日志文件 Trend Micro HijackThis v 2.0.2
日志保存时间: 20:08:33,2008-5-7
操作系统: Windows XP SP2 (WinNT 5.01.2600)
IE版本: Internet Explorer v6.00 SP2 (6.00.2900.2180)
启动模式: 正常
正在运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\ravmond.exe
c:\program files\rising\rfw\rfwsrv.exe
c:\program files\rising\rfw\rfwproxy.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
c:\program files\rising\rfw\rfwstub.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\rising\rfw\RfwMain.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\Explorer.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\vsnpstd.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\VIOCOMR.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\软件\hijackthis.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsmF.tmp\hijackthis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: yxcsbhlp.dll - {25671234-7890-ABCD-CDEF-567801237652} - C:\WINDOWS\system32\yxcsbhlp.dll
O2 - BHO: mpmycapi.dll - {3629FF4F-ACDB-5C90-A098-FACB3456A263} - C:\WINDOWS\system32\mpmycapi.dll
O2 - BHO: mndscsrv.dll - {37FD640A-158F-48AC-FD14-1597F14A9773} - C:\WINDOWS\system32\mndscsrv.dll
O2 - BHO: zptlbsys.dll - {40940F85-F015-14F1-A05F-F69858AC6D04} - C:\WINDOWS\system32\zptlbsys.dll
O2 - BHO: ypcqchlp.dll - {40AF1289-F140-A140-D012-C1458759FC04} - C:\WINDOWS\system32\ypcqchlp.dll
O2 - BHO: zyzxeime.dll - {5A59145F-315D-BC23-AC1F-145DF81A34A5} - C:\WINDOWS\system32\zyzxeime.dll
O3 - IE 工具栏: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll(文件不存在)
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [vieuer] C:\WINDOWS\system32\VIOCOMR.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [MSDCG32    ] LYLeador.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Startup: QQ游戏启动加速程序.lnk = C:\Program Files\TENCENT\QQGAME\Accel.exe
O8 - 扩展右键菜单项: 中国搜索(&Z) - C:\WINDOWS\I_SearchIE.htm
O8 - 扩展右键菜单项: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - 扩展右键菜单项: 添加到QQ表情 - C:\Program Files\QQ2006\AddEmotion.htm
O9 - 额外的按钮: (未命名) - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (没有文件)
O9 - 额外的“工具”菜单项目: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (没有文件)
O15 - Trusted Zone: http://www.icbc.com.cn
O16 - DPF: {61238DE1-3317-4322-89AC-AC844831380D} (GLAvatar Control) - http://dltel.ourgame.com/download/Avatar27.CAB
O16 - DPF: {8686F2A6-DC01-4E8F-BDE3-DCC7DBBAD6AE} (163Uploader Control) - http://photo.163.com/163Uploader.cab
O16 - DPF: {BFB79EE1-04AE-4D4A-B85E-27EE5F30C095} (ScreenCapture Class) - http://m40.mail.qq.com/zh_CN/activex/TencentMailActiveX.cab
O16 - DPF: {C09B522F-8AED-4E21-A65C-DC1AB652BAEE} (Tencent Safety Online Base Module) - http://safe.qq.com/cgi-bin/tso/TSOBase.ocx
O16 - DPF: {C661F36D-DF85-4EF4-83C7-E107B83D04B1} (WebActivater Control) - http://dl_dir.qq.com/3dshow/3DShowVM.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2007/OL2006.cab
O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (PasswordEditCtrl Class) - https://www.tenpay.com/download/qqedit.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1FBF6B7D-5FE0-4D44-AAFB-6AD6E6EBA4E8}: NameServer = 219.146.0.130,219.150.32.132
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6B977DD-3168-49F6-8B77-8F69161728E9}: NameServer = 219.150.32.132 219.146.0.130
O20 - AppInit_DLLs: SysWoWa8.dll,msosdohs00.dll,msosmhfp00.dll,msosping00.dll
O23 - NT 服务:  Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - NT 服务:  NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务:  Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务:  Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务:  Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务:  Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; WPS)

发现浏览器帮助对象（BHO）有大量木马启动项，appinit_dlls也有异常，建议发SRENG扫描日志……

直接将日志文件以附件形式上传  不要这样一段一段  确认日志完整性

bang mang ,xie xie

shu ru  fa  ye  bu  neng  yong  le , wo  gai  zen  me  ban ?

