电脑连接网线时显示出错，没有连接时不会显示出错。

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      8:23:36, 日期 2006-08-18
操作系统：  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
D:\Program Files\EDS\License Servers\UGNXFLEXlm\lmgrd.exe
C:\WINNT\system32\VKTServ.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\cceng.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINNT\system32\Realplayer.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE
C:\WINNT\Logo1_.exe
C:\WINNT\system32\conime.exe
C:\Documents and Settings\chen\桌面\HijackThis1991zww.exe
D:\Program Files\EDS\License Servers\UGNXFLEXlm\uglmd.exe

F3 - REG:win.ini: load=C:\WINNT\rundl132.exe
O1 - Hosts: 59.34.148.98 www.hao123.com
O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - C:\PROGRA~1\SUPERR~1\MagicSet\haokanbar.dll
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - IE工具栏增项: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - C:\PROGRA~1\SUPERR~1\MagicSet\haokanbar.dll
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [cuic] C:\WINNT\lsass.exe
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [-173396] C:\WINNT\system32\-173396.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINNT\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [RealTray] C:\Program Files\Real\RealPlayer\Realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Super Rabbit IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINNT\system32\Realplayer.exe
O4 - Global Startup: -81463.lnk = C:\WINNT\system32\-81463.exe
O4 - Global Startup: AutoCAD 启动加速器.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O10 - Broken Internet access because of LSP provider 'c:\winnt\system32\quartz32.dll' missing
O15 - “受信任的站点”中添加项: http://www.icbc.com.cn
O16 - DPF: {098A3F72-3110-4004-B954-2F9DC44934B4} (AddSHCARoot Control) - https://etrade.efunds.com.cn/etrading/AddSHCARootCert.cab
O16 - DPF: {1F831FA1-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Program Files\AutoCAD 2002\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday 控件) - file://C:\Program Files\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {AE563722-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Program Files\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview 控件) - file://C:\Program Files\AutoCAD 2002\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = meibao.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{15A1471A-5A19-49D5-A40D-AE68422E59AD}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = meibao.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{15A1471A-5A19-49D5-A40D-AE68422E59AD}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = meibao.com
O20 - AppInit_DLLs: KB235780M.LOG
O21 - SSODL: DVDBurn - {790448C3-4239-45AF-C98B-367991A8B103} - C:\WINNT\Downloaded Program Files\AfxEdit.dll
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - NT 服务: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: Gray_Pigeon_Server1.23 (GrayPigeonServer1.23) - Unknown owner - C:\WINNT\G_Server1.23.exe
O23 - NT 服务: Groove Installer Service (GrooveInstallerService) - Groove Networks, Inc. - C:\Program Files\Groove Networks\Groove\Bin\GrooveInstallerService.exe
O23 - NT 服务: Unigraphics Plot Server (ugiipqd) (ugiipqd) - Unknown owner - C:\WINNT\system32\spool\ugplot\ugiipqd.exe
O23 - NT 服务: Unigraphics License Server (uglmd) - GLOBEtrotter Software Inc. - D:\Program Files\EDS\License Servers\UGNXFLEXlm\lmgrd.exe
O23 - NT 服务: UpdateService - Unknown owner - C:\WINNT\system32\UpdateService.exe (file missing)
O23 - NT 服务: Windows ServerNamx (WinServerNamx) - Unknown owner - C:\WINNT\system32\cceng.exe

只有请高手出马相助了!

