瑞星卡卡安全论坛

前段时间台式机遭病毒侵犯中毒太深不得已重新系统并查杀，累及笔记本也出现病毒症状，老弹出广告窗口，系统缓慢。后分别用木马克星、完美卸载、卡巴斯基及360安全卫士查杀，部分病毒被消除，但只要打开TM/IE/FF，完美卸载的防火墙提示有病毒，而且在系统盘的临时文件夹的确就动态随机出现一些文件，比如C:\WINDOWS\Temp\cch~38844b2a0.htp等，这些引起报警。。

现将用SREng2扫描的结果贴上来，希望有高手指点下我该如何动作下一步：

2006-08-12,04:57:44

System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 1 (Build 2600)
- 管理权限用户 - 完整功能

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\System32\ctfmon.exe>  [Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <My Helper><D:\GreenSoft\Myhelper\Helper.EXE>  [助手工作室]
    <LiveUpatePower><D:\Program Files\完美卸载V2006\MyUpdate.exe -PowerOn>  []
    <RegFireWall><D:\Program Files\完美卸载V2006\WmSysPro.exe  -PowerOn>  []
    <kav><"D:\Program Files\Kaspersky Anti-Virus 6.0\avp.exe">  [Kaspersky Lab]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [Microsoft Corporation]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [Microsoft Corporation]

==================================
启动文件夹
[清华紫光CDMA无线上网卡]
  <C:\Documents and Settings\张四宇\「开始」菜单\程序\启动\清华紫光CDMA无线上网卡.lnk><N>

==================================
服务
[卡巴斯基反病毒软件6.0 / AVP]
  <"D:\Program Files\Kaspersky Anti-Virus 6.0\avp.exe" -r><Kaspersky Lab>
[IBM PM Service / IBMPMSVC]
  <C:\WINDOWS\System32\ibmpmsvc.exe><N/A>

==================================
浏览器加载项
[CWebToolsBHO Class]
  {C49A89A1-D366-4151-904C-16F69B1C444E} <D:\GreenSoft\IE6多窗口插件\WebTools.dll, Microgarden LLC>
[Pluck]
  {053017A8-53F7-4EA3-AA38-A4CCAAF1F9E7} <D:\Program Files\Pluck Corporation\Pluck\PluckExplorerBar.dll, N/A>
[Web Browser Applet Control]
  {08B0E5C0-4FCB-11CF-AAA5-00401C608501} <C:\WINDOWS\System32\msjava.dll, Microsoft Corporation>
[Web反病毒保护]
  {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} <D:\Program Files\Kaspersky Anti-Virus 6.0\scieplugin.dll, Kaspersky Lab>
[e起摘]
  {36A2003E-700F-4a3f-B25E-3ABBAB7E36A2} <, N/A>
[Save To Palm]
  {6C8741AB-53B4-476e-BE7C-F519AD8A6494} <, N/A>
[NetCollect]
  {7051B514-71B7-41B1-88ED-DDF0FAAA3115} <D:\GreenSoft\NetCollect\netcollect.exe, N/A>
[Microgarden WebTools]
  {E929661E-3728-4E52-BCCB-AE4058F75466} <D:\GreenSoft\IE6多窗口插件\WebTools.dll, Microgarden LLC>
[Microsoft Office Template and Media Control]
  {02BCC737-B171-4746-94C9-0D8A0B2C0089} <C:\WINDOWS\Downloaded Program Files\IEAWSDC.DLL, N/A>
[XLink Class]
  {18F57D30-EF36-4C0E-9343-7BFA6DF79B4A} <C:\WINDOWS\System32\wmpcd32.dll, N/A>
[Java Plug-in 1.4.2_04]
  {8AD9C840-044E-11D1-B3E9-00805F499D93} <C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll, JavaSoft / Sun Microsystems, Inc.>
[Java Plug-in 1.4.2_04]
  {CAFEEFAC-0014-0002-0004-ABCDEFFEDCBA} <C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll, JavaSoft / Sun Microsystems, Inc.>
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\System32\Macromed\flash\flash8.ocx, Macromedia, Inc.>
[CPasswordEditCtrl Object]
  {E787FD25-8D7C-4693-AE67-9406BC6E22DF} <C:\WINDOWS\System32\qqedit\qqedit.dll, 腾讯科技（深圳）有限公司>
[&Save To Palm]
  <D:\Program Files\palmOne\HandStoryME.htm, N/A>
[&使用迅雷下载]
  <D:\Program Files\Thunder\Program\GetUrl.htm, N/A>
[360doc个人图书馆]
  <http://www.360doc.com/rightClick.aspx, N/A>
[C&lip To Palm]
  <D:\Program Files\palmOne\HandStoryMEC.htm, N/A>
[上传到QQ网络硬盘]
  <D:\Program Files\Tencent\qq\AddToNetDisk.htm, N/A>
[使用网际快车下载]
  <D:\Program Files\FlashGet\jc_link.htm, N/A>
[使用网际快车下载全部链接]
  <D:\Program Files\FlashGet\jc_all.htm, N/A>
[加入天天网摘]
  <http://www.365key.com/include/rightClick.aspx, N/A>
[添加到e起摘]
  <C:\WINDOWS\system\enetiebutton\enetiebutton.html, N/A>
[添加到QQ表情]
  <D:\Program Files\Tencent\qq\AddEmotion.htm, N/A>
[采集源代码]
  <D:\GreenSoft\NetCollect\NcActive\NcSourceCode.htm, N/A>
[采集网页]
  <D:\GreenSoft\NetCollect\NcActive\NcWebPage.htm, N/A>
[采集网页的选定部分]
  <D:\GreenSoft\NetCollect\NcActive\NcselWebPage.htm, N/A>
[采集选定部分的源代码]
  <D:\GreenSoft\NetCollect\NcActive\NcselSourceCode.htm, N/A>

