我无邪。。请帮忙解决。。跪求~~~~~~~~~~~~~~~~~~ bbs.ikaka.com

大大水鸟 - 2006-6-19 23:28:00

下面是无奈重启系统后进行的全面扫描。。
日志如下：
2006-06-19,23:15:42

System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs (http://www.KZTechs.com)

Windows 2000 Professional Service Pack 4 (Build 2195)
- 管理权限用户 - 完整功能

以下内容被选中：
所有的启动项目（包括注册表、启动文件夹、服务等）
浏览器加载项
正在运行的进程（包括进程模块信息）
文件关联

启动项目
注册表
启动文件夹
服务
[Logical Disk Manager Administrative Service / dmadmin]
<C:\WINNT\System32\dmadmin.exe /com><VERITAS Software Corp.>

==================================
浏览器加载项
[雅虎助手]
{406F94F0-504F-4a40-8DFD-58B0666ABEBD} <C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll, Yahoo!>
[QQBrowserHelperObject Class]
{54EBD53A-9BC1-480B-966A-843A333CA162} <d:\QQ\QQIEHelper.dll, 深圳市腾讯计算机系统有限公司>
[DragSearch BHO]
{62EED7C6-9F02-42f9-B634-98E2899E147B} <C:\PROGRA~1\Yahoo!\ASSIST~1\assist\YDRAGS~1.DLL, >
[ShowBarObject Class]
{850B69E4-90DB-4F45-8621-891BF35A5B53} <c:\winnt\system32\alitb1\__new\bar.dll, Alibaba>
[CnsHook Class]
{D157330A-9EF3-49F8-9A67-4141AC41ADD4} <C:\WINNT\downlo~1\CnsHook.dll, 北京三七二一科技有限公司>
[浩方对战平台]
{0A155D3C-68E2-4215-A47A-E800A446447A} <E:\Program Files\浩方对战平台\GameClient.exe, 上海浩方在线信息技术有限公司>
[AlibabaButton Class]
{13b0c05c-ef05-4bf6-b0ea-f6111af25544} <c:\winnt\system32\alitb1\__new\bar.dll, Alibaba>
[Yahoo 1G电邮]
{507F9113-CD77-4866-BA92-0E86DA3D0B97} <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail, N/A>
[寻宝乐趣多]
{59BC54A2-56B3-44a0-93E5-432D58746E26} <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao, N/A>
[雅虎助手]
{5D73EE86-05F1-49ed-B850-E423120EC338} <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist, N/A>
[网址大全]
{C18CB140-0BBB-11D4-8FE8-0088CC102438} <http://www.k369.com/wz.htm, N/A>
[@shdoclc.dll,-866]
{c95fe080-8f5d-11d2-a20b-00aa003c157a} <, N/A>
[情景聊天]
{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} <http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/, N/A>
[]
{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair, N/A>
[]
{FD00D911-7529-4084-9946-A29F1BDF4FE5} <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean, N/A>
[@msdxmLC.dll,-1@2052,电台(&R)]
{8E718888-423F-11D2-876E-00A0C9082467} <C:\WINNT\system32\msdxm.ocx, Microsoft Corporation>
[雅虎助手]
{406F94F0-504F-4a40-8DFD-58B0666ABEBD} <C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll, Yahoo!>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINNT\system32\Macromed\Flash\Flash8.ocx, Macromedia, Inc.>
[上传到QQ网络硬盘]
<D:\QQ\AddToNetDisk.htm, N/A>
[添加到QQ自定义面板]
<D:\QQ\AddPanel.htm, N/A>
[添加到QQ表情]
<D:\QQ\AddEmotion.htm, N/A>
[用QQ彩信发送该图片]
<D:\QQ\SendMMS.htm, N/A>

大大水鸟 - 2006-6-19 23:29:00

接~~

2006-06-19,23:15:42

System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs (http://www.KZTechs.com)

