瑞星卡卡安全论坛

HijackThis_815汉化版扫描日志 V1.99.1
保存于      14:54:38, 日期 2006-10-19
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SYSTEM32\RUNDLL.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Intel\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\FlashGet\flashget.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Downloads\HijackThis1991zww.exe

F3 - REG:win.ini: load=C:\WINDOWS\rundl132.exe
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "%SystemRoot%\IME\imjp8_1\IMJPMIG" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - 启动项HKLM\\Run: [Tray] C:\WINDOWS\command\rundll32.exe
O4 - 启动项HKLM\\Run: [rzt] C:\WINDOWS\Intel\rundll32.exe
O4 - 启动项HKLM\\Run: [wl] C:\WINDOWS\Download\svhost32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8B76B50-28A1-49CD-96C1-ACF45E790250}: NameServer = 202.101.224.69 202.101.226.68
O20 - AppInit_DLLs: 919331M.BMP
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: Safe network plug-in of pb (plug-in) - Unknown owner - c:\windows\rundll32.exe (file missing)
O23 - NT 服务: Volume Shadddddow Copyerq (Service332245) - Unknown owner - c:\windows\system\taskmrg.exe (file missing)
O23 - NT 服务: Uninterruptible Power Supply (UPS) - Unknown owner - c:\windows\ups.exe

连瑞星的专杀工具都拿他没办法
郁闷

瑞星的启动项和服务都没有了~~~(可能要重装,另 你是不是没有装墙?)
下载SREng(新版)
http://www.kztechs.com/

进入安全模式,
运行SREng,查找以下几个启动项(在启动项目中找),并删除这些启动项~


F3 - REG:win.ini: load=C:\WINDOWS\rundl132.exe
O4 - 启动项HKLM\\Run: [Tray] C:\WINDOWS\command\rundll32.exe
O4 - 启动项HKLM\\Run: [rzt] C:\WINDOWS\Intel\rundll32.exe
O4 - 启动项HKLM\\Run: [wl] C:\WINDOWS\Download\svhost32.exe

查找下面这些服务,并禁用(结尾有file missing的两项可直接删除,第三个可以先禁用,重启后再删除服务,及文件)
O23 - NT 服务: Safe network plug-in of pb (plug-in) - Unknown owner - c:\windows\rundll32.exe (file missing)
O23 - NT 服务: Volume Shadddddow Copyerq (Service332245) - Unknown owner - c:\windows\system\taskmrg.exe (file missing)
O23 - NT 服务: Uninterruptible Power Supply (UPS) - Unknown owner - c:\windows\ups.exe

另,在HijackThis这个工具中修复O20 - AppInit_DLLs: 919331M.BMP(如果在上面这个工具中可以看到这个,亦可处理~)

(注:以上操作建议在安全模式下进行~)


上面操作结束后,扫个日志帖上来(用SREng扫)

瑞星都已经安装好几边了

我先去试试吧

如果可知行文件被注入病毒，请参照此贴的工具进行修复
http://forum.ikaka.com/topic.asp?board=28&artid=8193749

围巾---不是logo1 、rundl132吗？

好像威金最明显的特征是rundl132.exe？

让它开始感染的是一个DLL文件(原来是dll.dll 现在可能名字有变化了~)
这个有时在sreng(新版)的日志中可以看出~

威金变种很多啊，尽管我认为我中的已经够全的了，但是还是有一些进程没有在我的机器上出现过
C:\Program Files\Internet Explorer\1SY.exe
C:\Program Files\Internet Explorer\2sy.exe
C:\Program Files\Internet Explorer\3sy.exe
C:\Program Files\Internet Explorer\4sy.exe
C:\Program Files\Internet Explorer\5sy.exe
C:\WINNT\viDLL.exe
C:\WINNT\cmd.exe
C:\WINNT\svhost32.exe
C:\WINNT\rundl132.exe(注意最后一个是1不是字母)
C:\WINNT\bootconf.exe
C:\winnt\system32\ShellExt\svchs0t.exe(注意那个数字0)
%SystemRoot% 代表系统目录，病毒会在winnt目录和 winnt/system32目录，新建如下文件名

