HijackThis_zww汉化版扫描日志 V1.99.1
保存于      19:36:28, 日期 2006-10-2
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\KAV2006\KWatch.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\RUNDLL.EXE
C:\WINDOWS\system32\SVCH0ST.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\System32\khooker.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\CNNIC\Cdn\cdnup.exe
C:\Program Files\KAV2006\KMailMon.EXE
C:\WINDOWS\LSASS.exe
C:\WINDOWS\smss.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\WINDOWS\system32\A4\baisob\novel.exe
C:\WINDOWS\system32\SVOHOST.exe
C:\Program Files\Tencent\TM\TMDlls\TM.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Documents and Settings\yjf\桌面\HijackThis1991zww.exe

R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: WebThunderBHO - {00000AAA-A363-466E-BEF5-9BB68697AA7F} - C:\Program Files\WebThunder\WebThunderBHO_013.dll
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v8.dll
O2 - BHO: IEMonitor Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\Program Files\DeskAdTop\deskipn.dll
O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_5002.dll
O2 - BHO: (no name) - {2A4956FD-BE98-4104-ABEB-97029B3175BB} - C:\WINDOWS\system32\sys32dev.dll
O2 - BHO: Yahoo!Photo - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yphtb.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yangling.dll
O2 - BHO: SafeMe Internet Explorer Helper - {3AE06CEE-58A6-4F5F-AF89-6C5350842F16} - C:\WINDOWS\system32\SafeHelper12.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O2 - BHO: DragSearch BHO - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder\ComDlls\XunLeiBHO_002.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
O3 - IE工具栏增项: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - 启动项HKLM\\Run: [KavStart] "C:\Program Files\KAV2006\KAVStart.exe" -startup
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - 启动项HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - 启动项HKLM\\Run: [Update] C:\Program Files\Common Files\UPDATE2\Update.exe
O4 - 启动项HKLM\\Run: [SoundMam] C:\WINDOWS\system32\SVOHOST.exe
O4 - 启动项HKLM\\Run: [ToP] C:\WINDOWS\LSASS.exe
O4 - 启动项HKLM\\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - 启动项HKLM\\Run: [TProgram] C:\WINDOWS\smss.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [KavPFW] "C:\Program Files\KAV2006\KAVPFW.exe"
O4 - HKCU\..\Run: [updatereal] C:\WINDOWS\realupdate.exe other
O4 - HKCU\..\Run: [msnnt] C:\WINDOWS\winampb.exe
O4 - Startup: 腾讯TM.lnk = C:\Program Files\Tencent\TM\TMShell.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用Web迅雷下载 - C:\Program Files\WebThunder\GetUrl.htm
O8 - IE右键菜单中的新增项目: 使用Web迅雷下载全部链接 - C:\Program Files\WebThunder\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O8 - IE右键菜单中的新增项目: 访问通用网址 - C:\Program Files\CNNIC\Cdn\cnnic.htm
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - C:\Program Files\浩方对战平台\GameClient.exe
O9 - 浏览器额外的按钮: Yahoo 3.5G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)
O9 - 浏览器额外的按钮: 名品折扣 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://adtaobao.allyes.com/main/adfclick?db=adtaobao&bid=138,140,18&cid=816,8,1&sid=5042&show=ignore&url=http://www.taobao.com/vertical/mall/pro.php?allyesPara=816 (file missing)
O9 - 浏览器额外的按钮: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - 浏览器额外的“工具”菜单项: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - 浏览器额外的按钮: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)
O9 - 浏览器额外的按钮: 雅虎WIDGET - {6354ABE6-05F1-49ed-B850-E423120EC338} - http://cn.widget.yahoo.com/index.htm?source=Cns (file missing)
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg (file missing)
O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O11 - Options group: [!CNS]  中文上网
O11 - Options group: [CDNCLIENT]  中文上网
O16 - DPF: {C661F36D-DF85-4EF4-83C7-E107B83D04B1} (WebActivater Control) - http://dl_dir.qq.com/3dshow/3DShowVM.cab
O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (CPasswordEditCtrl Object) - https://account.qq.com/qqedit.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{667A6797-5740-4717-AE45-EB80226DE380}: NameServer = 202.101.172.46 202.101.172.47
O23 - NT 服务: Kingsoft Personal Firewall Service (KPfwSvc) - Kingsoft Corporation - C:\Program Files\KAV2006\KPfwSvc.EXE
O23 - NT 服务: KSD2Service - Unknown owner - C:\WINDOWS\system32\SVCH0ST.exe
O23 - NT 服务: Kingsoft Antivirus KWatch Service (KWatchSvc) - Kingsoft Corporation - C:\Program Files\KAV2006\KWatch.EXE
O23 - NT 服务: Network Logons (NetWorkLogons) - Unknown owner - rundll32.exe (file missing)

终止这个进程C:\WINDOWS\system32\SVCH0ST.exe
C:\WINDOWS\LSASS.exe
C:\WINDOWS\smss.exe
C:\WINDOWS\system32\SVOHOST.exe
C:\WINDOWS\WINLOGON.EXE
呵呵！中了这么多木马！把c、d盘格了！重装系统！

一定要割吗有没有其他办法

lsass.exe是什么文件，为什么会终止而关闭系统？

但是适当的担心是有必要的，已知的部分病毒跟lsass有关。

首先，微软缺省的lsass.exe位于c:\windows\System32\lsass.exe

http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx

这里有补丁下载。。。

http://it.rising.com.cn/service/technology/RS_sasser.htm

这里有专杀工具。。。

不打补丁也行，一出现倒计时!