Windows 2000 Professional Service Pack 4 (Build 2195)
- 管理权限用户 - 完整功能

以下内容被选中：
所有的启动项目（包括注册表、启动文件夹、服务等）
浏览器加载项
正在运行的进程（包括进程模块信息）
文件关联

启动项目
注册表
启动文件夹
服务
[Logical Disk Manager Administrative Service / dmadmin]
<C:\WINNT\System32\dmadmin.exe /com><VERITAS Software Corp.>

==================================
浏览器加载项
[雅虎助手]
{406F94F0-504F-4a40-8DFD-58B0666ABEBD} <C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll, Yahoo!>
[QQBrowserHelperObject Class]
{54EBD53A-9BC1-480B-966A-843A333CA162} <d:\QQ\QQIEHelper.dll, 深圳市腾讯计算机系统有限公司>
[DragSearch BHO]
{62EED7C6-9F02-42f9-B634-98E2899E147B} <C:\PROGRA~1\Yahoo!\ASSIST~1\assist\YDRAGS~1.DLL, >
[ShowBarObject Class]
{850B69E4-90DB-4F45-8621-891BF35A5B53} <c:\winnt\system32\alitb1\__new\bar.dll, Alibaba>
[CnsHook Class]
{D157330A-9EF3-49F8-9A67-4141AC41ADD4} <C:\WINNT\downlo~1\CnsHook.dll, 北京三七二一科技有限公司>
[浩方对战平台]
{0A155D3C-68E2-4215-A47A-E800A446447A} <E:\Program Files\浩方对战平台\GameClient.exe, 上海浩方在线信息技术有限公司>
[AlibabaButton Class]
{13b0c05c-ef05-4bf6-b0ea-f6111af25544} <c:\winnt\system32\alitb1\__new\bar.dll, Alibaba>
[Yahoo 1G电邮]
{507F9113-CD77-4866-BA92-0E86DA3D0B97} <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail, N/A>
[寻宝乐趣多]
{59BC54A2-56B3-44a0-93E5-432D58746E26} <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao, N/A>
[雅虎助手]
{5D73EE86-05F1-49ed-B850-E423120EC338} <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist, N/A>
[网址大全]
{C18CB140-0BBB-11D4-8FE8-0088CC102438} <http://www.k369.com/wz.htm, N/A>
[@shdoclc.dll,-866]
{c95fe080-8f5d-11d2-a20b-00aa003c157a} <, N/A>
[情景聊天]
{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} <http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/, N/A>
[]
{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair, N/A>
[]
{FD00D911-7529-4084-9946-A29F1BDF4FE5} <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean, N/A>
[@msdxmLC.dll,-1@2052,电台(&R)]
{8E718888-423F-11D2-876E-00A0C9082467} <C:\WINNT\system32\msdxm.ocx, Microsoft Corporation>
[雅虎助手]
{406F94F0-504F-4a40-8DFD-58B0666ABEBD} <C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll, Yahoo!>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINNT\system32\Macromed\Flash\Flash8.ocx, Macromedia, Inc.>
[上传到QQ网络硬盘]
<D:\QQ\AddToNetDisk.htm, N/A>
[添加到QQ自定义面板]
<D:\QQ\AddPanel.htm, N/A>
[添加到QQ表情]
<D:\QQ\AddEmotion.htm, N/A>
[用QQ彩信发送该图片]
<D:\QQ\SendMMS.htm, N/A>

