下面是扫描的日志,高手看一下,

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      12:12:24, 日期 2006-5-31
操作系统：  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\KAV2006\KWatch.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\SYSTEM32\RUNDLL32.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\explorer.exe
C:\WINNT\smss.exe
C:\WINNT\system32\wmimgrnt.exe
C:\Program Files\CNNIC\Cdn\cdnup.exe
C:\WINNT\WINLOGON.EXE
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\conime.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Tencent\Foxmail\Foxmail.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\hijackthis\HijackThis1991汉化版\HijackThis1991zww.exe

F2 - REG:system.ini: Shell=explorer.exe 1
O1 - Hosts: 61.188.38.64 sky001.e11.163ns.com
O1 - Hosts: 61.188.38.64 ert0003.e76.163ns.com
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINNT\system32\IEHelper.dll
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [WMI Manager For NT] C:\WINNT\system32\wmimgrnt.exe
O4 - 启动项HKLM\\Run: [Update] C:\Program Files\Common Files\UPDAT\Update.exe
O4 - 启动项HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - 启动项HKLM\\Run: [res] C:\WINNT\system32\res.exe
O4 - 启动项HKLM\\Run: [TProgram] C:\WINNT\smss.exe
O4 - 启动项HKLM\\Run: [Torjan Program] C:\WINNT\WINLOGON.EXE
O4 - 启动项HKLM\\RunServices: [Torjan Program] C:\WINNT\WINLOGON.EXE
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: IE-BAR.lnk = C:\WINNT\system32\rundll32.exe
O8 - IE右键菜单中的新增项目: 访问通用网址 - C:\Program Files\CNNIC\Cdn\cnnic.htm
O9 - 浏览器额外的按钮: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - 浏览器额外的“工具”菜单项: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O10 - 未知的文件在 Winsock LSP: c:\winnt\system32\cdnns.dll
O11 - Options group: [CDNCLIENT]  中文上网
O20 - AppInit_DLLs: KB608769M.LOG
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: Kingsoft Personal Firewall Service (KPfwSvc) - Kingsoft Corporation - C:\KAV2006\KPfwSvc.EXE
O23 - NT 服务: Kingsoft Antivirus KWatch Service (KWatchSvc) - Kingsoft Corporation - C:\KAV2006\KWatch.EXE
O23 - NT 服务: OracleOraHome81ClientCache - Unknown owner - D:\oracle\ora81\BIN\ONRSD.EXE

看反病毒论坛大版主写的帖子
这个破马早就有。最初见到它是2005年9月22日，我称之为“传奇龙”木马，因为其主体文件的图标是个红色背景的龙，此马属于传奇盗号木马。最近，这个木马的变种又开始流行。这几天在“江民”论坛看到不少人在议论“征途旗帜图标木马——SMSS.EXE”的查杀，搞得很多人头痛！
其实，这个木马还是可以手工杀净的，只是操作比较麻烦。
我最初写的查杀帖子：http://forum.ikaka.com/topic.asp?board=28&artid=7205233
2005-12-4的另一个查杀帖子：http://forum.ikaka.com/topic.asp?board=28&artid=7495863
2006-01-13写的第三个查杀帖子：http://forum.ikaka.com/topic.asp?board=28&artid=7678628
以下是最近写的一个查杀方法

SMSS.EXE手工查杀流程：

1、安装SSM（下载地址：http://www.syssafety.com/files.html。开机后，SSM会有若干此类报警（见图1）。一律按图1所示操作处理。
2、将SREng改名运行（图2），修复主要文件关联。
3、删除木马文件（图3）。
4、清理注册表：
展开HKEY_CLASSES_ROOT\.bfc\ShellNew
将"Command"="%SystemRoot%\\system32\\rundll32.com %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"中的Command"="%SystemRoot%\\system32\\rundll32.com 删除。
展开HKEY_CLASSES_ROOT\.lnk\ShellNew
将"Command"="rundll32.com appwiz.cpl,NewLinkHere %1"中的rundll32.com删除
展开HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
展开HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
展开HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command
将@="rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"中的rundll32.com 删除
展开HKEY_CLASSES_ROOT\Drive\shell\find\command
将@="%SystemRoot%\\explorer.com"改为@="%SystemRoot%\\explorer.exe"
展开HKEY_CLASSES_ROOT\dunfile\shell\open\command
将@="%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"中的%SystemRoot%\\system32\\rundll32.com删除
展开HKEY_CLASSES_ROOT\ftp\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
展开HKEY_CLASSES_ROOT\htmlfile\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome"
展开HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
将@="\"C:\\Program Files\\common~1\\iexplore.pif\" %1"改为@="\"C:\\Program Files\\common~1\\iexplore.exe\" %1"
展开HKEY_CLASSES_ROOT\htmlfile\shell\print\command
将@="rundll32.com %SystemRoot%\\system32\\mshtml.dll,PrintHTML \"%1\""中的rundll32.com删除
展开HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command
将@="finder.com shdocvw.dll,OpenURL %l"中的finder.com删除
展开HKEY_CLASSES_ROOT\scrfile\shell\install\command
将@="finder.com desk.cpl,InstallScreenSaver %l"中的finder.com删除
展开HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command
将@="\"C:\\WINDOWS\\system32\\finder.com\" C:\\WINDOWS\\system32\\scrobj.dll,GenerateTypeLib \"%1\""中的\"C:\\WINDOWS\\system32\\finder.com\"删除
展开HKEY_CLASSES_ROOT\telnet\shell\open\command
将@="finder.com url.dll,TelnetProtocolHandler %l"中的finder.com删除
展开HKEY_CLASSES_ROOT\Unknown\shell\openas\command
将@="%SystemRoot%\\system32\\finder.com %SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1"中的%SystemRoot%\\system32\\finder.com 删除
展开HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command
删除@="C:\\windows\\ExERoute.exe \"%1\" %*"
展开HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings
删除"GUID"="{C08L95-CW547B-IC74A8-57KU9O-J7M617}"
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除Tprogram
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除Tprogram
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将"Shell"="Explorer.exe 1"中的1删除