日志文件 Trend Micro HijackThis v 2.0.2
日志保存时间: 14:15:18,2009-11-18
操作系统: Windows XP SP2 (WinNT 5.01.2600)
IE版本: Internet Explorer v6.00 SP2 (6.00.2900.2180)
启动模式: 正常
正在运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
F:\Program Files\Rising\Rav\RavMonD.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Rising\Rav\RsTray.exe
C:\WINDOWS\system32\ctfmon.exe
f:\StormII\stormliv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WScript.exe
F:\Program Files\rstray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\WScript.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\System32\WScript.exe
C:\Documents and Settings\Administrator\Application Data\ABCD2.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\WScript.exe
F:\Program Files\Rising\Rav\RsAgent.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\System32\WScript.exe
F:\Program Files\ras.exe
F:\Program Files\knownsvr.exe
C:\Documents and Settings\Administrator\桌面\HijackThis.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\Program Files\Common Files\Microsoft Shared\MSINFO\iejore.exe
O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - C:\Program Files\Thunder\ComDlls\TDAtOnce_Now.dll
O2 - BHO: VnetCookie Class - {4E83D567-4697-4F7B-B1F0-A513B01DB89A} - C:\PROGRA~1\ChinaNet\VNETTR~1.DLL
O2 - BHO: (未命名) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (没有文件)
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder\ComDlls\xunleiBHO_Now.dll
O2 - BHO: 卡卡上网安全助手 - {98B7C13A-E9CD-4959-8B46-FBEAB41E42A8} - C:\WINDOWS\system32\UrlFilter.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - IE 工具栏: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [系统登录进程文件] C:\Documents and Settings\Administrator\Application Data\ABCD2.exe
O4 - HKLM\..\Run: [RavTray] "F:\Program Files\Rising\Rav\RsTray.exe" -system
O4 - HKLM\..\Run: [runeip] "F:\Program Files\rstray.exe" /startup
O4 - HKLM\..\RunOnce: [KKDelay] F:\Program Files\RunOnce.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - 扩展右键菜单项: &V使用Vagaa哇嘎下载 - E:\Vagaa\Data\vg.htm
O8 - 扩展右键菜单项: 使用迅雷下载 - C:\Program Files\Thunder\Program\geturl.htm
O8 - 扩展右键菜单项: 使用迅雷下载全部链接 - C:\Program Files\Thunder\Program\getallurl.htm
O8 - 扩展右键菜单项: 添加到QQ表情 - D:\QQ2007\AddEmotion.htm
O9 - 额外的按钮: (未命名) - RsAutorunsDisabled - (没有文件)
O17 - HKLM\System\CCS\Services\Tcpip\..\{061EE685-556B-4700-A18B-8D6D982E91AE}: NameServer = 202.103.24.68,202.103.40.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{57BEFB6D-9A1B-48FE-8F57-A3CA338F87D7}: NameServer = 202.103.24.68,202.103.4.5
O23 - NT 服务:  Contrl Center of Storm Media (ccosm) - 北京暴风网际科技有限公司 - f:\StormII\stormliv.exe
O23 - NT 服务:  Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - NT 服务:  Rav Service (RsRavMon) - Beijing Rising Information Technology Co., Ltd. - F:\Program Files\Rising\Rav\RavMonD.exe
--
文件结束 - 4887 字节         




PS：我网站打开，就自动跳转到另一个治疗性病什么的网站，首页完全不能修改，IE选项那修改首页是灰色！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6)

把ABCD2.EXE和C:\Program Files\Common Files\Microsoft Shared\MSINFO\iejore.exe
打包发送可疑文件交流区
使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序

1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\documents and settings\administrator\application data\abcd2.exe
c:\windows\system32\6to4ex.dll

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[系统登录进程文件]    <C:\Documents and Settings\Administrator\Application Data\ABCD2.exe>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[ComputerBrowser / 6to4]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\6to4ex.dll>

以上操作完成后再使用附件工具扫描，扫描完成后把scan.log打包发送上来。

以上操作全部完成后，下载windows清理助手清理系统

下载安装windows清理助手升级最新版清理系统。
http://download.arswp.com/arswp3/x86/arswp3_x86.exe