HijackThis_zww汉化版扫描日志 V1.99.1
保存于      16:47:54, 日期 2006-5-24
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\传奇世界\woool.exe
E:\传奇世界\data\woool.dat
C:\WINDOWS\system32\Dase0l6Mfv.exe
E:\传奇世界\Data\wooolasstool.dat
C:\Documents and Settings\Administrator\桌面\HijackThis1991zww.exe

O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_001.dll
O2 - BHO: HBObject Class - {AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1} - C:\PROGRA~1\HBClient\tbhelper.dll
O4 - 启动项HKLM\\Run: [RichMedia] C:\WINDOWS\system32\Rundll32.exe
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O9 - 浏览器额外的按钮: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O9 - 浏览器额外的“工具”菜单项: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.tomatolei.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139452948525
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F28C5A2-B5EB-4568-B53A-16C19A33CD39}: NameServer = 202.103.225.68 202.103.224.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{2F28C5A2-B5EB-4568-B53A-16C19A33CD39}: NameServer = 202.103.225.68 202.103.224.68
O20 - Winlogon Notify: System Safety Monitor - C:\WINDOWS\SYSTEM32\SSMWinlogonEx.dll
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe


C:\WINDOWS\system32\Dase0l6Mfv.exe  我在系统文件夹里面找不到这个文件。只有使用记录。

【回复“ahaqxl”的帖子】
结束C:\WINDOWS\system32\Dase0l6Mfv.exe进程

修复
O2 - BHO: HBObject Class - {AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1} - C:\PROGRA~1\HBClient\tbhelper.dll
O4 - 启动项HKLM\\Run: [RichMedia] C:\WINDOWS\system32\Rundll32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

卸载
C:\Program Files\HBClient\

删除
C:\Program Files\HBClient\
C:\WINDOWS\system32\Dase0l6Mfv.exe

其中
C:\Program Files\HBClient\是很棒小秘书流氓软件
具体操作参考
http://forum.ikaka.com/topic.asp?board=28&artid=7795226

若文件找不到或无法删除文件
建议进入安全模式下删除
打开我的电脑
在工具栏中点击－－工具－－文件夹选项－－查看
勾选“显示所有文件及文件夹”
同时把“隐藏受保护的操作系统文件（推荐）”前的勾去掉
然后再进行查找一下

或利用KILLBOX来删除
KILLBOX下载：
http://forum.ikaka.com/topic.asp?board=28&artid=6979213

或利用费尔木马强力清除助手来删除
费尔木马强力清除助手使用参考：
http://www.xfilt.com/tech/trojan-horse.htm

版主，这个文件出现的时候是在我进入传奇世界登陆的时候才会出现。每次不同的文件名。有时候是exe文件。有时候会是.dll文件
我是用windows进程管理器看的。大约十秒钟后就会自己消失。请问这样的情况是不是木马？

我下载了版主给的费尔木马强力清除助手
可是软件提示找不到这个文件。

引用:

【ahaqxl的贴子】我下载了版主给的费尔木马强力清除助手 可是软件提示找不到这个文件。 ...........................

难道在系统中就找不到这个文件吗？