大大水鸟 - 2006-6-19 23:30:00

发错了
接的是下面的：
==================================
正在运行的进程
[PID: 140][\SystemRoot\System32\smss.exe] <Microsoft Corporation><5.00.2195.6601>
[PID: 168][\??\C:\WINNT\system32\csrss.exe] <Microsoft Corporation><5.00.2195.6601>
[PID: 164][\??\C:\WINNT\system32\winlogon.exe] <Microsoft Corporation><5.00.2195.6970>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[PID: 224][C:\WINNT\system32\services.exe] <Microsoft Corporation><5.00.2195.6700>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[C:\WINNT\system32\dmserver.dll] <VERITAS Software Corp.><2195.6605.297.3>
[PID: 236][C:\WINNT\system32\lsass.exe] <Microsoft Corporation><5.00.2195.6902>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[PID: 432][C:\WINNT\system32\svchost.exe] <Microsoft Corporation><5.00.2134.1>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[PID: 472][C:\WINNT\system32\spoolsv.exe] <Microsoft Corporation><5.00.2195.6659>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[PID: 512][C:\WINNT\system32\svchost.exe] <Microsoft Corporation><5.00.2134.1>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[PID: 572][C:\WINNT\system32\MSTask.exe] <Microsoft Corporation><4.71.2195.6920>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[PID: 612][C:\WINNT\System32\WBEM\WinMgmt.exe] <Microsoft Corporation><1.50.1085.0100>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[PID: 640][C:\WINNT\system32\svchost.exe] <Microsoft Corporation><5.00.2134.1>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[PID: 876][C:\WINNT\Explorer.EXE] <Microsoft Corporation><5.00.3700.6690>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[C:\WINNT\system32\igfxpph.dll] <Intel Corporation><3,0,0,2082>
[C:\WINNT\system32\hccutils.DLL] <Intel Corporation><3,0,0,2082>
[C:\WINNT\system32\igfxres.dll] <Intel Corporation><3,0,0,2082>
[C:\WINNT\system32\igfxsrvc.dll] <Intel Corporation><3,0,0,2082>
[C:\WINNT\system32\igfxdev.dll] <Intel Corporation><3,0,0,2082>
[C:\WINNT\downlo~1\CnsMin.dll] <北京三七二一科技有限公司><1, 5, 3, 1>
[C:\WINNT\system32\dllz.dll] <N/A><N/A>
[C:\WINNT\system32\WINABCX.IME] <PKUETI><5.22.216>
[C:\WINNT\downlo~1\CnsHook.dll] <北京三七二一科技有限公司><1, 0, 2, 7>
[C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll] <Yahoo!><2, 0, 2, 1018>
[C:\PROGRA~1\Yahoo!\ASSIST~1\assist\YDRAGS~1.DLL] <><1, 2, 6, 1005>
[PID: 1060][C:\WINNT\system32\Rundll32.exe] <Microsoft Corporation><5.00.2134.1>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[C:\WINNT\downlo~1\CnsMin.dll] <北京三七二一科技有限公司><1, 5, 3, 1>
[C:\WINNT\downlo~1\CnsMinIO.dll] <北京三七二一科技有限公司><1, 0, 3, 6>
[C:\WINNT\downlo~1\cnsio.dll] <北京三七二一科技有限公司><1, 0, 2, 7>
[C:\WINNT\system32\dllz.dll] <N/A><N/A>
[PID: 1032][C:\WINNT\rundll32.exe] <N/A><N/A>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[C:\WINNT\system32\dllz.dll] <N/A><N/A>
[PID: 952][C:\WINNT\system32\internat.exe] <Microsoft Corporation><5.00.2920.0000>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[C:\WINNT\downlo~1\CnsMin.dll] <北京三七二一科技有限公司><1, 5, 3, 1>
[C:\WINNT\system32\dllz.dll] <N/A><N/A>
[PID: 484][C:\Documents and Settings\s\桌面\SREng2\SREng.exe] <Smallfrogs Studio><2.0.21.505>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[C:\WINNT\downlo~1\CnsMin.dll] <北京三七二一科技有限公司><1, 5, 3, 1>
[C:\WINNT\system32\dllz.dll] <N/A><N/A>

==================================
文件关联
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["C:\WINNT\hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者