震荡波最新变种 I-Worm.Sasser.e 05/10
　　 I-Worm.Sasser.e是I-Worm.Sasser的变种。开辟128个线程扫描网络。此蠕虫病毒利用微软操作系统的缓冲区溢出漏洞MS04-011进行远程主动攻击和传染，导致系统异常和网络严重拥塞，具有极强的危害性。

　　该病毒是一个类似于冲击波的病毒，它利用操作系统的缓冲区溢出漏洞（MS04-011）远程执行代码。

受影响的操作系统有：

Microsoft Windows NT Workstation 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 终端服务器版 Service Pack 6
Microsoft Windows 2000 Service Pack 2,
Microsoft Windows 2000 Service Pack 3
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP 和 Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003 64-Bit Edition

病毒攻击的主要对象是：

Microsoft Windows 2000
Microsoft Windows XP

　　病毒被执行起来以后首先拷贝自身到windows目录，名为
%WINDIR%\skynetave.exe(16384字节)，然后添加到自启动项。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lsasss.exe = %WINDOWS%\lsasss.exe

　　病毒会删除键名为rvddll_exe，drvsys.exe，ssgrate.exe的注册表键值。

　　病毒会开辟线程，在本地打开一个后门。监听TCP 1023端口（支持USER、PASS、PORT、RETR和QUIT命令）该线程实现一个ftp服务功能，被攻击成功的系统将利用此服务从当前系统把病毒文件复制过去。达到传播的目的。

　　病毒还会开辟128个扫描线程。以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，如果试探成功，则运行一个新的病毒进程对该目标进行攻击，并把该目标的ip地址保存到"c:\ftplog.txt"。
　
　　病毒最主要的特点是利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。由于该病毒在lsass.exe中溢出，可以获取管理员的权限，执行任意指令。另外溢出代码会主动从原机器下载病毒程序，运行起来，开始新的攻击。

　　为了达到自己的目的病毒会调用系统函数阻止系统关闭，并在2小时后（病毒认为完成所有的攻击“任务”时）显示一个消息框。。对话框信息如下：

　　 1. Your computer is affected by the MS04-011 vulnerability..
　　 2. It can be that dangerous computer viruses similar...the Blaster worm infect your computer..
　　 3. Please update your computer with the MS04-011 LSASS patch..　　　　　　from the www.microsoft.com website..
　 　4. This is an message from the SkyNet Team for..malicious activity prevention

　　该病毒会占用大量的系统和网络资源。中毒的机器会变得很慢。由于现在的用户使用Windows 2000和XP的较多，该病毒会在网络上迅速传播，最终导致网络瘫痪。

[病毒清除方法]:

一、手工清除：

　　1.在系统出现好多错误对话框的情况下请不要关闭这些对话框（如果没有错误对话框更方便用户做一些操作），打开注册表编辑器,删除如下键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"lsasss.exe" = "%WINDIR%\lsasss.exe"(%WINDIR%是一个环境变量，你可以从本机系统属性的高级选项卡中查获)

　　2.打开任务管理器查看是否存在进程lsasss.exe,如果有则终止它;

　　3.删除文件%WINDIR%下的文件lsasss.exe（如果有的话）;

　    4.打开一个IE浏览器从以下地址下载微软的补丁程序： http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx

　　5.安装系统补丁，补丁安装完成以后提示用户重新启动计算机，这时可能无法重起（病毒会阻止你重起），那么你现在可以点击那些出错对话框，关闭了这些出错框后系统会自动出现倒记时重起的对话框。

　　6.系统重新启动以后重复以上检查步骤，如果都未发现的话表明清除干净，如果还出现系统LSASS.EXE错误的话，请重新安装微软补丁程序直到错误不再出现。

二、使用杀毒软件清除：

　　1.在系统出现好多错误对话框的情况下请不要关闭这些对话框（关闭对话框就会自动重新启动，如果没有错误对话框更方便用户做一些操作），打开杀毒软件杀毒，一般在杀完内存之后即可。

　　2.打开一个IE浏览器从以下地址下载微软的补丁程序：http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx
　　3.安装系统补丁，补丁安装完成以后提示用户重新启动计算机，这时可能无法重起（病毒会阻止你重起），那么你现在可以点击那些出错对话框，关闭了这些出错框后系统会自动出现倒记时重起的对话框。

　　4.系统重新启动以后重复以上检查步骤，如果都未发现的话表明清除干净，如果还出现系统LSASS.EXE错误的话，请重新安装微软补丁程序直到错误不再出现