在“文件夹选项”中，“不显示隐藏的文件和文件夹”和“显示所有文件”这两个选项都被选了。我是用论坛里的帖子：“Trojan.PSW.QQPass 木马批处理..”提供的软件也不能解决这个问题，软件运行过程中不停显示无法找到文件*。
中毒后，电脑在进入用户后的几分钟内，突然即刻重起，有时cpu总是保持在100%的状态下，然后突然重起，有时cpu没那么高也会重起。
连续四天不断杀毒，每次在“带网洛连接的安全模式”下杀毒（天网防火墙是开着的），杀毒完成后，进入正常模式后仍是重起，再起仍会出现。
总出现的病毒有：trojan.dl.*.*,trojan.psw.qq.pass.*,backdoor.delf.vsk,dropper.agent.dvn等等。多在system,win等文件夹。

HijackThis_815汉化版扫描日志 V1.99.1
保存于      17:59:05, 日期 2006-10-8
操作系统：  Windows XP  (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 (6.00.2600.0000)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\SkyNet\Firewall\PFW.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\cmd.exe
E:\Rising\Rav\Rav.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\conime.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX02.152\HijackThis1991zww.exe

O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\UserData\IEHelper_5059.dll
O2 - BHO: (no name) - {38E97230-CE8C-4172-BDDE-C5B5D2BE33B5} - C:\WINDOWS\System32\byxvv.dll
O2 - BHO: conimehlp Class - {B10343BD-1DC6-442F-9BA2-D44C708CEE83} - C:\WINDOWS\System32\mskey32.dll
O2 - BHO: 信息检索 - {CE7C3CF0-98A8-474D-B2B5-1ED7E2E3B004} - C:\WINDOWS\system32\IEHelper.dll
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\kakatool.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [wdfmgr32] C:\WINDOWS\System32\wdfmgr32.exe
O4 - 启动项HKLM\\Run: [Microsoft security services] nidxqshc.pif
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] E:\SkyNet\Firewall\pfw.exe
O4 - 启动项HKLM\\Run: [RavTask] "e:\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [KAVPersonal50] e:\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - 启动项HKLM\\RunServices: [Microsoft security services] nidxqshc.pif
O4 - 启动项HKLM\\RunOnce: [uninsrest] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\uninrest.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: desktop(2).ini
O4 - Global Startup: desktop(2).ini
O9 - 浏览器额外的按钮: 酷标 - {1D901067-2529-4A9B-9B6B-7A1DB3A44CB5} - C:\Program Files\coolsign\coolsign.dll
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\quartz32.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\quartz32.dll
O16 - DPF: {05C1004E-2596-48E5-8E26-39362985EEB9} (MMCPlayer Class) - http://p3p.sogou.com/MMCShell.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O18 - 列举现有的协议: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - 列举现有的协议: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\System32\msvidctl.dll
O18 - 列举现有的协议: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: ipp - (no CLSID) - (no file)
O18 - 列举现有的协议: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll
O18 - 列举现有的协议: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - 列举现有的协议: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\System32\msvidctl.dll
O18 - 列举现有的协议: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - 列举现有的协议: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\System32\inetcomm.dll
O18 - 列举现有的协议: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll
O18 - 列举现有的协议: msdaipp - (no CLSID) - (no file)
O18 - 列举现有的协议: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - 列举现有的协议: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\System32\mshtml.dll
O18 - 列举现有的协议: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\System32\msvidctl.dll
O18 - 列举现有的协议: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - 列举现有的协议: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\System32\msdxm.ocx
O18 - 列举现有的协议: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\System32\wiascr.dll
O20 - Winlogon Notify: byxvv - C:\WINDOWS\System32\byxvv.dll
O23 - NT 服务: kavsvc - Kaspersky Lab - e:\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - NT 服务: kq72 - Unknown owner - C:\WINDOWS\kq72.exe
O23 - NT 服务: Microsoft Main Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\mainwin32.exe
O23 - NT 服务: Microsoft Security Login Service - Unknown owner - C:\WINDOWS\System32\dllcache\mssecure32.exe
O23 - NT 服务: P4P Service - Sohu.com Inc. - C:\Program Files\Common Files\Sogou PXP\p2psvr.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - e:\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - e:\Rising\Rav\Ravmond.exe
O23 - NT 服务: Windows USB Bus Driver - Unknown owner - C:\WINDOWS\ecRecvr.exe

加我QQ289039676 帮你 远程搞吧

O10 - 未知的文件在 Winsock LSP: c:\windows\system32\quartz32.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\quartz32.dll
需要用LSPFix 来修复..
LSPFix(汉化版) 下载地址:http://mopery.hits.io/LSPFix.zip
同时下载:http://mopery.hits.io/WinsockXPFix.zip
----------------------------------------------------------------
先运行LSPFix ... 勾上 我确定要进行修复操作 ...
然后将quartz32.dll移到右边...点下完成...
----------------------------------------------------------------
如果在操作之后不能上网...请用WinsockXPFix.exe 修复一下即可...安全模式下..

