1   1  /  1  页   跳转

帮忙看下日志,在线等,谢谢!

收藏
北斗星
头像
初生襁褓狮
  • 帖子:48
  • 注册: 2004-12-19
  • 来自:
发表于: 2006-05-07 22:10 | 只看楼主 短消息 资料
字号: 1楼

帮忙看下日志,在线等,谢谢!

HijackThis_815汉化版扫描日志 V1.99.1
保存于      21:55:41, 日期 2006-5-7
操作系统:  Windows XP SP1 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\RISING\RAV\Ravmond.exe
E:\RISING\RAV\RavStub.exe
e:\rising\rfw\rfwsrv.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\CNNIC\Cdn\cdnup.exe
e:\rising\rfw\RfwMain.exe
E:\RISING\RAV\RAVTIMER.EXE
E:\RISING\RAV\RAVMON.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\conime.exe
C:\WINDOWS\config\svchost.exe
C:\WINDOWS\eW0\command.exe
C:\WINDOWS\system32\netbtd.exe
C:\Program Files\Network Monitor\netmon.exe
C:\WINDOWS\System32\nvsvc32.exe
E:\RISING\RAV\CCENTER.EXE
C:\WINDOWS\svcss.exe
E:\JUFANG\JFXT.EXE
E:\HijackThis1991\HijackThis1991.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\config\svchost.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\config\svchost.exe
O2 - BHO: (no name) - {35980F6E-A137-4E50-953D-813BB8556899} - (no file)
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O3 - IE工具栏增项: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - IE工具栏增项: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\Progra~1\Baidu\bar\BaiDuBar.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [Microsoft (R) Windows Configuration Backup Service] C:\WINDOWS\config\svchost.exe
O4 - 启动项HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [RfwMain] "e:\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [RavTimer] E:\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] E:\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RuunServices:[Microsoft Task Manager] pfsns.exe
O8 - IE右键菜单中的新增项目: 用比特精灵下载(&B) - E:\BT\BitSpirit\bsurl.htm
O9 - 浏览器额外的按钮: (no name) - {35980F6E-A137-4E50-953D-813BB8556899} - (no file)
O9 - 浏览器额外的按钮: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - 浏览器额外的“工具”菜单项: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O11 - Options group: [CDNCLIENT]  中文上网
O12 - IE插件,支持文件类型.spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8AFABA7-7A53-4E5D-963B-59B982F48DFD}: NameServer = 202.99.160.68 202.99.166.4
O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\q286lcls1fq6.dll (file missing)
O23 - NT 服务: Windows Configuration Backup Service (CfgBackupSvc) - Unknown owner - C:\WINDOWS\config\svchost.exe
O23 - NT 服务: Command Service (cmdService) - Unknown owner - C:\WINDOWS\eW0\command.exe
O23 - NT 服务: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - e:\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - e:\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - E:\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\RISING\RAV\Ravmond.exe
O23 - NT 服务: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe (file missing)
O23 - NT 服务: winconfig.exe - Unknown owner - C:\WINDOWS\svcss.exe

最后编辑2006-05-08 13:32:49
分享到:
gototop
 
魔法学徒
头像
卡卡技术团队
  • 帖子:11465
  • 注册: 2004-10-03
  • 来自:
发表于: 2006-05-07 22:45 | 短消息 资料
字号: 2楼

开始→控制面板→性能和维护→管理工具→服务→查找CfgBackupSvc、cmdService、Win32Kernel、winconfig.exe→右击→属性→启动类型→禁止→应用→停止→确定。

重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows

运行Hijackthis,扫描结束后在下列选项前打上勾,然后选修复“Fix Checked”:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\config\svchost.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\config\svchost.exe
O4 - 启动项HKLM\\Run: [Microsoft (R) Windows Configuration Backup Service] C:\WINDOWS\config\svchost.exe
O4 - HKCU\..\RuunServices:[Microsoft Task Manager] pfsns.exe
O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\q286lcls1fq6.dll (file missing)

显示隐藏文件

双击我的电脑--工具---文件夹选项--查看选项卡--单击选取"显示隐藏文件或文件夹"--清除"隐藏受保护的操作系统文件(推荐)"复选框。在提示您确定更改时,单击“是”--单击“确定”。

然后找到如下文件并删除(如果有的话)。

C:\WINDOWS\config\svchost.exe
pfsns.exe
C:\WINDOWS\system32\q286lcls1fq6.dll
C:\WINDOWS\eW0\
C:\WINDOWS\win32host.exe (file missing)
C:\WINDOWS\win32host.dll
C:\WINDOWS\win32host_hook.dll
C:\WINDOWS\win32hostkey.dll
C:\WINDOWS\svcss.exe
C:\WINDOWS\svcss.dll
C:\WINDOWS\svcss_hook.dll
C:\WINDOWS\svcsskey.dll
gototop
 
我无邪
头像
高贵耄耋狮
  • 帖子:20720
  • 注册: 2004-06-10
  • 来自:广西玉林
发表于: 2006-05-07 22:51 | 短消息 资料
字号: 3楼