%SystemRoot%\winnnt/intel/rundll32.exe

%SystemRoot%\h4x0r.com
%SystemRoot%\Logo1_.exe
%SystemRoot%\rundl132.exe
%SystemRoot%\0Sy.exe
%SystemRoot%\vDll.dll
%SystemRoot%\1Sy.exe
%SystemRoot%\2Sy.exe
%SystemRoot%\rundll23.exe
%SystemRoot%\3Sy.exe
%SystemRoot%\4Sy.exe
%SystemRoot%\5Sy.exe
%SystemRoot%\1.com
%SystemRoot%\a.exe
%SystemRoot%\bootconf.exe
%SystemRoot%\g0ld.com
%SystemRoot%\vidll.com
%SystemRoot%\exerouter.exe
%SystemRoot%\EXP10RER.com
%SystemRoot%\finders.com
%SystemRoot%\Shell.sys
%SystemRoot%\smss.exe
%SystemRoot%\kill.exe
%SystemRoot%\sws.dll
%SystemRoot%\sws32.dll

%SystemRoot%\system32\dllz.dll
%SystemRoot%\system32\msdll.dll
%SystemRoot%\system32\rundl123.com
%SystemRoot%\system32\rundll32.com
%SystemRoot%\system32\ServeHost.exe
%SystemRoot%\system32\shellext
%SystemRoot%\system32\ztdll.dll

按照4楼提供的连接

问题已经基本解决了
但是现在又有新的问题
瑞星安装后无法打开

HijackThis_815汉化版扫描日志 V1.99.1
保存于      16:19:26, 日期 2006-10-19
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SYSTEM32\RUNDLL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\Intel\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Rising\Rav\CCenter.exe
D:\Rising\Rav\RavTask.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Rising\Rfw\rfwmain.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\alexa.exe
C:\Downloads\HijackThis1991zww.exe

O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "%SystemRoot%\IME\imjp8_1\IMJPMIG" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - 启动项HKLM\\Run: [Tray] C:\WINDOWS\command\rundll32.exe
O4 - 启动项HKLM\\Run: [rzt] C:\WINDOWS\Intel\rundll32.exe
O4 - 启动项HKLM\\Run: [wl] C:\WINDOWS\Download\svhost32.exe
O4 - 启动项HKLM\\Run: [HF_GameClient] C:\Program Files\浩方对战平台\gameclient.exe
O4 - 启动项HKLM\\Run: [RavTask] "D:\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - C:\Program Files\浩方对战平台\gameclient.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8B76B50-28A1-49CD-96C1-ACF45E790250}: NameServer = 202.101.224.69 202.101.226.68
O20 - AppInit_DLLs: 919331M.BMP
O23 - NT 服务: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: Safe network plug-in of pb (plug-in) - Unknown owner - c:\windows\rundll32.exe
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\Rising\Rav\CCenter.exe
O23 - NT 服务: Volume Shadddddow Copyerq (Service332245) - Unknown owner - c:\windows\system\taskmrg.exe (file missing)
O23 - NT 服务: Uninterruptible Power Supply (UPS) - Unknown owner - c:\windows\ups.exe

威金是干不掉瑞星的，不必重装瑞星，但是他能感染卡卡助手，建议你装ZONEALARM防火墙，他能高效阻拦未知应用程序运行，和对系统程序的调用。是被动发现木马的好办法

高手再帮我看下




HijackThis_815汉化版扫描日志 V1.99.1
保存于      19:20:15, 日期 2006-10-19
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SYSTEM32\RUNDLL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Rising\Rfw\rfwmain.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\alexa.exe
C:\WINDOWS\cftmon.exe
C:\WINDOWS\system32\MRTServ.exe
C:\Program Files\Tencent\QQ\QQ.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Downloads\HijackThis1991zww.exe

O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "%SystemRoot%\IME\imjp8_1\IMJPMIG" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - 启动项HKLM\\Run: [wl] C:\WINDOWS\Download\svhost32.exe
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [HF_GameClient] C:\Program Files\浩方对战平台\gameclient.exe
O4 - 启动项HKLM\\Run: [SOUNDM] winsmd.exe
O4 - 启动项HKLM\\RunOnce: [Super Rabbit SRCK] "C:\Program Files\Super Rabbit\MagicSet\SRCK.exe" /autokill:86
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: 腾讯QQ.lnk = C:\Program Files\Tencent\QQ\QQ.exe
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - C:\Program Files\浩方对战平台\GameClient.exe
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8B76B50-28A1-49CD-96C1-ACF45E790250}: NameServer = 202.101.224.69 202.101.226.68
O20 - AppInit_DLLs: 919331M.BMP
O21 - SSODL: CDBurner - {D92D637A-0FB7-412D-A7E8-29340A580F7E} - C:\WINDOWS\Downloaded Program Files\jaasnt.dll
O23 - NT 服务: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: Safe network plug-in of pb (plug-in) - Unknown owner - c:\windows\rundll32.exe (file missing)
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Volume Shadddddow Copyerq (Service332245) - Unknown owner - c:\windows\system\taskmrg.exe (file missing)
O23 - NT 服务: Uninterruptible Power Supply (UPS) - Unknown owner - c:\windows\ups.exe

