.HijackThis1.99.1
扫描日志上来
中文版：
http://free5.ys168.com/?aqfrs

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      12:43:05, 日期 2006-11-13
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rfw\rfwmain.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\VM_STI.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\autoupdata.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\Rising\Rav\RavStub.exe
D:\雪狐桌面精灵闹钟免费2.83.php\DesktopSprite2\DesktopSprite.exe
C:\WINDOWS\system32\svchost.exe
D:\QQ珊瑚虫\QQ.exe
D:\QQ\TIMPlatform.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\WINDOWS\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\扫描工具hijackthis\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - D:\超级兔子\haokanbar.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_002.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - D:\PROGRA~1\KuGoo3\KUGOO3~1.OCX
O3 - IE工具栏增项: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - D:\超级兔子\haokanbar.dll
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE 新泰超级摄像头
O4 - 启动项HKLM\\Run: [AutoData] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\autoupdata.exe
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [DesktopSprite] D:\雪狐桌面精灵闹钟免费2.83.php\DesktopSprite2\DesktopSprite.exe
O4 - Startup: AutumnLeaves.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用KuGoo3下载(&K) - D:\Program Files\KuGoo3\KuGoo3DownX.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 浏览器额外的“工具”菜单项: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 浏览器额外的按钮: JUJU猫 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.jujumao.com (file missing)
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ珊瑚虫\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ珊瑚虫\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\QQ珊瑚虫\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\QQ珊瑚虫\QQIEHelper.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{134B0688-D5D5-4BA4-8597-D64813D8F039}: NameServer = 202.96.209.133 202.96.209.6
O17 - HKLM\System\CS1\Services\Tcpip\..\{134B0688-D5D5-4BA4-8597-D64813D8F039}: NameServer = 202.96.209.133 202.96.209.6
O18 - 列举现有的协议: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)

运行Hijackthis，把下面的选中打上钩，修复
R3 - 默认的URLSearchHook丢失。用HijackThis修复
控制面板－－管理工具－－服务－－查找--Windows User Mode Driver Framework  --启动类型－－设置为已禁止--服务类型－－设置为停止

重启按F８进入安全模式下修复
显示隐藏文件
删除：       
C:\WINDOWS\system32\wdfmgr.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\清空文件夹

开始-运行-  ctfmon   
输入法就出来了！

我回来了 红夜老师 你说的前面2步我都做了  可是后面的进入安全模式 我找不到那2个你让我删的文件啊

13楼的朋友 你说的方法是可以出来输入法的可是我要是重起机器或者关机在起后 还是又不见了啊

晕死……
把以下内容复制粘贴到记事本，保存为*.reg文件（*表示任意，比如ctfmon），然后双击此文件，提示是否导入时点确定。重启后再看看输入法是不是能启动。

———————分隔线，请把此线下方的内容复制粘帖，请勿复制此线—————————
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
———————分隔线，请把此线上方的内容复制粘帖，请勿复制此线——————

用HijackThis修复：
O4 - 启动项HKLM\\Run: [AutoData] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\autoupdata.exe

另外，再次重申，Windows User Mode Driver Framework (UMWdf)这项服务原本是正常的，它之所以出现在日志里只是因为对应的文件丢了，所以在安全模式下当然找不到此文件，更遑论删除。

最后，楼主该好好补习一下有关电脑的“ABC”了

呵呵  不好意思啊我是真的一点也不懂的  所以希望朋友们多多谅解 所以希望你们也可以多教教我了  我就是不明白你让我复制的保存粘贴到那里的记事本  说明下让我复制到哪个盘的哪个文件里面我就知道了  谢谢