==================================

满天飞雪 - 2006-6-19 23:30:00

你搞错了一个进程，不是病毒的哪个LSASS。

大大水鸟 - 2006-6-19 23:31:00

安全模式下面就只有这么一个进程啊~~~~~~~~~~~

满天飞雪 - 2006-6-19 23:31:00

病毒的哪个PID 号是5开头的两位数。

大大水鸟 - 2006-6-19 23:33:00

看看下面的任务管理器：
进程在那啊？？？

附件: 6981672006619232529.bmp

满天飞雪 - 2006-6-19 23:38:00

这里面没有，你把user 也打开，安全模式下它不自动运行的，激活了才有.是user 为4，5 开头的两位数。windows下面的 lsass.exe是隐藏的，而且拒绝访问，删不掉。d盘下面的commond 文件也是自动运行的，删除不掉。

mopery - 2006-6-19 23:38:00

你现在扫个日志...
现在好象威金没了就威金下的木马处理一下..
我叫小聪来帮你忙你先扫日志..

满天飞雪 - 2006-6-19 23:40:00

都在这几个目录下面
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\windows\EXERT.exe
C:\windows\IO.SYS.BAK
C:\windows\LSASS.exe
C:\windows\Debug\DebugProgram.exe
C:\windows\system32\dxdiag.com
C:\windows\system32\MSCONFIG.COM
C:\windows\system32\regedit.com
d:\commond

大大水鸟 - 2006-6-19 23:41:00

日志来了:
下面是用hijackthis扫描的结果
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 23:37:44, 日期 2006-6-19
操作系统： Windows 2000 SP4 (WinNT 5.00.2195)
浏览器： Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Rundll32.exe
C:\WINNT\rundll32.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\s\桌面\HijackThis1991zww.exe

R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - d:\QQ\QQIEHelper.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\YDRAGS~1.DLL
O2 - BHO: ShowBarObject Class - {850B69E4-90DB-4F45-8621-891BF35A5B53} - c:\winnt\system32\alitb1\__new\bar.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINNT\downlo~1\CnsHook.dll
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - IE工具栏增项: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll
O4 - 启动项HKLM\\Run: [CnsMin] Rundll32.exe C:\WINNT\downlo~1\CnsMin.dll,Rundll32
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [stup.exe] C:\PROGRA~1\TENCENT\Adplus\stup.exe
O4 - 启动项HKLM\\Run: [shoket] C:\WINNT\system32\SHELLEXT\svchs0t.exe
O4 - 启动项HKLM\\Run: [_rx] C:\WINNT\rundll32.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\Run: [00mpcount] C:\Program Files\MpSoft\Charge\Client\mpclient.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - E:\Program Files\浩方对战平台\GameClient.exe
O9 - 浏览器额外的按钮: 商机直通车 - {13b0c05c-ef05-4bf6-b0ea-f6111af25544} - c:\winnt\system32\alitb1\__new\bar.dll
O9 - 浏览器额外的按钮: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)
O9 - 浏览器额外的按钮: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao (file missing)
O9 - 浏览器额外的按钮: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)
O9 - 浏览器额外的按钮: 网址大全 - {C18CB140-0BBB-11D4-8FE8-0088CC102438} - http://www.k369.com/wz.htm (file missing)
O9 - 浏览器额外的“工具”菜单项: 网址大全 - {C18CB140-0BBB-11D4-8FE8-0088CC102438} - http://www.k369.com/wz.htm (file missing)
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O11 - Options group: [!CNS] 网络实名
O11 - Options group: [TBH] 搜搜地址栏搜索
O17 - HKLM\System\CCS\Services\Tcpip\..\{E83D30B1-A38C-4738-90D7-BB1CE866D7DF}: NameServer = 202.102.192.68,202.102.199.68
O20 - AppInit_DLLs: KB75976M.LOG
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

满天飞雪 - 2006-6-19 23:42:00

安全模式下，扫描不到它的。进系统扫描。

大大水鸟 - 2006-6-19 23:42:00

下面是SREng2扫描的结果:
2006-06-19,23:39:36

System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs (http://www.KZTechs.com)

