HijackThis_zww汉化版扫描日志 V1.99.1
保存于      10:47:33, 日期 2006-2-3
操作系统：  Windows XP  (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2600.0000)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Common Files\Filseclab\FilMsg.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
H:\Program Files\rising\Rfw\rfwmain.exe
h:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\DOCUME~1\TSC\LOCALS~1\Temp\Rar$EX00.645\HijackThis1991zww.exe

O2 - BHO: ATLDistrib Object - {A71D50D4-85D6-4770-83C9-2CCD2B379869} - C:\WINDOWS\System32\pmkhf.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\system32\jkkij.dll
O3 - IE工具栏增项: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [NI.UWFX6_0001_N68M2301] "C:\WINDOWS\Downloaded Program Files\UWFX6_0001_N68M2301NetInstaller.exe" -nag
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: 费尔消息服务.lnk = ?
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - E:\腾讯 QQ2005 Beta2\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - E:\腾讯 QQ2005 Beta2\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - E:\腾讯 QQ2005 Beta2\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - E:\腾讯 QQ2005 Beta2\SendMMS.htm
O10 - 未知的文件在 Winsock LSP: h:\xfilter\xfilter.dll
O10 - 未知的文件在 Winsock LSP: h:\xfilter\xfilter.dll
O10 - 未知的文件在 Winsock LSP: h:\xfilter\xfilter.dll
O10 - 未知的文件在 Winsock LSP: h:\xfilter\xfilter.dll
O10 - 未知的文件在 Winsock LSP: h:\xfilter\xfilter.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{529D19AE-C138-475D-A87F-54CCFC6A7AED}: NameServer = 202.96.128.86 202.96.128.166
O20 - Winlogon Notify: jkkij - C:\WINDOWS\SYSTEM32\jkkij.dll
O20 - Winlogon Notify: pmkhf - C:\WINDOWS\System32\pmkhf.dll
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - h:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)

【回复“lizijie”的帖子】
O2 - BHO: ATLDistrib Object - {A71D50D4-85D6-4770-83C9-2CCD2B379869} - C:\WINDOWS\System32\pmkhf.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\system32\jkkij.dll
O20 - Winlogon Notify: jkkij - C:\WINDOWS\SYSTEM32\jkkij.dll
O20 - Winlogon Notify: pmkhf - C:\WINDOWS\System32\pmkhf.dll

关于这四项，请参考 （转自“魔法学徒”的回帖）
【推荐】VundoFix简介
http://forum.ikaka.com/topic.asp?board=67&artid=7358637
来进行修复

具体操作：

1、下载VundoFix：
http://www.atribune.org/downloads/VundoFix.exe

2、开始→控制面板→性能和维护→管理工具→服务→查找StdService→右击→属性→启动类型→禁止→应用→停止→确定。

3、重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows

4、双击VundoFix文件夹中的KillVundo.bat，将会看到如下这段警告：
VundoFix V2.13 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue...
　　按回车，然后将会看到：
Type in the filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.
　　键入下面的内容：
D:\WINDOWS\System32\pmkhf.dll
　　然后依次按回车，F6键，回车，将会显示如下的内容：
Please type in the second filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.
　　键入下面的内容：
D:\WINDOWS\System32\\fhkmp.*（文件名字母排列顺序与上面的那个文件相反）
　　然后依次按回车，F6键，回车。

5、运行Hijackthis，扫描结束后在下列选项前打上勾，然后选修复“Fix Checked”：
O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - D:\WINDOWS\SYSTEM32\stdup.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - D:\WINDOWS\System32\pmkhf.dll
O4 - HKCU\..\RunServices: [sysmngr32] sys64mnger.exe
O20 - Winlogon Notify: pmkhf - D:\WINDOWS\System32\pmkhf.dll

6、显示隐藏文件
双击我的电脑--工具---文件夹选项--查看选项卡--单击选取"显示隐藏文件或文件夹"--清除"隐藏受保护的操作系统文件（推荐）"复选框。在提示您确定更改时，单击“是”--单击“确定”。
然后找到如下文件并删除（如果有的话）。
sys64mnger.exe（请用开始菜单中的搜索功能查找）
D:\WINDOWS\SYSTEM32\stdup.dll
D:\WINDOWS\SYSTEM32\STDSVER.DLL

7、修复完成后，关闭HijackThis窗口并按任意键重新启动计算机。有可能出现蓝屏死机的情况，不用担心，那是正常的；

　　8、重新启动计算机后，下载并使用CleanUp!清理系统：
【整理】系统清理工具图文介绍
http://forum.ikaka.com/topic.asp?board=67&artid=7241088

无语~~~~~~~~~~~~~~~~~~~~~！

2、开始→控制面板→性能和维护→管理工具→服务→查找StdService→右击→属性→启动类型→禁止→应用→停止→确定。
没StdService啊~！

【回复“lizijie”的帖子】
具体文件名你可以发悄悄话给“魔法学徒”，这个解决办法只是一个思路，你可以先看看VundoFix的使用方法，然后参照自己的情况操作。
http://forum.ikaka.com/topic.asp?board=67&artid=7358637

对于下面这两个文件来说
C:\WINDOWS\System32\pmkhf.dll
C:\WINDOWS\system32\jkkij.dll
属于Vundo木马

操作参考：
以C:\WINDOWS\System32\pmkhf.dll为例
1， http://www.atribune.org/downloads/VundoFix.exe
下载VundoFix.exe到桌面上
2，双击VundoFix.exe，根据提示生成一个VundoFix文件夹
3，重启，开机时按F8＜可以不停地按动F8＞，
然后选择“SAFE　MODE”或“安全模式”，进入安全模式
4，双击VundoFix文件夹中的KillVundo.bat，会出现命令行窗口
5，按ENTER键，输入C:\WINDOWS\System32\pmkhf.dll
6，按ENTER键，输入C:\WINDOWS\System32\fhkmp.*
（注意：fhkmp.*文件名字母排列顺序与pmkhf.dll相反）
7，按ENTER键

C:\WINDOWS\system32\jkkij.dll的操作与上述类似