就在运行里输入shutdown.exe -a

lsass.exe病毒木马手工清除方法

病毒症状:

进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe，修改HKEY_CLASSES_ROOT下的.exe，exefile键值，并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\EXERT.exe上.

该病毒新建如下文件：

c:\program files\common files\INTEXPLORE.pif

c:\program files\internet explorer\INTEXPLORE.com

%SYSTEM\debug\debugprogram.exe

%SYSTEM\system32\Anskya0.exe

%SYSTEM\system32\dxdiag.com

%SYSTEM\system32\MSCONFIG.com

%SYSTEM\system32\regedit.com

%SYSTEM\system32\LSASS.exe

%SYSTEM\system32\EXERT.exe

解决方法:

1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看(V)"－>"选择列(S)..."，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"－》“运行”，输入"CMD"，点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)"，比如我的计算机上就输入"ntsd –c q -p 1064".

2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了.

删除如下几个文件：

C:\Program Files\Common Files\INTEXPLORE.pif

C:\Program Files\Internet Explorer\INTEXPLORE.com

C:\WINDOWS\EXERT.exe

C:\WINDOWS\IO.SYS.BAK

C:\WINDOWS\LSASS.exe

C:\WINDOWS\Debug\DebugProgram.exe

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\regedit.com

在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.

3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。

将Windows目录下的"regedit.exe"改名为"regedit.com"并运行，删除以下项目：

HKEY_CLASSES_ROOT\WindowFiles

HKEY_CURRENT_USER\Software\VB and VBA Program Settings

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

下面的 Check_Associations项

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

下面的ToP项

将HKEY_CLASSES_ROOT\.exe的默认值修改为

"exefile"(原来是windowsfile)

将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command

的默认值修改为

"C:\Program Files\Internet Explorer\iexplore.exe" %1"

(原来是intexplore.com)

将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}

\shell\OpenHomePage\Command 的默认值修改为

"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com)

将HKEY_CLASSES_ROOT \ftp\shell\open\command

和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command

的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1"

(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

将HKEY_CLASSES_ROOT \htmlfile\shell\open\command

HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为

"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”

将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet

的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)

重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕.Enjoy It .

关于lsass.exe病毒的查杀！

如果你的启动菜单里有个lsass.exe启动项，那就证明你得lsass.exe木马病毒，中毒后，会在windows里产生lsass.exe和exert.exe两个病毒文件，还会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联，以下说一下本人对该病毒的杀法，以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个文件，这两个文件是隐藏的，再到D：删除command.com和autorun.inf两个文件，最后重启电脑到DOS 运行，用scanreg  /restore 命令来恢复注册表，

中了SMSS魔兽木马,各位被盗号滴兄弟们，为了避免再中毒，我找了两个办法综合了一下：

中毒的朋友会有一个统一的症状：在进程里会多出一个SMSS(正常的是一个，内存占用400K左右)，这是魔兽木马，虽然是个小木马，但查杀起来也较为费工夫，具体步骤如下：
（在病毒文件没有删除之前所做的一些操作可能会调用激活病毒程序，所以在以下1和2步之间请尽量不要做多余的其它操作。顺利地删除病毒文件需要一点点技巧，在处理过程中慢慢体会吧。。。）

先进入安全模式~
1. 结束病毒的进程%\Windows\smss.exe（隐藏文件，把那个隐藏受保护的操作系统文件的勾点掉就能看到）
2. 删除相关文件：
C:\MSCONFIG.SYS
windows\1.com
windows\ExERoute.exe
windows\explorer.com
windows\finder.com
windows\smss.exe
windows\Debug\DebugProgram.exe
windows\command.pif
windows\dxdiag.com
system32\finder.com
system32\MSCONFIG.COM
system32\regedit.com
system32\rundll32.com
ProgramFiles\Internet Explorer\iexplore.com
ProgramFiles\Common Files\iexplore.pif
其中可能有几个找不到，没关系，找相同时间的文件出来删之（比如一木马的时间是2006-2-26 23：37(我中的木马修改时间。。。55~~，你就搜索所有2-26创建的文件，当然，时间也要一致，可别删错了）如果没找到，那最好了，说明他已经不存在了。
3. 恢复EXE文件关联
方法一：复制WINDOWS目录下的regedit.exe到桌面并改名为regedit.com，然后打开注册表，找到下列分支：HKEY_CLASSES_ROOT\exefile\shell\open\command，双击右侧窗口中的 (默认) 值，设置为 "%1" %* [包含引号]
再找到:
HKEY_CLASSES_ROOT\.exe
双击右侧窗口中的 (默认) 值，设置为 exefile
然后退出注册表编辑器，重启电脑
方法二：复制WINDOWS\system32目录下的cmd.exe到桌面并改名为cmd.com
命令行中，依次执行以下命令：
ftype exefile="%1" %* [包含引号](回车)
assoc .exe=exefile
重启电脑。
4. 删除病毒启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1"
为
"shell"="Explorer.exe"
5. 恢复病毒修改的注册表信息：
(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息，将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”

(2)查找“explorer.com”的信息，将“explorer.com”修改为“explorer.exe”

(3)查找“iexplore.com”的信息，将“iexplore.com”修改为“iexplore.exe”

(4)查找“iexplore.pif”的信息，将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”(找不到应该也安全了吧)

查一下所有和smss.exe文件同时生成的文件,总共估计有30个(也有可能少的，那是因为这是它的变种)
其中有一两个大小不符的,其他都是39K
system32下还有个a.exe也要删除！
防范措施：在WINDOWS目录下建立一个SMSS.EXE文件并设置为”只读“这样就不会在感染木马了

谢谢现在去试试

作为新手你很难解决这些问题！你的电脑早已是黑客的肉鸡！

那系统重装是不是以上问题都可以解决