O23 - NT 服务: kq72 - Unknown owner - C:\WINDOWS\kq72.exe
O23 - NT 服务: Windows USB Bus Driver - Unknown owner - C:\WINDOWS\ecRecvr.exe
灰鸽子..安全模式...打开注册表编辑器，展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
搜索 kq72 和 Windows USB Bus Driver 删除...
删除
C:\WINDOWS\kq72.exe
C:\WINDOWS\ecRecvr.exe

用sreng
删除启动项目=>注册表
O2 - BHO: (no name) - {38E97230-CE8C-4172-BDDE-C5B5D2BE33B5} - C:\WINDOWS\System32\byxvv.dll
O2 - BHO: conimehlp Class - {B10343BD-1DC6-442F-9BA2-D44C708CEE83} - C:\WINDOWS\System32\mskey32.dll
O2 - BHO: 信息检索 - {CE7C3CF0-98A8-474D-B2B5-1ED7E2E3B004} - C:\WINDOWS\system32\IEHelper.dll
O4 - 启动项HKLM\\Run: [wdfmgr32] C:\WINDOWS\System32\wdfmgr32.exe
O4 - 启动项HKLM\\Run: [Microsoft security services] nidxqshc.pif
O4 - 启动项HKLM\\RunServices: [Microsoft security services] nidxqshc.pif
O4 - 启动项HKLM\\RunOnce: [uninsrest] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\uninrest.exe
O4 - Startup: desktop(2).ini
O4 - Global Startup: desktop(2).ini
删除
C:\WINDOWS\System32\byxvv.dll
C:\WINDOWS\System32\mskey32.dll
C:\WINDOWS\system32\IEHelper.dll
C:\WINDOWS\System32\wdfmgr32.exe
nidxqshc.pif(搜一下)

安全模式清空
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\


O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\UserData\IEHelper_5059.dll
参考;http://csc.rising.com.cn/KnowledgeBase/detailInfo.aspx?Action=ViewInfo&InfoID=718&Channel=RSV

需要对症下药...QQpass批处理只杀 QQpass

找到 以下文件 QQ289039676传给我
C:\WINDOWS\System32\wdfmgr32.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\uninrest.exe
C:\WINDOWS\kq72.exe
C:\WINDOWS\System32\dllcache\mainwin32.exe
C:\WINDOWS\System32\dllcache\mssecure32.exe
C:\WINDOWS\ecRecvr.exe

用搜索 依次 搜索 每个文件名

并在更多高级选项中 勾上隐藏文件后 进行搜索

所有找到的文件  全部复制到 桌面新建的文件夹 压缩在一起 QQ289039676 传给我


然后 hijackthis勾上 点击修复

O4 - 启动项HKLM\\Run: [wdfmgr32] C:\WINDOWS\System32\wdfmgr32.exe
O4 - 启动项HKLM\\Run: [Microsoft security services] nidxqshc.pif
O4 - 启动项HKLM\\RunServices: [Microsoft security services] nidxqshc.pif

O4 - 启动项HKLM\\RunOnce: [uninsrest] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\uninrest.exe

O23 - NT 服务: kq72 - Unknown owner - C:\WINDOWS\kq72.exe
O23 - NT 服务: Microsoft Main Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\mainwin32.exe
O23 - NT 服务: Microsoft Security Login Service - Unknown owner - C:\WINDOWS\System32\dllcache\mssecure32.exe
O23 - NT 服务: Windows USB Bus Driver - Unknown owner - C:\WINDOWS\ecRecvr.exe

以上操作 在安全模式下进行

O23 - NT 服务: Microsoft Main Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\mainwin32.exe
O23 - NT 服务: Microsoft Security Login Service - Unknown owner - C:\WINDOWS\System32\dllcache\mssecure32.exe

这俩个还是没明白到底是什么东西..
把这俩个文件压缩 发送 bin59420@yahoo.com.cn

引用:

【mopery的贴子】O23 - NT 服务: Microsoft Main Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\mainwin32.exe O23 - NT 服务: Microsoft Security Login Service - Unknown owner - C:\WINDOWS\System32\dllcache\mssecure32.exe 这俩个还是没明白到底是什么东西.. 把这俩个文件压缩 发送 bin59420@yahoo.com.cn ………………

灰鸽子而已 呵呵

不过中了4只 鸽子  系统  不挂  是  不可能的

开始也觉得是鸽子..但是还是没确定..

嘿嘿..能处理掉就行..

引用:

【mopery的贴子】开始也觉得是鸽子..但是还是没确定.. 嘿嘿..能处理掉就行.. ………………

不知  还 有没有 中06版的鸽子......