Windows 2000 Professional Service Pack 4 (Build 2195)
- 管理权限用户 - 完整功能

以下内容被选中：
所有的启动项目（包括注册表、启动文件夹、服务等）
浏览器加载项
正在运行的进程（包括进程模块信息）
文件关联

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Internat.exe><internat.exe> [Microsoft Corporation]
<00mpcount><C:\Program Files\MpSoft\Charge\Client\mpclient.exe> []
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<CnsMin><Rundll32.exe C:\WINNT\downlo~1\CnsMin.dll,Rundll32> [北京三七二一科技有限公司]
<Synchronization Manager><mobsync.exe /logon> [Microsoft Corporation]
<stup.exe><C:\PROGRA~1\TENCENT\Adplus\stup.exe> [Tencent]
<shoket><C:\WINNT\system32\SHELLEXT\svchs0t.exe> []
<_rx><C:\WINNT\rundll32.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [Microsoft Corporation]
<Userinit><C:\WINNT\system32\userinit.exe,> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><KB75976M.LOG> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{D157330A-9EF3-49F8-9A67-4141AC41ADD4}><C:\WINNT\downlo~1\CnsHook.dll> [北京三七二一科技有限公司]

==================================
启动文件夹
服务
[Logical Disk Manager Administrative Service / dmadmin]
<C:\WINNT\System32\dmadmin.exe /com><VERITAS Software Corp.>

==================================
浏览器加载项
[雅虎助手]
{406F94F0-504F-4a40-8DFD-58B0666ABEBD} <C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll, Yahoo!>
[QQBrowserHelperObject Class]
{54EBD53A-9BC1-480B-966A-843A333CA162} <d:\QQ\QQIEHelper.dll, 深圳市腾讯计算机系统有限公司>
[DragSearch BHO]
{62EED7C6-9F02-42f9-B634-98E2899E147B} <C:\PROGRA~1\Yahoo!\ASSIST~1\assist\YDRAGS~1.DLL, >
[ShowBarObject Class]
{850B69E4-90DB-4F45-8621-891BF35A5B53} <c:\winnt\system32\alitb1\__new\bar.dll, Alibaba>
[CnsHook Class]
{D157330A-9EF3-49F8-9A67-4141AC41ADD4} <C:\WINNT\downlo~1\CnsHook.dll, 北京三七二一科技有限公司>
[浩方对战平台]
{0A155D3C-68E2-4215-A47A-E800A446447A} <E:\Program Files\浩方对战平台\GameClient.exe, 上海浩方在线信息技术有限公司>
[AlibabaButton Class]
{13b0c05c-ef05-4bf6-b0ea-f6111af25544} <c:\winnt\system32\alitb1\__new\bar.dll, Alibaba>
[Yahoo 1G电邮]
{507F9113-CD77-4866-BA92-0E86DA3D0B97} <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail, N/A>
[寻宝乐趣多]
{59BC54A2-56B3-44a0-93E5-432D58746E26} <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao, N/A>
[雅虎助手]
{5D73EE86-05F1-49ed-B850-E423120EC338} <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist, N/A>
[网址大全]
{C18CB140-0BBB-11D4-8FE8-0088CC102438} <http://www.k369.com/wz.htm, N/A>
[@shdoclc.dll,-866]
{c95fe080-8f5d-11d2-a20b-00aa003c157a} <, N/A>
[情景聊天]
{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} <http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/, N/A>
[]
{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair, N/A>
[]
{FD00D911-7529-4084-9946-A29F1BDF4FE5} <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean, N/A>
[@msdxmLC.dll,-1@2052,电台(&R)]
{8E718888-423F-11D2-876E-00A0C9082467} <C:\WINNT\system32\msdxm.ocx, Microsoft Corporation>
[雅虎助手]
{406F94F0-504F-4a40-8DFD-58B0666ABEBD} <C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll, Yahoo!>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINNT\system32\Macromed\Flash\Flash8.ocx, Macromedia, Inc.>
[上传到QQ网络硬盘]
<D:\QQ\AddToNetDisk.htm, N/A>
[添加到QQ自定义面板]
<D:\QQ\AddPanel.htm, N/A>
[添加到QQ表情]
<D:\QQ\AddEmotion.htm, N/A>
[用QQ彩信发送该图片]
<D:\QQ\SendMMS.htm, N/A>

