我用卡卡助手也没有修复。。。。


下面是日志：
HijackThis_815汉化版扫描日志 V1.99.1
保存于      9:22:41, 日期 2005-11-4
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Sygate\SON\Sygate.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\qq\Setup_w0011\IExplorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
E:\nimns\mysql\bin\mysqld-nt.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Sygate\SON\sgserv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Tencent\qq\QQ.exe
C:\Program Files\Tencent\qq\TIMPlatform.exe
C:\Program Files\Tencent\qq\QQMail.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\shi\桌面\科学字典\Hijackthis\HijackThis1991zww.exe

O3 - IE工具栏增项: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O4 - 启动项HKLM\\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - 启动项HKLM\\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
O4 - 启动项HKLM\\Run: [SyGateManager] C:\Program Files\Sygate\SON\Sygate.exe
O4 - 启动项HKLM\\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [IMJPMIG8.2] C:\Program Files\qq\Setup_w0011\IExplorer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2591588802cd8e72d504/netzip/RdxIE601_cn.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C0C80F2-70D2-4279-BF4B-0C607A64405A}: NameServer = 202.195.224.100,202.195.224.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3AB7D9B-858C-474F-85A8-ABFC2D78956A}: NameServer = 202.195.224.100,202.195.224.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{D99E36E6-008B-43D6-9CA1-0E6AD3FF9A4B}: NameServer = 202.195.224.100,202.195.224.101
O18 - 列举现有的协议: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\System32\mbprot.dll
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - NT 服务: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: MySql - Unknown owner - E:/nimns/mysql/bin/mysqld-nt.exe
O23 - NT 服务: Norton AntiVirus 自动防护服务 (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - NT 服务: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - NT 服务: SyGateService (SaService) - Sygate technologies Inc. - C:\Program Files\Sygate\SON\sgserv.exe
O23 - NT 服务: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - NT 服务: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - NT 服务: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

请问楼主是怎么被劫持的？

问题在于启动项的这一行:C:\Program Files\qq\Setup_w0011\IExplorer.exe
该网站进入后会自动下载一个程序,并修改注册表使之开机自动运行.开机后按ctrl+alt+del查看,会发现有"工程1"这个程序在运行.
清除的方法很简单,把c:\program files\qq这个目录删除,并把相应的进程关闭,修改好主页,关机重启即可.

我前几天也遇到这个问题，我自己解决了。方法如下：很简单的首先在进程里结束一个类似于IExplore.exe的进程（前2个字母是大写的）。然后去c盘下面（不知道是不是根据系统盘走的）Program Files找一个qq（注意是小写）的文件夹，里面应该有3个文件。将该文件删除。
在去注册表里面去找启动项里面有这么个东西C:\Program Files\qq\Setup_w0011\IExplorer.exe
删除掉。重启就可以了（其实重不重启动无所谓）。
以上没有在安全模式下操作。
怀疑该病毒会变种，请大家小心。

同意3楼朋友的意见

问题出在
C:\Program Files\qq\Setup_w0011\IExplorer.exe

该病毒可能与青娱乐也有关系，因为我在做前面的操作前，我是先删除青娱乐的。

引用:

【ensemble的贴子】我用卡卡助手也没有修复。。。。 下面是日志： HijackThis_815汉化版扫描日志 V1.99.1 保存于      9:22:41, 日期 2005-11-4 操作系统：  Windows XP SP2 (WinNT 5.01.2600) 浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180) 当前运行的进程：          C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Sygate\SON\Sygate.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\qq\Setup_w0011\IExplorer.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\inetsrv\inetinfo.exe E:\nimns\mysql\bin\mysqld-nt.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe C:\Program Files\Sygate\SON\sgserv.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Tencent\qq\QQ.exe C:\Program Files\Tencent\qq\TIMPlatform.exe C:\Program Files\Tencent\qq\QQMail.exe C:\Program Files\Messenger\msmsgs.exe C:\Documents and Settings\shi\桌面\科学字典\Hijackthis\HijackThis1991zww.exe O3 - IE工具栏增项: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll O4 - 启动项HKLM\\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe O4 - 启动项HKLM\\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe O4 - 启动项HKLM\\Run: [SyGateManager] C:\Program Files\Sygate\SON\Sygate.exe O4 - 启动项HKLM\\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - 启动项HKLM\\Run: [IMJPMIG8.2] C:\Program Files\qq\Setup_w0011\IExplorer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/ O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2591588802cd8e72d504/netzip/RdxIE601_cn.cab O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan ) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8C0C80F2-70D2-4279-BF4B-0C607A64405A}: NameServer = 202.195.224.100,202.195.224.101 O17 - HKLM\System\CCS\Services\Tcpip\..\{D3AB7D9B-858C-474F-85A8-ABFC2D78956A}: NameServer = 202.195.224.100,202.195.224.101 O17 - HKLM\System\CCS\Services\Tcpip\..\{D99E36E6-008B-43D6-9CA1-0E6AD3FF9A4B}: NameServer = 202.195.224.100,202.195.224.101 O18 - 列举现有的协议: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\System32\mbprot.dll O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - NT 服务: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - NT 服务: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe O23 - NT 服务: MySql - Unknown owner - E:/nimns/mysql/bin/mysqld-nt.exe O23 - NT 服务: Norton AntiVirus 自动防护服务 (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - NT 服务: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - NT 服务: SyGateService (SaService) - Sygate technologies Inc. - C:\Program Files\Sygate\SON\sgserv.exe O23 - NT 服务: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - NT 服务: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - NT 服务: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe ………………

解决了没？

引用:

【kunzhou的贴子】我前几天也遇到这个问题，我自己解决了。方法如下：很简单的首先在进程里结束一个类似于IExplore.exe的进程（前2个字母是大写的）。然后去c盘下面（不知道是不是根据系统盘走的）Program Files找一个qq（注意是小写）的文件夹，里面应该有3个文件。将该文件删除。 在去注册表里面去找启动项里面有这么个东西C:\Program Files\qq\Setup_w0011\IExplorer.exe 删除掉。重启就可以了（其实重不重启动无所谓）。 以上没有在安全模式下操作。 怀疑该病毒会变种，请大家小心。 ………………

刚才试了在正常模式下面删除，重新启动之后扫描没有发现再出现这个问题，估计还没有变种的能力。