按钮(&E) - {6B2455FD-3669-4555-8DF8-69FD5BC846F8} - C:\WINDOWS\system32\SystemToolbar.dll
O4 - HKLM\..\Run: [Windir] C:\WINDOWS\system32\Windir.exe
O4 - HKLM\..\Run: [MSService_v1.0] C:\WINDOWS\system\vfp104.exe
O4 - HKCU\..\Run: [pbmini] C:\Program Files\pcast\PodcastbarMini\PodcastBarMiniStater.exe

卸载(如果有卸载程序的话）：
C:\Program Files\DTSVC\
C:\Program Files\pcast\

删除：
C:\Program Files\DTSVC\（表示整个文件夹，下同）
C:\Program Files\pcast\
C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\
C:\WINDOWS\system32\WinSC.dll
C:\WINDOWS\system32\HelperService.dll
C:\WINDOWS\system32\SystemToolbar.dll
C:\WINDOWS\system32\Windir.exe
C:\WINDOWS\system\vfp104.exe

已经好几次看到这些项目一起出现了，看起来是捆绑安装的一群流氓软件和广告软件。

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
查查C:\WINDOWS\system32\dla\tfswctrl.exe的属性，看看它是什么公司出品的，然后再决定是否要处理。

非常感谢轩辕小聪的回复,但我不知该如何去删除和卸载这些程序:究竟是在硬盘中删除还是在注册表中删除.还有恢复是不是在HijackThis中进行？不好意思，再一次向高手求教．

我查了C:\WINDOWS\system32\dla\tfswctrl.exe的属性是应用程序．他所属的公司是Sonic Solutions.

晕倒
卸载就是跟正常的软件一样，运行安装文件夹中的uninstall程序卸载。
不过这两个流氓软件好像都没有卸载程序。那就只能是在注册表中搜索并删除与之有关的项目，然后在硬盘中把整个安装文件夹删除。

上面列出的删除的文件都是在硬盘中删除。

修复是用HijackThis进行的。在HijackThis程序窗口选中要修复的项目（前面方框打上勾）按“fix checked”（英文版的）或“修复”（汉化版的），然后在弹出的警告框中点“Yes”或“确定”即可。

在HijackThis中进行修复之前是不是需要先做备份？高手请赐教．

把HijackThis先解压出来，然后再运行，这样修复的时候才能做备份。在压缩包中直接双击打开的话，是没有办法做备份的。

在HijackThis中，我不小心把要修复的程序添加到忽略列表中了,我该怎么办?请高手赐教.

不好意思,我第一次使用HijackThis软件，所以不知该怎样操作，还请高手赐教