浏览器劫持？C:\WINDOWS\system32\alexa.exe

修复
O4 - 启动项HKLM\\Run: [wl] C:\WINDOWS\Download\svhost32.exe

浏览器劫持什么意思

是否C:\WINDOWS\system32\alexa.exe
这个文件要删除

即流氓软件 alexa.exe 可能是流氓软件 删除掉吧

O4 - 启动项HKLM\\Run: [wl] C:\WINDOWS\Download\svhost32.exe
的木马修复 删除了么？

那个启动项可以删除

但是alexa.exe 用ICESWORD.EXE 删就重启

修复 并删除相应文件 再试下 后两个病毒文件已经丢失
O4 - 启动项HKLM\\Run: [SOUNDM] winsmd.exe
O21 - SSODL: CDBurner - {D92D637A-0FB7-412D-A7E8-29340A580F7E} - C:\WINDOWS\Downloaded Program Files\jaasnt.dll
O23 - NT 服务: Safe network plug-in of pb (plug-in) - Unknown owner - c:\windows\rundll32.exe (file missing)
O23 - NT 服务: Volume Shadddddow Copyerq (Service332245) - Unknown owner - c:\windows\system\taskmrg.exe (file missing)

023两项无法删除

我在17楼 已经说了 后两个病毒文件已经丢失。。。
那个alexa.exe  还运行么？

没有运行了
删除了


看看最新的日志吧
HijackThis_815汉化版扫描日志 V1.99.1
保存于      19:56:22, 日期 2006-10-19
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\program files\rising\rfw\RfwMain.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\MRTServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SYSTEM32\RUNDLL.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\alexa.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Downloads\HijackThis1991zww.exe

O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "%SystemRoot%\IME\imjp8_1\IMJPMIG" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - 启动项HKLM\\Run: [HF_GameClient] C:\Program Files\浩方对战平台\gameclient.exe
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: 腾讯QQ.lnk = C:\Program Files\Tencent\QQ\QQ.exe
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - C:\Program Files\浩方对战平台\gameclient.exe
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8B76B50-28A1-49CD-96C1-ACF45E790250}: NameServer = 202.101.224.69 202.101.226.68
O20 - AppInit_DLLs: 919331M.BMP
O23 - NT 服务: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: Safe network plug-in of pb (plug-in) - Unknown owner - c:\windows\rundll32.exe (file missing)
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Volume Shadddddow Copyerq (Service332245) - Unknown owner - c:\windows\system\taskmrg.exe (file missing)
O23 - NT 服务: Uninterruptible Power Supply (UPS) - Unknown owner - c:\windows\ups.exe

你再让高手帮你看一下吧 呵呵  我不行
C:\WINDOWS\system32\alexa.exe 可以在安全模式下杀

O23 - NT 服务: Safe network plug-in of pb (plug-in) - Unknown owner - c:\windows\rundll32.exe (file missing)
O23 - NT 服务: Volume Shadddddow Copyerq (Service332245) - Unknown owner - c:\windows\system\taskmrg.exe (file missing)
试试用seng2修复

结束进程
C:\WINDOWS\SYSTEM32\RUNDLL.EXE
C:\WINDOWS\system32\alexa.exe

修复：
O20 - AppInit_DLLs: 919331M.BMP

在注册表展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除plug-in、Service332245两个项目
展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UPS
双击其中的ImagePath键，把键值改为%SystemRoot%\System32\ups.exe

删除：
C:\WINDOWS\SYSTEM32\RUNDLL.EXE
C:\WINDOWS\system32\alexa.exe
C:\WINDOWS\919331M.BMP
c:\windows\ups.exe

如果楼主的威金还是没有清理干净，试用瑞星首页发布的专杀再杀一下。

ups.exe不是电源程序么？  标准的路径是什么啊 ？
RUNDLL.EXE也迷糊 没敢提出来

麻烦了
我把这个HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UPS删除了

怎么办呀

我的瑞星监控从来都没关过,也两三天就升级一次,而且我也在安全模式和正常模式下全盘杀毒多次,但这个威金病毒还是没几天突然就又出现了,不知要怎么办呢,快对瑞星没信心了.

是呀。。。好多威金的变种出现，没有根本解决的方法吗？

只能慢慢等了

哈哈~~~我也中奖了~~~明显特征%SystemRoot%\Logo1_.exe~~~暂时没有激活病毒~~~别的事情都做不了~~~只有泡泡论坛~~~潜潜水~~~HOHO~~~