昨天下了一个陈桥五笔V5.802版，结果每次上网的时候都会弹出一个广告网页，我该怎么才能弄掉它呀？各位大虾帮忙呀！


我的HJ日志：

ijackThis_zww汉化版扫描日志 V1.99.1
保存于 20:35:22, 日期 2006-8-13
操作系统： Windows XP SP2 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\system32\winmer.exe
C:\WINDOWS\system32\msime.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\VM_STI.EXE
D:\Herosoft\HeroV8\SYSEXPLR.EXE
C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
D:\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
D:\lg_fwupdate\fwupdate.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\DAEMON Tools\daemon.exe
C:\WINDOWS\rundll32.exe
C:\WINDOWS\system\realsched.exe
C:\PROGRA~1\baigoo\bgoomain.exe
C:\Program Files\Internet Explorer\PLUGINS\SVCHOST.exe
C:\Program Files\CNNIC\Cdn\cdnup.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\UpdateService.exe
C:\WINDOWS\Windives.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\betcomet0.62.jsp\BitComet.exe
D:\qq2005\QQ.exe
D:\qq2005\TIMPlatform.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\hijackthis版本1.99.1\HijackThis1991汉化版\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: Shell=Explorer.exe 1
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\cchlelg.exe
O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v14.dll
O2 - BHO: FqtGnjsx Class - {0D0EAFA2-C3EF-7215-7176-C8DF112A3738} - C:\WINDOWS\DOWNLO~1\upbmvvcy.dll
O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\Program Files\Yahoo!\Assistant\Assist\yAngling.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\qq2005\QQIEHelper.dll
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: BHOImp Class - {70AFF2CB-9DA2-499C-8D15-900729FCE83D} - C:\WINDOWS\system32\YHBO.dll
O2 - BHO: YOK超级搜索 - {75FE2B5A-D3A4-4EFA-AC11-ADC9C9459688} - C:\Program Files\YOK.com\SuperSearch\YOK_SuperSearch.dll
O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\baidubar.dll
O2 - BHO: bg - {7BDAF75A-0D6F-4F50-AFE9-333D08DF4005} - C:\Program Files\baigoo\BGooBHO.dll
O2 - BHO: IEHlprObj Class - {D424FE4E-CAF9-4fdd-BC5F-E6E6B91D53BF} - C:\Progra~1\NetMeeting\nmview.dll
O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRA~1\CNNIC\Cdn\wmhlpr.dll
O2 - BHO: 超级兔子上网精灵 - {FEDF637B-F631-4583-A210-33CC828D42DB} - D:\MagicSet\HaokanBar.dll
O3 - IE工具栏增项: 超级兔子上网精灵 - {FEDF637B-F631-4583-A210-33CC828D42DB} - D:\MagicSet\HaokanBar.dll
O3 - IE工具栏增项: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O3 - IE工具栏增项: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\PROGRA~1\baidu\bar\baidubar.dll
O3 - IE工具栏增项: YOK超级搜索 - {F869BB38-FFEF-4589-B986-610B7AD0ADA2} - C:\Program Files\YOK.com\SuperSearch\YOK_SuperSearch.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [Super Rabbit SRRestore] D:\MagicSet\srrest.exe /autosave
O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - 启动项HKLM\\Run: [SysExplr] d:\Herosoft\HeroV8\SYSEXPLR.EXE
O4 - 启动项HKLM\\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - 启动项HKLM\\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
O4 - 启动项HKLM\\Run: [RemoteControl] "d:\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - 启动项HKLM\\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - 启动项HKLM\\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - 启动项HKLM\\Run: [LGODDFU] d:\lg_fwupdate\fwupdate.exe
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [mscfs] RUNDLL32 C:\WINDOWS\system32\msibm\cfsys.dll,cfs
O4 - 启动项HKLM\\Run: [DAEMON Tools] "d:\DAEMON Tools\daemon.exe" -lang 1033
O4 - 启动项HKLM\\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - 启动项HKLM\\Run: [rx] C:\WINDOWS\rundll32.exe
O4 - 启动项HKLM\\Run: [_rx] C:\WINDOWS\rundll32.exe
O4 - 启动项HKLM\\Run: [设备检测器] DevDetect.exe -autorun
O4 - 启动项HKLM\\Run: [intranet] C:\WINDOWS\system32\intranet.exe
O4 - 启动项HKLM\\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - 启动项HKLM\\Run: [MSService_v1.0] C:\WINDOWS\system\realsched.exe
O4 - 启动项HKLM\\Run: [spoolsv] C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
O4 - 启动项HKLM\\Run: [bgoomain.exe] C:\PROGRA~1\baigoo\bgoomain.exe
O4 - 启动项HKLM\\Run: [SVCHOST] C:\Program Files\Internet Explorer\PLUGINS\SVCHOST.exe
O4 - 启动项HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - 启动项HKLM\\RunServices: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - Startup: desktop.ini
O4 - Startup: 腾讯QQ.lnk = D:\qq2005\QQ.exe
O4 - Startup: 地址栏搜索.lnk = C:\Documents and Settings\liu\Local Settings\Temp\efcbz0je.exe
O4 - Global Startup: desktop.ini
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - d:\迅雷5\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - d:\迅雷5\getallurl.htm
O8 - IE右键菜单中的新增项目: YOK超级搜索 - C:\Program Files\YOK.com\SuperSearch\yoksch.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\qq2005\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\qq2005\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\qq2005\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\qq2005\SendMMS.htm
O8 - IE右键菜单中的新增项目: 访问通用网址 - C:\Program Files\CNNIC\Cdn\cnnic.htm
O9 - 浏览器额外的按钮: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - 浏览器额外的“工具”菜单项: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\qq2005\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\qq2005\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\qq2005\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\qq2005\QQIEHelper.dll
O9 - 浏览器额外的按钮: YOK超级搜索 - {F869BB38-FFEF-4589-B986-610B7AD0ADA2} - http://www.yok.com (file missing)
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\cdnns.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\quartz32.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\quartz32.dll
O11 - Options group: [CDNCLIENT] 中文上网
O17 - HKLM\System\CCS\Services\Tcpip\..\{A328C777-D385-4CDC-A506-51A524E7EFFF}: NameServer = 202.99.166.4 202.99.160.68
O23 - NT 服务: Gray_Pigeon_Server1.23 (GrayPigeonServer1.23) - Unknown owner - C:\WINDOWS\G_Server1.23.exe
O23 - NT 服务: Pigeon_Server (PigeonServer) - Unknown owner - C:\WINDOWS\Server.exe
O23 - NT 服务: Security Commad Managers (Samcmd) - Unknown owner - C:\WINDOWS\system32\cmd1.exe
O23 - NT 服务: UpdateService - Unknown owner - C:\WINDOWS\system32\UpdateService.exe
O23 - NT 服务: windives - Unknown owner - C:\WINDOWS\Windives.exe