==================================

附件: 727455200681251222.JPG

==================================
正在运行的进程
[PID: 380][\SystemRoot\System32\smss.exe]  <Microsoft Corporation><5.1.2600.1106 (xpsp1.020828-1920)>
[PID: 460][\??\C:\WINDOWS\system32\csrss.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 484][\??\C:\WINDOWS\system32\winlogon.exe]  <Microsoft Corporation><5.1.2600.1106 (xpsp1.020828-1920)>
[PID: 528][C:\WINDOWS\system32\services.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 540][C:\WINDOWS\system32\lsass.exe]  <Microsoft Corporation><5.1.2600.1106 (xpsp1.020828-1920)>
[PID: 684][C:\WINDOWS\System32\ibmpmsvc.exe]  <N/A><N/A>
[PID: 716][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 760][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 828][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 884][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 1068][C:\WINDOWS\system32\spoolsv.exe]  <Microsoft Corporation><5.1.2600.1699 (xpsp2.050610-1533)>
[PID: 1164][C:\WINDOWS\System32\atievxx.exe]  <Microsoft Corporation><5.1.2482.0 (Lab01_N(ericks).010524-2202)>
[PID: 1564][C:\WINDOWS\Explorer.EXE]  <Microsoft Corporation><6.00.2800.1106 (xpsp1.020828-1920)>
    [D:\Program Files\完美卸载V2006\Protect.sys]  <N/A><N/A>
    [D:\GreenSoft\Myhelper\HHook.dll]  <N/A><N/A>
[PID: 1660][D:\GreenSoft\Myhelper\Helper.EXE]  <助手工作室><2, 0, 1, 2>
    [D:\GreenSoft\Myhelper\HHook.dll]  <N/A><N/A>
[PID: 1692][D:\Program Files\完美卸载V2006\WmSysPro.exe]  <><3, 0, 0, 1>
    [D:\Program Files\完美卸载V2006\ScanEngine.dll]  <><5, 0, 0, 0>
    [D:\Program Files\完美卸载V2006\Protect.sys]  <N/A><N/A>
    [D:\Program Files\Kaspersky Anti-Virus 6.0\scr_ch_pg.dll]  <Kaspersky Lab><1.0.6.299>
    [D:\Program Files\Kaspersky Anti-Virus 6.0\klscav.dll]  <Kaspersky Lab><6.0.0.299>
    [D:\Program Files\Kaspersky Anti-Virus 6.0\pr_remote.dll]  <Kaspersky Lab><6.0.0.299>
    [D:\Program Files\Kaspersky Anti-Virus 6.0\prloader.dll]  <Kaspersky Lab><6.0.0.299>
    [D:\Program Files\Kaspersky Anti-Virus 6.0\prkernel.ppl]  <Kaspersky Lab><6.0.0.299>
    [d:\program files\kaspersky anti-virus 6.0\params.ppl]  <Kaspersky Lab><6.0.0.299>
    [d:\program files\kaspersky anti-virus 6.0\pxstub.ppl]  <Kaspersky Lab><6.0.0.299>
    [d:\program files\kaspersky anti-virus 6.0\tempfile.ppl]  <Kaspersky Lab><6.0.0.299>