复制c:\windows\system32\dllcache\explorer.exe粘贴到c:\windows\  这一步一定要做  要不重起后可能会没有桌面

1.用XDelBox勾选抑制再生后删除以下文件：(XDelBox1.7支持奥运版下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\msosdohs00.dll
c:\windows\system32\msosdohs02.dll
c:\windows\system32\msosping00.dll
c:\windows\system32\msosping02.dll
c:\windows\system32\msosdohs02.dll
c:\windows\system32\msosdohs00.dll
c:\windows\system32\msosping02.dll
c:\windows\system32\msosping00.dll
c:\windows\system32\msosdohs01.dll
c:\windows\system32\msosdohs01.dll
c:\windows\system32\msosping01.dll
c:\windows\system32\msosping01.dll
c:\windows\system32\cydwcb.dll
c:\windows\system32\fyzzts.dll
c:\windows\system32\htiacd.dll
c:\windows\system32\hzwdjx.dll
c:\windows\system32\jjzkuh.dll
c:\windows\system32\jytcwx.dll
c:\windows\system32\mndscsrv.dll
c:\windows\system32\mpmycapi.dll
c:\windows\system32\snrqeg.dll
c:\windows\system32\wiutej.dll
c:\windows\system32\wtuoal.dll
c:\windows\system32\wyrmom.dll
c:\windows\system32\ypcqchlp.dll
c:\windows\system32\yxcsbhlp.dll
c:\windows\system32\zptlbsys.dll
c:\windows\system32\zpvyxt.dll
c:\windows\system32\zrcpfy.dll
c:\windows\system32\zyzxeime.dll
c:\windows\system32\syswdrc.dll
c:\windows\system32\sysdajhv.dll
c:\windows\system32\explorer.exe
c:\windows\system32\viocomr.exe
c:\windows\system32\lyleador.exe
c:\windows\system32\syswowa8.dll
c:\windows\system32\msosdohs00.dll
c:\windows\system32\msosmhfp00.dll
c:\windows\system32\msosping00.dll
c:\windows\system32\drivers\xprotector.sys
c:\docume~1\admini~1\locals~1\temp\tmp4.tmp
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\windows\system32\mseam.sys
c:\docume~1\admini~1\locals~1\temp\tmp6.tmp
c:\windows\system32\drivers\lgrgrh.sys
c:\windows\system32\mshtml.dll
c:\windows\system32\certinstall.dll
c:\windows\downloaded program files\ol2005.dll
c:\windows\音量控制.exe

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{AC2EA2E7-4A8B-4C17-BE32-9E9D45C9BF63}] 
[{A671FF12-F6C1-4819-9942-F896BC94DF2D}] 
[{3BBCDFA5-3350-404A-AE9E-2DB357DF811C}] 
[{B3B517F4-3D21-494C-81FD-DB5C24FCBCD7}] 
[{25671234-7890-ABCD-CDEF-567801237652}] 
[{40AF1289-F140-A140-D012-C1458759FC04}] 
[{A5EC0D77-AC5D-4770-8462-60D8D1508736}] 
[{D56E11A0-BDF2-4C44-BC77-36E19ABCF33C}] 
[{37FD640A-158F-48AC-FD14-1597F14A9773}] 
[{D7A0AB68-A3A0-4F12-8457-9185F880756B}] 
[{A268CD51-B10D-4D86-BBED-5DA04CFF500D}] 
[{4B0F2952-5FB3-4AB7-9905-7F3AE0CAD3CE}] 
[{12E63C55-BC69-4B75-824C-684FD0F73924}] 
[{B03C2265-C1F2-4C4A-84E8-0C991AD0D585}] 
[{E06513F2-9E0B-48BB-93CC-C66F13665734}] 
[{3629FF4F-ACDB-5C90-A098-FACB3456A263}] 
[{40940F85-F015-14F1-A05F-F69858AC6D04}] 
[{5A59145F-315D-BC23-AC1F-145DF81A34A5}] 
[MSDCG32    ]   
注意该项[AppInit_DLLs]修改：把<SysWoWa8.dll,msosdohs00.dll,msosmhfp00.dll,msosping00.dll>修改为<>即清空
[vieuer] 
[VolumeEasy] 

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
[Telephotsgoogle / Wdswsdewn] 

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[XPROTECTOR / XPROTECTOR]
[ping / ping]           
[msfpfis64 / msfpfis64] 
[mseam / mseam] 
[mhfp / mhfp]   
[lgrgrh / lgrgrh]

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\WINDOWS\system32\yxcsbhlp.dll>
[]    <C:\WINDOWS\system32\mpmycapi.dll>
[]    <C:\WINDOWS\system32\mndscsrv.dll>
[]    <C:\WINDOWS\system32\zptlbsys.dll>
[]    <C:\WINDOWS\system32\ypcqchlp.dll>
[]    <C:\WINDOWS\system32\zyzxeime.dll>
[]    <C:\WINDOWS\system32\zyzxeime.dll>
[]    <C:\WINDOWS\system32\ypcqchlp.dll>
[]    <C:\WINDOWS\system32\zptlbsys.dll>
[]    <C:\WINDOWS\system32\mndscsrv.dll>
[]    <C:\WINDOWS\system32\mpmycapi.dll>
[]    <C:\WINDOWS\system32\yxcsbhlp.dll>
[HTML Document]    <%SystemRoot%\system32\mshtml.dll>
[InfosecCertInstall Class]    <C:\WINDOWS\system32\certInStall.dll>
[Rising Web Scan Object]    <C:\WINDOWS\Downloaded Program Files\OL2005.dll>


做完后 下载以下软件清理一次并更新杀毒软件至最新进行全盘杀毒一次
清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip


至于上面的那个“音量控制.exe”和对应的注册表项“[VolumeEasy]”  自己确认下是不是自己装的小软件。。如果是就不要删除文件和修复注册表