==================================
正在运行的进程
[PID: 140][\SystemRoot\System32\smss.exe] <Microsoft Corporation><5.00.2195.6601>
[PID: 168][\??\C:\WINNT\system32\csrss.exe] <Microsoft Corporation><5.00.2195.6601>
[PID: 164][\??\C:\WINNT\system32\winlogon.exe] <Microsoft Corporation><5.00.2195.6970>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[PID: 224][C:\WINNT\system32\services.exe] <Microsoft Corporation><5.00.2195.6700>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[C:\WINNT\system32\dmserver.dll] <VERITAS Software Corp.><2195.6605.297.3>
[PID: 236][C:\WINNT\system32\lsass.exe] <Microsoft Corporation><5.00.2195.6902>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[PID: 432][C:\WINNT\system32\svchost.exe] <Microsoft Corporation><5.00.2134.1>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[PID: 472][C:\WINNT\system32\spoolsv.exe] <Microsoft Corporation><5.00.2195.6659>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[PID: 512][C:\WINNT\system32\svchost.exe] <Microsoft Corporation><5.00.2134.1>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[PID: 572][C:\WINNT\system32\MSTask.exe] <Microsoft Corporation><4.71.2195.6920>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[PID: 612][C:\WINNT\System32\WBEM\WinMgmt.exe] <Microsoft Corporation><1.50.1085.0100>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[PID: 640][C:\WINNT\system32\svchost.exe] <Microsoft Corporation><5.00.2134.1>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[PID: 876][C:\WINNT\Explorer.EXE] <Microsoft Corporation><5.00.3700.6690>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[C:\WINNT\system32\igfxpph.dll] <Intel Corporation><3,0,0,2082>
[C:\WINNT\system32\hccutils.DLL] <Intel Corporation><3,0,0,2082>
[C:\WINNT\system32\igfxres.dll] <Intel Corporation><3,0,0,2082>
[C:\WINNT\system32\igfxsrvc.dll] <Intel Corporation><3,0,0,2082>
[C:\WINNT\system32\igfxdev.dll] <Intel Corporation><3,0,0,2082>
[C:\WINNT\downlo~1\CnsMin.dll] <北京三七二一科技有限公司><1, 5, 3, 1>
[C:\WINNT\system32\dllz.dll] <N/A><N/A>
[C:\WINNT\system32\WINABCX.IME] <PKUETI><5.22.216>
[C:\WINNT\downlo~1\CnsHook.dll] <北京三七二一科技有限公司><1, 0, 2, 7>
[C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll] <Yahoo!><2, 0, 2, 1018>
[C:\PROGRA~1\Yahoo!\ASSIST~1\assist\YDRAGS~1.DLL] <><1, 2, 6, 1005>
[PID: 1060][C:\WINNT\system32\Rundll32.exe] <Microsoft Corporation><5.00.2134.1>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[C:\WINNT\downlo~1\CnsMin.dll] <北京三七二一科技有限公司><1, 5, 3, 1>
[C:\WINNT\downlo~1\CnsMinIO.dll] <北京三七二一科技有限公司><1, 0, 3, 6>
[C:\WINNT\downlo~1\cnsio.dll] <北京三七二一科技有限公司><1, 0, 2, 7>
[C:\WINNT\system32\dllz.dll] <N/A><N/A>
[C:\WINNT\downlo~1\CnsMinEx.dll] <国风因特软件(北京)有限公司><1, 0, 3, 1>
[PID: 1032][C:\WINNT\rundll32.exe] <N/A><N/A>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[C:\WINNT\system32\dllz.dll] <N/A><N/A>
[PID: 952][C:\WINNT\system32\internat.exe] <Microsoft Corporation><5.00.2920.0000>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[C:\WINNT\downlo~1\CnsMin.dll] <北京三七二一科技有限公司><1, 5, 3, 1>
[C:\WINNT\system32\dllz.dll] <N/A><N/A>
[PID: 1172][C:\Program Files\Internet Explorer\iexplore.exe] <Microsoft Corporation><6.00.2800.1106>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[C:\WINNT\downlo~1\CnsMin.dll] <北京三七二一科技有限公司><1, 5, 3, 1>
[C:\WINNT\downlo~1\CnsHint.dll] <3721><1, 0, 0, 6>
[C:\WINNT\downlo~1\cnsplus.dll] <3721><1, 0, 0, 2>
[C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll] <Yahoo!><2, 0, 2, 1018>
[d:\QQ\QQIEHelper.dll] <深圳市腾讯计算机系统有限公司><1, 1, 0, 5>
[C:\PROGRA~1\Yahoo!\ASSIST~1\assist\YDRAGS~1.DLL] <><1, 2, 6, 1005>
[c:\winnt\system32\alitb1\__new\bar.dll] <Alibaba><1, 1, 0, 1>
[C:\WINNT\downlo~1\CnsHook.dll] <北京三七二一科技有限公司><1, 0, 2, 7>
[C:\WINNT\system32\dllz.dll] <N/A><N/A>
[C:\WINNT\downlo~1\CnsMinIO.dll] <北京三七二一科技有限公司><1, 0, 3, 6>
[C:\WINNT\downlo~1\cnsio.dll] <北京三七二一科技有限公司><1, 0, 2, 7>
[C:\WINNT\system32\Macromed\Flash\Flash8.ocx] <Macromedia, Inc.><8,0,22,0>
[C:\WINNT\system32\WINABCX.IME] <PKUETI><5.22.216>
[PID: 1084][C:\Documents and Settings\s\桌面\SREng2\SREng.exe] <Smallfrogs Studio><2.0.21.505>
[C:\WINNT\KB75976M.LOG] <N/A><N/A>
[C:\WINNT\downlo~1\CnsMin.dll] <北京三七二一科技有限公司><1, 5, 3, 1>
[C:\WINNT\system32\dllz.dll] <N/A><N/A>

