黄山IE修复专家8.28 2006/10/05 20:52:17 查杀开始运行在：WinXP【普通模式】
【共需完成19个步骤，如果所有步骤均被列出了，证明修复过程是成功的，否则请再次查杀修复】

001-----成功加载黄山IE修复专家模块
002-----正在装载杀毒引擎
003-----开始备份，创建快照镜像
004-----正在创建劫持日志
005-----正在扫描进程与模块
006-----开始扫描注册表
007-----正在枚举注册表项
008-----正在分析注册表项
009-----对照分析结果定位病毒文件
010-----清理病毒体残余的注册表项
011-----开始对search类劫持的彻杀
012-----正在对系统文件进行完整性对照
013-----开始对端口进行分析
014-----开始对行为进行分析
015-----正在分析服务

【共扫描出1项可疑服务】

1、服务名称：Event
显示名称：Events Log
文件位置：C:\WINDOWS\SYSTEM32\DRIVERS\CSRSS.EXE
服务参数：C:\WINDOWS\SYSTEM32\DRIVERS\CSRSS.EXE -K NETWORKSERVICE
文件说明：（风险）

（你可以将日志发到论坛让高手帮你分析，然后将文件路径名输入到病毒栏修复后即可清除----可疑服务最好要连续做两次，已确保彻底清除病毒；我们略去了大部分扫描项目的结果，因为那些已被我们立体清除）

016-----正在创建多线程进行全盘扫描
017-----正在遍历文件开始查杀
018-----已成功清除病毒
019-----完成IE修复与病毒查杀



再怎么删也会出来啊 进了安全模式后又找不到这个文件
好急啊.5555555555 这个文件不是一直在 是偶尔会出来一下 出来了后看网页都很多打不开

附：hijackthis下载地址 http://forum.ikaka.com/topic.asp?board=28&artid=8105899  扫出全部日志

HijackThis_815汉化版扫描日志 V1.99.1
保存于      23:13:55, 日期 2006-10-5
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
E:\RAV\Rising\Rav\CCenter.exe
E:\RAV\Rising\Rav\RavTask.exe
E:\RAV\Rising\Rav\Ravmond.exe
E:\RAV\Rising\Rav\RavStub.exe
E:\RAV\Rising\Rav\ScanBD.exe
E:\RAV\Rising\Rav\Rav.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\迅雷\Program\Thunder5.exe
C:\Documents and Settings\new\桌面\工具\HijackThis1991zww.exe

O4 - 启动项HKLM\\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - 启动项HKLM\\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - 启动项HKLM\\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - 启动项HKLM\\Run: [RavTask] "E:\RAV\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [RavScanBD] "E:\RAV\Rising\Rav\ScanBD.exe" /INST
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: 壁纸自动换.lnk = C:\WINDOWS\system32\bgswitch.exe
O8 - IE右键菜单中的新增项目: 使用影音传送带下载 - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - IE右键菜单中的新增项目: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - 浏览器额外的按钮: 微软 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.microsoft.com/china/index.htm (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{28724513-ADB3-456B-A205-6F1BC368E003}: NameServer = 202.103.24.68 202.103.44.150
O17 - HKLM\System\CS1\Services\Tcpip\..\{28724513-ADB3-456B-A205-6F1BC368E003}: NameServer = 202.103.24.68 202.103.44.150
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - E:\RAV\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\RAV\Rising\Rav\Ravmond.exe