帮忙看看。病毒太多，机器太慢，瑞星杀不完 bbs.ikaka.com

zylb2 - 2006-8-24 9:01:00

手动杀毒日志

病毒名称处理结果发现日期路径文件病毒来源
Worm.UsbSpy.a 删除成功 2006-07-03 14:28 H:\RECYCLER\RECYCLERautorun.exe本机
Trojan.PSW.ZhengTu.dc 删除成功 2006-08-06 00:58 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\2AW1KYST55[1].exe>>VEUnpackFile本机
Trojan.PSW.ACOnline.f 删除成功 2006-08-06 00:59 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\CXY3KHUB11[1].exe本机
Trojan.PSW.QQGame.o 删除成功 2006-08-06 00:59 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\CXY3KHUB44[1].exe>>VEUnpackFile本机
Trojan.PSW.ACOnline.f 删除成功 2006-08-06 01:02 C:\Program Files\Internet Explorer0Sy.exe本机
Trojan.PSW.ZhengTu.dc 删除成功 2006-08-06 01:02 C:\Program Files\Internet Explorer4Sy.exe>>VEUnpackFile本机
Worm.Viking.aa 清除成功 2006-08-06 01:02 C:\Program Files\Internet Explorer7Sy.exe>>VEUnpackFile本机
Trojan.PSW.ACOnline.e 重新启动计算机后删除文件2006-08-06 01:03 C:\TKBWDLBW_DLL.DLL本机
Trojan.PSW.QQGame.o 删除成功 2006-08-06 01:14 C:\WINDOWS\system32mswdm.exe>>VEUnpackFile本机
Trojan.PSW.ZhengTu.bv 重新启动计算机后删除文件2006-08-06 01:16 C:\ZTNEWZT_DLL.DLL本机
Worm.Viking.aa 清除成功 2006-08-06 13:56 C:\Documents and Settings\Administrator\Local Settings\Tempg0ld.com>>VEUnpackFile本机
Worm.Viking.aa 清除成功 2006-08-06 14:02 C:\WINDOWSrundl132.exe>>VEUnpackFile本机
Backdoor.Gpigeon.2006.ve 清除成功 2006-08-08 17:28 winlogon.exe>>C:\WINDOWS\serviceKey.DLL本机
Backdoor.Gpigeon.2006.ve 清除成功 2006-08-08 17:29 Explorer.EXE>>C:\WINDOWS\serviceKey.DLL本机
Backdoor.Gpigeon.2006.ve 清除成功 2006-08-08 17:29 RfwMain.exe>>C:\WINDOWS\serviceKey.DLL本机
Backdoor.Gpigeon.2006.ve 清除成功 2006-08-08 17:30 IEXPLORE.EXE>>C:\WINDOWS\serviceKey.DLL本机
Backdoor.Gpigeon.2006.ve 清除成功 2006-08-08 17:30 ctfmon.exe>>C:\WINDOWS\serviceKey.DLL本机
Backdoor.Gpigeon.2006.ve 清除成功 2006-08-08 17:30 mmc.exe>>C:\WINDOWS\serviceKey.DLL本机
Backdoor.Gpigeon.2006.ve 清除成功 2006-08-08 17:30 DfrgFat.exe>>C:\WINDOWS\serviceKey.DLL本机
Backdoor.Gpigeon.2006.ve 清除成功 2006-08-08 17:30 AgentSvr.exe>>C:\WINDOWS\serviceKey.DLL本机
Backdoor.Gpigeon.2006.ve 清除成功 2006-08-08 17:30 DfrgNtfs.exe>>C:\WINDOWS\serviceKey.DLL本机
Backdoor.Gpigeon.2006.ve 删除成功 2006-08-08 17:31 C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GZCP2LGHgzmm[1].exe本机
Trojan.DL.Agent.kmx 删除成功 2006-08-08 17:31 C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\U1KFSTIVDownIng[1].exe本机
Backdoor.Gpigeon.2006.ve 重新启动计算机后删除文件2006-08-08 17:40 C:\WINDOWSservice.com本机
Backdoor.Gpigeon.2006.ve 重新启动计算机后删除文件2006-08-08 17:40 C:\WINDOWSservice.DLL本机
Backdoor.Gpigeon.2006.ve 重新启动计算机后删除文件2006-08-08 17:40 C:\WINDOWSserviceKey.DLL本机
Backdoor.Gpigeon.2006.ve 删除成功 2006-08-08 17:40 C:\WINDOWS\system322.exe本机
Trojan.PSW.QQGame.t 删除成功 2006-08-08 17:44 C:\WINDOWS\system32mswdm.exe本机
Trojan.DL.Agent.kmx 删除成功 2006-08-08 17:45 C:\WINDOWS\system32wdfmgr32.exe本机
Worm.Viking.aa 清除成功 2006-08-09 22:08 C:\Documents and Settings\Administrator\Local Settings\Tempg0ld.com>>VEUnpackFile本机
Worm.Viking.aa 清除成功 2006-08-09 22:08 C:\Documents and Settings\Administrator\Local Settings\Temp\Temporary Internet Files\Content.IE5\I3L9C275xz[1].exe>>VEUnpackFile本机
Worm.Viking.aa 清除成功 2006-08-09 22:21 C:\WINDOWSrundl132.exe>>VEUnpackFile本机
Trojan.PSW.QQPass.pqn 删除成功 2006-08-09 22:24 C:\WINDOWS\system32qq_mail.dll本机
Win32.Sality.i 清除成功 2006-08-10 12:55 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\F2H2XPEX%E6%9E%81%E9%80%9F%E6%92%AD%E6%94%BE%E6%8F%92%E4%BB%B6[1].exe>>102154.exe本机
Trojan.DL.Agent.amw 删除成功 2006-08-10 12:55 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\F2H2XPEX%E6%9E%81%E9%80%9F%E6%92%AD%E6%94%BE%E6%8F%92%E4%BB%B6[1].exe>>102154.exe>>Unpack本机
Trojan.PSW.WoWar.hd 删除成功 2006-08-12 12:18 C:\Program Files\Internet Explorer2Sy.exe本机
Trojan.PSW.WoWar.hd 删除成功 2006-08-12 12:30 C:\WINDOWS\system32systemlw.dll本机
Trojan.DL.Agent.kqp 删除成功 2006-08-14 13:59 C:\WINDOWSrund1132.exe>>Unpack>>Unpack本机
Trojan.PSW.QQPass.pqn 删除成功 2006-08-15 20:05 C:\WINDOWS\system32myqq_.exe本机
Trojan.DL.Agent.kzo 删除成功 2006-08-21 17:42 C:boot.exe本机
Trojan.DL.Agent.kzo 删除成功 2006-08-21 17:45 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ASWZROYDms32[1].exe本机
Trojan.Spy.Agent.bik 删除成功 2006-08-23 15:50 C:\WINDOWS\system323721_5.dll本机