==================================
文件关联
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["C:\WINNT\hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

我无邪 - 2006-6-19 23:51:00

请到www.27814939.ys168.com下载诺顿进程管理器终止所有RUNDLL32.EXE 的进程
关闭所有浏览窗口以及一些不必要的程序
运行Hijackthis，扫描结束后在下列选项前打上勾，然后选"修复
C:\WINNT\rundll32.exe
O20 - AppInit_DLLs: KB75976M.LOG
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
删除
C:\WINNT\rundll32.exe
KB75976M.LOG这个搜索一下。

没有发现C:\windows\LSASS.EXE病毒
你应该终止了C:\WINNT\system32\LSASS.EXE这是系统关键进程，如果终止就会强行重启。

轩辕小聪 - 2006-6-19 23:51:00

结束进程C:\WINNT\rundll32.exe
修复：
O4 - 启动项HKLM\\Run: [shoket] C:\WINNT\system32\SHELLEXT\svchs0t.exe
O4 - 启动项HKLM\\Run: [_rx] C:\WINNT\rundll32.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1（这一项是禁用注册表编辑器，如果是网吧自己设置的，也可以不修复）
O20 - AppInit_DLLs: KB75976M.LOG

重启到安全模式下删除：
C:\WINNT\rundll32.exe
C:\WINNT\system32\SHELLEXT\svchs0t.exe
C:\WINNT\KB75976M.LOG
C:\WINNT\system32\dllz.dll

