今天早上打开IE,登陆网站之后,就自动安装了N多的垃圾软件(包括中文上网,超级搜索,超级播霸,易虎,酷桌面等等),这是我清理过之后扫描的LOG :
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      10:41:23, 日期 2006-8-5
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
d:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
d:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\Explorer.EXE
D:\Program Files\Rising\Rav\RavTask.exe
D:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\Rising\Rfw\rfwmain.exe
e:\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Netease\popo2004\popo.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\Tencent\TT\TTraveler.exe
E:\HijackThis1991zww\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - 启动项HKLM\\Run: [RavTask] "d:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [RfwMain] "e:\rising\rfw\rfwmain.exe" -startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - d:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - d:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: YOK超级搜索 - C:\Program Files\YOK.com\SuperSearch\yoksch.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Excel(&x) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - 浏览器额外的按钮: 酷热影音 - {7D73FF86-05F1-39ed-C850-A423120EC338} - www.kuree.com/index.htm?id=00011001 (file missing)
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\cdnns.dll' missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - 添加的受信任的 IP 地址范围: http://61.132.118.159
O15 - 添加的受信任的 IP 地址范围: http://61.132.118.160
O15 - 添加的受信任的 IP 地址范围: http://61.132.118.161
O15 - 添加的受信任的 IP 地址范围: http://221.6.83.28
O15 - 添加的受信任的 IP 地址范围: http://221.6.83.29
O15 - 添加的受信任的 IP 地址范围: http://10.98.1.4
O15 - 添加的受信任的 IP 地址范围: http://10.98.1.2
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (趋势科技在线扫毒程序) - http://www.trendmicro.com.cn/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{256BA964-37B6-48BF-837B-AE52CC938D9D}: NameServer = 202.102.134.68 202.102.128.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{9158D0E7-90D9-4FB2-8694-E53EA91A45F7}: NameServer = 202.102.134.68,202.102.128.68
O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - d:\Program Files\YAMAHA\MidRadio Player\midradio.ocx
O23 - NT 服务: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - e:\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - e:\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Rav\Ravmond.exe



1.到趋势科技在线杀毒,发现2个病毒,都没有删除成功
2.又用瑞星杀了一下,

病毒名称 路径 文件
Dropper.Agent.wl C:\WINDOWS\system32\IME RssInstaller.exe
Trojan.StartPage.szo C:\WINDOWS\system32\IME 10009_setup.exe
Trojan.Agent.djp C:\WINDOWS\system realsched.exe>>Unpack
Trojan.Clicker.Delf.di C:\Documents and Settings\Administrator\Local Settings\Temp YOUYI37.exe
Trojan.DL.Agent.amw C:\Documents and Settings\Administrator\Local Settings\Temp 101699.exe>>Unpack
Trojan.Clicker.Agent.acw C:\Program Files\NetCounter NetCount.exe
Dropper.Misc.an C:\temp WIS321.exe
Trojan.StartPage.szo C:\temp 10052_setup.exe
Trojan.Clicker.Agent.acw C:\temp 1509.exe>>NetCount.exe
Trojan.DL.Edodo.a C:\temp 1509.exe>>ehuupdate.exe
Backdoor.Agent.dbv C:\temp 1509.exe
Trojan.DL.Diyer.a C:\temp tool.exe
Dropper.Misc.an C: command.exe>>WIS321.exe
Trojan.StartPage.szo C: command.exe>>10052_setup.exe
Trojan.Clicker.Agent.acw C: command.exe>>1509.exe>>NetCount.exe
Trojan.DL.Edodo.a C: command.exe>>1509.exe>>ehuupdate.exe
Backdoor.Agent.dbv C: command.exe>>1509.exe


在C:下发现COMMAND.EXE,其实是一个RAR的自解压包,那些垃圾软件可能就是它安装的,
另在瑞星防火墙,优化大师等软件中还可以发现启动项里添加了SYSTEM32/MOUSER.EXE,这个肯定也是个病毒,C:/COMMAND.EXE和SYSTEM32/MOUSER.EXE的修改时间基本上相同,都在今天早上七点多,同一时间的还有一个比较奇怪的文件:SYSTEM32/wshcon32.dll,试图删除它时,系统自动重启了


系统现在还很不稳定,如何彻底杀毒呢?谢谢

我很同情你，我们有相似的状况，但别灰心一定有办法。相信大家。共同同病毒做斗争。