zylb2 - 2006-8-24 9:04:00

HijackThis_zww汉化版扫描日志 V1.99.1
保存于 8:55:13, 日期 2006-8-24
操作系统： Windows XP SP1 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
f:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
f:\Program Files\Rising\Rav\Ravmond.exe
f:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
f:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\Explorer.EXE
f:\program files\rising\rfw\RfwMain.exe
F:\Program Files\Rising\Rav\RavTask.exe
F:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\svchost.exe
F:\Program Files\CQMC\BroadBand\HNMainUI.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
F:\Program Files\Rising\Rav\RsLogVw.exe
F:\Program Files\HijackThis1991汉化版\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: (no name) - {8D139DD1-6BB5-4103-8C89-41560FF2E107} - (no file)
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\KakaTool.dll
O4 - 启动项HKLM\\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - 启动项HKLM\\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - 启动项HKLM\\Run: [RfwMain] "f:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [RavTask] "f:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [RavTimer] F:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] F:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - F:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - F:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - F:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - F:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {41973316-C6F3-11D7-A451-0050BABD8313} - http://activex.microsoft.com/objects/ocget.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7022C7B0-6E30-4018-9B3A-0D248ABBDB7B}: NameServer = 218.201.4.3 218.201.17.2
O23 - NT 服务: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - f:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - f:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - f:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - f:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: Svchost Service For Windows (svchost) - Unknown owner - C:\WINDOWS\svchost.exe

zylb2 - 2006-8-24 9:18:00

监控日志
24日
病毒名称处理结果扫描方式路径文件
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll

23日
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll

22日
Trojan.DL.VBS.Agent.r 清除成功文件监控C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\BOABCABLad[1].htm
Trojan.DL.VBS.Agent.r 跳过脚本网页/脚本监控C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp3076140195496.tmp
Trojan.DL.VBS.Agent.r 跳过脚本网页/脚本监控C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp3076140197336.tmp
Trojan.DL.VBS.Agent.r 清除成功文件监控C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\BOABCABLad[2].htm
Trojan.DL.VBS.Agent.r 清除成功文件监控C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6DR89B9Mad[1].htm
Trojan.DL.VBS.Agent.r 跳过脚本网页/脚本监控C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp3076140197496.tmp
Trojan.Spy.Agent.bik 重新启动计算机后删除文件文件监控C:\WINDOWS\system323721_5.dll
Trojan.Spy.Agent.bik 重新启动计算机后删除文件文件监控C:\WINDOWS\System323721_5.dll
Trojan.Spy.Agent.bik 删除成功文件监控C:\WINDOWS\system323721_5.dll

無馀爱ㄛ冰 - 2006-8-24 9:19:00

C:\WINDOWS\svchost.exe
这是病毒...正常的svchost.exe 应该在C:\WINDOWS\system32下的.
我帮你在网上找的方法.你可以试试:
开始--运行--输入MSCONFIG--打开后选择‘启动’--在列表中找到c:\windows\svchost.exe相关的，去掉前面的勾.
然后开始--运行--输入REGEDIT--打开注册表--分别展开以下两项;01:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;
02:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce;
找到c:\windows\svchost.exe相关的删除即可;
切记，一定要看清楚再删除，如果在上面介绍的里面找到有和svchost.exe相关的，看清楚，如果指向c:\windows\system32\svchost.exe就千万不要删除;
只有指向c:\windows\svchost.exe的才删除

wuyu3163 - 2006-8-24 9:24:00

同意

zylb2 - 2006-8-24 9:30:00

(开始--运行--输入MSCONFIG--打开后选择‘启动’--在列表中找到c:\windows\svchost.exe相关的，去掉前面的勾.)

没有c:\windows\svchost.exe相关的，怎么办？

westbeck - 2006-8-24 9:35:00

重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows
请用ＨＪ修复：
R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: UserInit=userinit.exe,
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
先结束c:\windows\svchost.exe（注意看路径）
开始-运行输入regedit,打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支，删除左栏中的病毒服务名svchost
删除:
c:\windows\svchost.exe

zylb2 - 2006-8-24 10:01:00

(重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows
请用ＨＪ修复：
R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: UserInit=userinit.exe,
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
先结束c:\windows\svchost.exe（注意看路径）
开始-运行输入regedit,打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支，删除左栏中的病毒服务名svchost
删除:
c:\windows\svchost.exe)

已经照此操作，谢谢，效果观察中，最后弱弱地问一句，c:\windows\svchost.exe到底是什么病毒？为什么正版的瑞星在正常情况下对它没办法？？？

瑞星卡卡安全论坛