瑞星卡卡安全论坛

斑竹你好,刚发现C盘多了个WEBWROK的文件夹不知道是什么类型的文件?尝试用魔法兔子也不能将其删除,提示要输入验证码,郁闷中....请帮忙看看.以下是日志,谢谢~
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      23:15:13, 日期 2006-9-4
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
E:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
E:\Program Files\Rising\Rav\Ravmond.exe
e:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\Explorer.EXE
e:\program files\rising\rfw\RfwMain.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
E:\Program Files\Winamp\winampa.exe
E:\Program Files\Rising\Rav\RavTask.exe
E:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Kingsoft\XDict\XDICT.EXE
C:\PROGRA~1\宽带上~1\Autolog.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
F:\tools\新建文件夹\HijackThis1991zww.exe

O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [WinampAgent] E:\Program Files\Winamp\winampa.exe
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [RavTask] "E:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [RfwMain] "E:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [3823881ceac4d83d91e6f2bc54c34fa0] "F:\tools\d120cb2006.12012.0.exe" -t 12012.0
O4 - Global Startup: Autolog.lnk = ?
O4 - Global Startup: 金山词霸 2002.lnk = E:\Program Files\Kingsoft\XDict\XDICT.EXE
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - E:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - E:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - E:\Program Files\tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用KuGoo3下载(&K) - E:\Program Files\KuGoo3\KuGoo3DownX.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - E:\Program Files\tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - E:\Program Files\tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - E:\Program Files\tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - E:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 浏览器额外的“工具”菜单项: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - E:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 浏览器额外的按钮: 卓越 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - E:\PROGRA~1\Kingsoft\XDict\IEPlugin.dll
O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - 浏览器额外的按钮: 金山词霸 - {C8CE29C5-7589-11D3-B81B-0080C8DC5DC8} - E:\PROGRA~1\Kingsoft\XDict\IEPlugin.dll
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\Program Files\tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\Program Files\tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - E:\Program Files\tencent\QQ\QQIEHelper.dll (file missing)
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - E:\Program Files\tencent\QQ\QQIEHelper.dll (file missing)
O21 - SSODL: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - (no file)
O21 - SSODL: webwork - {4C611512-2C1D-44b2-A044-872AD2AD5A61} - C:\WINDOWS\webwork\webwork.dll
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - e:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - e:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - E:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

流氓软件，去安全模式下试试

安全模式也试过的,还是删不了,仍然要我输入什么验证码.........
从日志上能看出什么问题吗?

日志没什么，不能直接删除吗？

始终要我输入那个什么验证码... 兔子,控制面板-添加删除程序,安全模式,会用的都用了...

顶一下,大大们帮忙看看...

验证码他没有提供吗?

显示验证码那一栏的屏幕有点像乱码,什么都看不到.

上他的网站找找看，贴张图看看

这么解决？

的确是这样，我的也是，瑞星开机即报Trojan.DL.Agent.xdw，可是杀不了

参考http://forum.ikaka.com/topic.asp?board=28&artid=8162782

哈哈，终于自己解决了，先把瑞星监控，和防火墙都关闭，从添加删除程序里把WEBWORK卸载，按提示填写验证码（全都是数字，仔细辨认，把显示分辨率调整为1224＊768）即可完全卸载！

我己经发电子邮件给他们了,它这样搞法本来不是流氓而真要成流氓了·

什么也杀不了,真不知道花几百块买杀毒软件有啥用．

引用:

【qhdbing的贴子】哈哈，终于自己解决了，先把瑞星监控，和防火墙都关闭，从添加删除程序里把WEBWORK卸载，按提示填写验证码（全都是数字，仔细辨认，把显示分辨率调整为1224＊768）即可完全卸载！ ………………

我的在DOS下删掉了，不知行不？？

１．我昨天在控制面版里＂添加＼删除程序＂想删ＷＥＢＷＯＲＫ时，还看见有请输入验证码的提示，但今天再进入＂添加＼删除程序＂这里，想删ＷＥＢＷＯＲＫ时，就出现一个提示框（ＲＵＮＤＬＬ）：＂加载Ｃ:\windows\webwork\webwork.dll时出错拒绝访问＂，所以我无法按上面大家说的输入验证码的办法删除这个软件了，根本没有验证码了．
２．我进入＂安全模式＂时，屏幕的分辨率很低，但在那个模式下进入控制面版里＂添加＼删除程序＂可看到提供的验证码，但是分辨率太低，根本看不到数字．在＂显示－属性－设置＂中也无法改变８００＊６００的分辨率，是灰色默认状态，无法改到１０２４＊７６８．所以还是无法看到验证码．
３．＂开始--运行--输入"regedit"--确定
删除注册表如下项目:
HKEY_CLASSES_ROOT\CLSID\
删除：{4C611512-2C1D-44b2-A044-872AD2AD5A61}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：Albus ＂
也不管用！！！！总提示＂注册表无法响应＂，像死机了的状态．
这里的方法我都试过了，但仍旧无法杀掉这个病毒，手动删除后，回收站里根本没有，再次进入我的电脑，Ｃ盘看，仍旧有ＷＥＢＷＯＲＫ这个文件！！
请大家帮帮忙！谢谢．

楼上应该仔细看贴,16楼已经说了,在dos下删,最后处理掉注册表里的内容.