发现的病毒名称：Trojan.PSW.QQRobber.16.f  估计是灰鸽子2005
路径：c:\WINDOWS\system32下的ranx.dll和god.sys

Logfile of HijackThis v1.99.1
Scan saved at 0:31:10, on 2005-10-15
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\Program Files\Rising\Rfw\rfwmain.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Rising\Rfw\rfwsrv.exe
C:\Program Files\TheWorld\TheWorld.exe
F:\TOOLS\FlashGet\flashget.exe
C:\DOCUME~1\xuguang\LOCALS~1\Temp\Rar$EX00.141\HijackThis.exe

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\TOOLS\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\TOOLS\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [RavStub] "C:\PROGRAM FILES\RISING\RAV\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 使用网际快车下载 - F:\TOOLS\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - F:\TOOLS\FlashGet\jc_all.htm
O9 - Extra button: 铃声 - {0713E8D2-850A-101B-AFC0-4210102A8DA7} - http://huanghetv.sms.163.com (file missing)
O9 - Extra button: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - F:\GAME\浩方对战平台\GameClient.exe
O9 - Extra button: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing)
O9 - Extra 'Tools' menuitem: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\TOOLS\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\TOOLS\FlashGet\flashget.exe
O9 - Extra button: 易趣购物 - {EE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=109 (file missing)
O9 - Extra 'Tools' menuitem: 易趣购物 - {EE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=109 (file missing)
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BBCB9E01-115F-4CF9-B040-453CBC0190A2}: NameServer = 61.134.1.4,61.134.1.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC4D9FFD-13A0-4DA0-9B26-E7F2B5A993AB}: NameServer = 61.134.1.4,61.134.1.9
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rfw\rfwsrv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - Service: windowsle (windowsoe) - Unknown owner - C:\WINDOWS\windowsdl.exe

O23 - Service: windowsle (windowsoe) - Unknown owner - C:\WINDOWS\windowsdl.exe

这个应该就是了！
载注册表里面，病毒服务器名怎么确定，到底是哪个？
列表里面很多，我分不清！

没有windowsle这个项，那是不是这个项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windowsoe
然后删除windowsoe文件夹的所有东西，尔后进行下一步的工作？

【回复“『许愿』”的帖子】您好,请用hijackthis修复以下项目:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

显示所有文件,找到以下删除:(如果有的话)
C:\WINDOWS\windowsdl.exe
C:\WINDOWS\windowsdl.dll
C:\WINDOWS\windowsdlkey.dll
C:\WINDOWS\windowsdl_Hook.dll

展开注册表到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下查找“windowsdl.exe”，然后删除，重新启动

老大，不行啊！我按照你的方法做了，也重启了，刚用瑞星扫描了SYSTEM32发现病毒依然存在

病毒名称                                                发现日期        扫描方式        路径            文件            病毒来源       
快捷扫描        C:\WINDOWS\system32ranx.dll\本机
Trojan.PSW.QQRobber.16.f                                05-10-14 23:21  快捷扫描        C:\WINDOWS\system32ranx.dll\本机
Trojan.PSW.QQRobber.16.f                                05-10-14 23:21  快捷扫描        C:\WINDOWS\system32god.sys\本机
Trojan.PSW.QQRobber.16.f                                05-10-15 01:30  快捷扫描        C:\WINDOWS\system32ranx.dll\本机
Trojan.PSW.QQRobber.16.f                                05-10-15 01:30  快捷扫描        C:\WINDOWS\system32god.sys\本机

进入C:\WINDOWS\system32\目录下查找
ranx.dll与god.sys删除.

删除完用瑞星扫描后如还存在病毒请到我的空间下载SREng把扫描日志发上来.
http://free.ys168.com/?konce

已经删除了，我马上重启，然后扫描！
谢谢你热心的帮助！

十分感谢，现在我重启了，病毒已经不复存在了！
你们好认真负责啊！！
感动ing