运行Hijackthis，扫描结束后在下列选项前打上勾，然后选"修复
R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: Shell=Explorer.exe 1
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\cchlelg.exe
O2 - BHO: FqtGnjsx Class - {0D0EAFA2-C3EF-7215-7176-C8DF112A3738} - C:\WINDOWS\DOWNLO~1\upbmvvcy.dll
O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll
O2 - BHO: BHOImp Class - {70AFF2CB-9DA2-499C-8D15-900729FCE83D} - C:\WINDOWS\system32\YHBO.dll
O2 - BHO: YOK超级搜索 - {75FE2B5A-D3A4-4EFA-AC11-ADC9C9459688} - C:\Program Files\YOK.com\SuperSearch\YOK_SuperSearch.dll
O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\baidubar.dll
O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRA~1\CNNIC\Cdn\wmhlpr.dll
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present


也可以使用超级兔子修复

取消已下的启动项
O4 - 启动项HKLM\\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - 启动项HKLM\\Run: [rx] C:\WINDOWS\rundll32.exe
O4 - 启动项HKLM\\Run: [_rx] C:\WINDOWS\rundll32.exe
O4 - 启动项HKLM\\Run: [SVCHOST] C:\Program Files\Internet Explorer\PLUGINS\SVCHOST.exe
O4 - 启动项HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - 启动项HKLM\\RunServices: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - 启动项HKLM\\Run: [spoolsv] C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer


O10 - 未知的文件在 Winsock LSP: c:\windows\system32\cdnns.dll
到我的网络E盘绿色软件下载：恶意软件清理助手
http://free5.ys168.com/?ufwihgu168

O10 - 未知的文件在 Winsock LSP: c:\windows\system32\quartz32.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\quartz32.dll

请下载LSPFix和WinsockXPFix这两个软件，
　　重新启动电脑, 进入安全模式。运行LSPFix.exe，删除：
quartz32.dll
说明：
LSPFix这个软件主要用来辅助修复HijackThis扫描发现的O10项。使用时，
请关闭所有IE界面和文件夹界面后运行LSPFix。运行后，把要修复的那一
个O10项从左边转到右边，点“Finish”即可。修复后重启计算机，如果
无法上网，请运行WinsockXPFix，让它修复一下。