我无邪 - 2006-6-19 23:52:00

兄弟，我不理解你为什么不重装系统，而费这么大劲来查杀病毒。
要知道，即使杀去了病毒，系统也不见得好用了。
最完美的，还是重装啊。

满天飞雪 - 2006-6-19 23:56:00

还是无邪说的对，我是第一个中招来论坛求助的，当时无邪就这么说的。哈哈！！！！

大大水鸟 - 2006-6-19 23:58:00

哎。。。几十台机子都要重装。游戏就会没有的。所以要一台机子保存游戏
要是全部删除了我就不是做系统那么简单了。。那去找那么多游戏啊

满天飞雪 - 2006-6-20 0:00:00

你可以先把威金杀掉，然后用个大硬盘把游戏做个镜像，重装好系统后再恢复游戏。

大大水鸟 - 2006-6-20 0:03:00

C:\WINNT\rundll32.exe
KB75976M.LOG这个搜索一下。

...........................
是那一个文件啊

附件: 6981672006619235545.bmp

大大水鸟 - 2006-6-20 0:06:00

该删除那个文件。。
不敢下手

我无邪 - 2006-6-20 0:22:00

第一个。
最后两个不要删除。

我无邪 - 2006-6-20 0:24:00

游戏是要安装的，这个是少了的，你中的那个蠕虫病毒，EXE文件都会受到破坏，建议你重装游戏好了。
你这样修修补补，系统的性能上肯定受到影响的。
网吧里的用户很在乎这个。
你宁愿一次搞好，也不要拖泥带水

大大水鸟 - 2006-6-20 0:41:00

这是刚刚扫描的。。是否还有问题？？

HijackThis_zww汉化版扫描日志 V1.99.1
保存于 0:36:08, 日期 2006-6-20
操作系统： Windows 2000 SP4 (WinNT 5.00.2195)
浏览器： Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Rundll32.exe
C:\WINNT\Rundll32.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\s\桌面\HijackThis1991zww.exe

R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - d:\QQ\QQIEHelper.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\YDRAGS~1.DLL
O2 - BHO: ShowBarObject Class - {850B69E4-90DB-4F45-8621-891BF35A5B53} - c:\winnt\system32\alitb1\__new\bar.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINNT\downlo~1\CnsHook.dll
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - IE工具栏增项: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll
O4 - 启动项HKLM\\Run: [CnsMin] Rundll32.exe C:\WINNT\downlo~1\CnsMin.dll,Rundll32
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [stup.exe] C:\PROGRA~1\TENCENT\Adplus\stup.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\Run: [00mpcount] C:\Program Files\MpSoft\Charge\Client\mpclient.exe
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - E:\Program Files\浩方对战平台\GameClient.exe
O9 - 浏览器额外的按钮: 商机直通车 - {13b0c05c-ef05-4bf6-b0ea-f6111af25544} - c:\winnt\system32\alitb1\__new\bar.dll
O9 - 浏览器额外的按钮: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)
O9 - 浏览器额外的按钮: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao (file missing)
O9 - 浏览器额外的按钮: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)
O9 - 浏览器额外的按钮: 网址大全 - {C18CB140-0BBB-11D4-8FE8-0088CC102438} - http://www.k369.com/wz.htm (file missing)
O9 - 浏览器额外的“工具”菜单项: 网址大全 - {C18CB140-0BBB-11D4-8FE8-0088CC102438} - http://www.k369.com/wz.htm (file missing)
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O11 - Options group: [!CNS] 网络实名
O11 - Options group: [TBH] 搜搜地址栏搜索
O17 - HKLM\System\CCS\Services\Tcpip\..\{E83D30B1-A38C-4738-90D7-BB1CE866D7DF}: NameServer = 202.102.192.68,202.102.199.68
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

瑞星卡卡安全论坛