    [d:\program files\kaspersky anti-virus 6.0\nfio.ppl]  <Kaspersky Lab><6.0.0.299>
    [d:\program files\kaspersky anti-virus 6.0\fsdrvplgn.ppl]  <Kaspersky Lab><6.0.0.299>
[PID: 1708][C:\WINDOWS\System32\ctfmon.exe]  <Microsoft Corporation><5.1.2600.1106 (xpsp1.020828-1920)>
[PID: 1724][D:\Program Files\清华紫光CDMA无线上网卡\cdma.exe]  <><1, 0, 0, 1>
    [D:\Program Files\完美卸载V2006\Protect.sys]  <N/A><N/A>
[PID: 844][D:\GreenSoft\GreenBrowser\GreenBrowser.exe]  <MoreQuick><1, 0, 0, 0>
    [D:\Program Files\完美卸载V2006\Protect.sys]  <N/A><N/A>
    [D:\GreenSoft\Myhelper\HHook.dll]  <N/A><N/A>
    [D:\Program Files\Kaspersky Anti-Virus 6.0\scr_ch_pg.dll]  <Kaspersky Lab><1.0.6.299>
    [D:\Program Files\Kaspersky Anti-Virus 6.0\klscav.dll]  <Kaspersky Lab><6.0.0.299>
    [D:\Program Files\Kaspersky Anti-Virus 6.0\pr_remote.dll]  <Kaspersky Lab><6.0.0.299>
    [D:\Program Files\Kaspersky Anti-Virus 6.0\prloader.dll]  <Kaspersky Lab><6.0.0.299>
    [D:\Program Files\Kaspersky Anti-Virus 6.0\prkernel.ppl]  <Kaspersky Lab><6.0.0.299>
    [d:\program files\kaspersky anti-virus 6.0\params.ppl]  <Kaspersky Lab><6.0.0.299>
    [d:\program files\kaspersky anti-virus 6.0\pxstub.ppl]  <Kaspersky Lab><6.0.0.299>
    [d:\program files\kaspersky anti-virus 6.0\tempfile.ppl]  <Kaspersky Lab><6.0.0.299>
    [d:\program files\kaspersky anti-virus 6.0\nfio.ppl]  <Kaspersky Lab><6.0.0.299>
    [d:\program files\kaspersky anti-virus 6.0\fsdrvplgn.ppl]  <Kaspersky Lab><6.0.0.299>
    [C:\WINDOWS\System32\Macromed\flash\flash8.ocx]  <Macromedia, Inc.><8,0,22,0>
    [C:\WINDOWS\System32\JPWB.IME]  <常诚研制><4.00.950>
[PID: 1920][D:\GreenSoft\SREng2\SREng.exe]  <Smallfrogs Studio><2.0.21.505>
    [D:\Program Files\完美卸载V2006\Protect.sys]  <N/A><N/A>

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

说明一下：

以上的Myhelp是我常用的一个开机运行小软件，方便快速关机打开注册表下载工具和记日志用的常用工具，不是病毒软件。

现在只要一上网，即使没有打开浏览器，开QQ或MSN，都会弹出那个提示病毒的报警，说明机器的流氓软件或病毒根本没有查杀干净。

麻烦高手指点下。

对了，我也曾用过雅虎的间谍专家，结果也没有用，不知道该软件有问题没有？

C:\WINDOWS\Temp\
安全模式清空..

【回复“mopery”的帖子】

马上试下，你够可以哈，这么早就来回复我的贴子了，感动ing~~~~

刚才试了下，在安全模式下清空TEMP文件夹内容，没有解决问题，还是提示有病毒，而且TEWMP文件夹内随机会出现以cnh打头htp格式的文件，最多时达8个，总是无法彻底删除杀掉。。。


这几个文件一定跟某个隐藏的文件有关联，不然怎么老出现呢，而且基本上是在我使用浏览器有某个动作时才出现，如点击链接，或者打开TM/MSN等时。。。。


郁闷啊，从来没有遇到这样顽固的流氓~~~病毒~~~流氓已经等同于病毒了~~~~


哪个高手再指点下