开始→运行→输入services.msc，打开“服务”→查找Pigeon_Server ,Security Commad Managers ,UpdateService,→
双击→启动类型→禁止→停止→应用→确定。禁止三个服务,用逗号分开的,Pigeon_Server ,Security Commad Managers ,UpdateService,→这个服务

重启到安全模式下删除
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\rundll32.exe
C:\Program Files\Internet Explorer\PLUGINS\SVCHOST.exe
C:\Program Files\CNNIC
C:\WINDOWS\system32\spoolsv
C:\WINDOWS\Server.exe
C:\WINDOWS\system32\cmd1.exe
C:\WINDOWS\system32\UpdateService.exe
C:\WINDOWS\Windives.exe

重启后删除：
C:\WINDOWS\system32\winmer.exe
C:\WINDOWS\system32\msime.exe
C:\WINDOWS\rundll32.exe
C:\WINDOWS\system32\UpdateService.exe
C:\WINDOWS\Windives.exe

O4 - 启动项HKLM\\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
补充下这个
http://z08.zupload.com/download.php?file=getfile&filepath=27680  地址有效期7天
到这里download file
空指针的批处理来清理，效果不错
这个系列的木马闹了好长时间了，可似乎还没有折腾够，变种很多，从开始的红底黑色龙头图案（据说是网游传世的图标）到后来的征途图标。显著的外在特征为：在D盘根目录下生成pagefile.pif文件或者command.com文件，删除了一会后再回来，启动项删除后会自动恢复。其中一个典型变种的分析可看小空的BLOG。由于修改了不少文件关联，在处理上有一定的难度，远程了几个，感觉很头疼，于是有了写个批处理的念头。设想起来简单，可实现起来远不是那么容易了。由于REG_EXPAND_SZ的数据类型要换算成2进制，增加了不少的工作量和一定的难度。因此，现在这个版本仅支持安装在C盘或D盘下的XP操作系统，感谢风乱舞的帮忙以及他提供的系统优化程序，还有海色の月和艾玛。好了，不多说了，下面说下处理办法：
首先运行Procexp，结束WINLOGON进程（kill process）
将进程结束后，运行Repair.bat（需要事先下载下来，最好不要放在D盘，以免打开D盘时再次激活病毒），按照提示操作即可。依次进行的是去掉文件s r h属性，删除文件，修复注册表信息，删除启动项。在后面由风乱舞提供了部分系统优化功能，可以根据个人喜好选择。
Repair.bat 和Procexp在附件里提供了。
需要做以下几点说明：
1、该批处理只适用于安装在C盘和D盘下的XP操作系统。
2、这不是杀毒软件，只是我个人针对该病毒及其系列变种采取应对措施，不能保证完无一失。因此，请做好系统备份，对此产生的后果我不负任何责任。（不过出事的几率好象不大^_^）
3、批处理同样适用用于杀软清除病毒后的注册表修复。
4、如果发现经过以上操作后某些变种还无法清除，请把病毒文件加密压缩后发到我邮箱（kongzhizhen@gmail.com），我会及时处理。
5、转帖请注明出处和作者。

呵呵，兄弟们很热情
建议楼主修复后，重启。
请下载 System Repair Engineer，使用“智能扫描”，按下“扫描”按钮进行扫描，扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把保存的报告日志文件内容复制-粘贴上来
下载网址
http://www.kztechs.com/sreng/sreng2.zip
http://forum.ikaka.com/topic.asp?board=67&artid=5188931
日志一次粘不完，分次粘完，请不要修改。

谢谢大家呀，小妹严重感动呀!偶试下了!

二楼的大虾，为什么我找不到Pigeon_Server这个文件呀？是不是找不到就不用修改了？

打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支，删除左栏中的病毒服务名Pigeon_Server(PigeonServer) ,Security Commad Managers(Samcmd) ,UpdateService,windives,Gray_Pigeon_Server1.23 (GrayPigeonServer1.23),也可能叫括号里的名字
参照http://forum.ikaka.com/topic.asp?board=28&artid=6202404来处理

最后建议使用反病毒软件，我推荐我使用的免费的Antivir，老牌的德国杀毒软件http://www.free-av.com/
download code:http://www.free-av.com/

你中了很多流氓软件，建议用兔子修复

Virus Database File
Version: 6.35.1.85
FUP: 0
License date: 13.8.2006
VDF date: 13.8.2006
Minimum engine: 6.34.1.37
Signatures: 480433
Required linked VDF: 6.35.1.56
Source: 6.35.1.85
Compiler: 1.2.7
目前病毒库有480433
上面全都弄好后，在贴个日志

女生这么受欢迎~!~!~!
我们的帖子没人理~!~!~!~!
55