开始→运行→输入services.msc,打开“服务”→查找 winconfig.exe,Win32 Kernel Update,Network Monitor,Command Service→双击→启动类型→禁止→停止→应用→确定。禁止winconfig.exe,Win32 Kernel Update,Network Monitor,Command Service 这4个服务(每一个逗号隔着的是一个病毒服务,请逐一禁用)
禁用后,重启。
关闭所有浏览窗口以及一些不必要的程序
运行Hijackthis,扫描结束后在下列选项前打上勾,然后选"修复""(如果有的话。
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\config\svchost.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\config\svchost.exe
O2 - BHO: (no name) - {35980F6E-A137-4E50-953D-813BB8556899} - (no file)
O4 - 启动项HKLM\\Run: [Microsoft (R) Windows Configuration Backup Service] C:\WINDOWS\config\svchost.exe
O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\q286lcls1fq6.dll (file missing)
O23 - NT 服务: Command Service (cmdService) - Unknown owner - C:\WINDOWS\eW0\command.exe
O23 - NT 服务: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - NT 服务: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe (file missing)
O23 - NT 服务: winconfig.exe - Unknown owner - C:\WINDOWS\svcss.exe
双击我的电脑--工具---文件夹选项--查看--单击选取"显示隐藏文件或文件夹"清除"隐

藏受保护的操作系统文件(推荐)"复选框。在提示您确定更改时,单击“是”
(请按上述步骤操作,不要略过)
然后找到如下文件并删除(如果有的话
C:\WINDOWS\svcss.exe
C:\WINDOWS\win32host.exe
C:\Program Files\Network Monitor
C:\WINDOWS\eW0\command.exe
C:\WINDOWS\system32\q286lcls1fq6.dll
C:\WINDOWS\config\svchost.exe

4 - HKCU\..\RuunServices:[Microsoft Task Manager] pfsns.exe
这项不知,如果你也不知道,建议修复。
gototop
 
北斗星
头像
初生襁褓狮
  • 帖子:48
  • 注册: 2004-12-19
  • 来自:
发表于: 2006-05-07 23:57 | 只看楼主 短消息 资料
字号: 4楼

谢谢魔法学徒和我无邪,按照你们的建议C:\WINDOWS\config\svchost.exe
pfsns.exe
C:\WINDOWS\eW0\

C:\Program Files\Network Monitor
C:\WINDOWS\config\svchost.exe已经找到并删除,其他文件没找到.日志如下:
HijackThis_815汉化版扫描日志 V1.99.1
保存于      23:56:04, 日期 2006-5-7
操作系统:  Windows XP SP1 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\RISING\RAV\Ravmond.exe
E:\RISING\RAV\RavStub.exe
e:\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\netbtd.exe
C:\WINDOWS\System32\nvsvc32.exe
E:\RISING\RAV\CCENTER.EXE
C:\WINDOWS\Explorer.EXE
E:\Rising\Rfw\rfwmain.exe
E:\RISING\RAV\RAVTIMER.EXE
E:\RISING\RAV\RAVMON.EXE
C:\WINDOWS\System32\ctfmon.exe
E:\JUFANG\JFXT.EXE
C:\Program Files\Internet Explorer\iexplore.exe
E:\RISING\RAV\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
E:\HijackThis1991\HijackThis1991.exe

O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [RfwMain] "e:\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [RavTimer] E:\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] E:\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - IE右键菜单中的新增项目: 用比特精灵下载(&B) - E:\BT\BitSpirit\bsurl.htm
O12 - IE插件,支持文件类型.spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8AFABA7-7A53-4E5D-963B-59B982F48DFD}: NameServer = 202.99.160.68 202.99.166.4
O23 - NT 服务: CfgBackupSvc - Unknown owner - C:\WINDOWS\config\svchost.exe (file missing)
O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - e:\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - e:\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - E:\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\RISING\RAV\Ravmond.exe
gototop
 
北斗星
头像
初生襁褓狮
  • 帖子:48
  • 注册: 2004-12-19
  • 来自:
发表于: 2006-05-08 00:03 | 只看楼主 短消息 资料
字号: 5楼

O23 - NT 服务: CfgBackupSvc - Unknown owner - C:\WINDOWS\config\svchost.exe (file missing)
这项不能修复,文件也没有了,不知道是否需要修复.
gototop
 
2116bromgamed2m
头像
锋芒艾服狮
  • 帖子:1263
  • 注册: 2005-10-18
  • 来自:SC
发表于: 2006-05-08 00:12 | 短消息 资料
字号: 6楼

引用:
【北斗星的贴子】O23 - NT 服务: CfgBackupSvc - Unknown owner - C:\WINDOWS\config\svchost.exe (file missing)
这项不能修复,文件也没有了,不知道是否需要修复.
...........................

注册表编辑器里终止CfgBackupSvc这个服务
并删除相应的键值
gototop
 
我无邪
头像
高贵耄耋狮
  • 帖子:20720
  • 注册: 2004-06-10
  • 来自:广西玉林
发表于: 2006-05-08 13:32 | 短消息 资料
字号: 7楼

【回复“北斗星”的帖子】
这可是重中之重,至少要禁用它的服务。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT