目前看来似乎没什么异常，按照下面的方法做了，并且用很多种杀毒软件，扫描软件把木马清了，把觉得可疑的自己大胆的删除了，最后电脑速度快了，但是ＩＥ还是有点问题点不开，所以，我就重装了ＩＥ，然后似乎没什么问题了！
ＰＳ：不要装那个木马杀客，因为卸载它比较困难（有点像流氓软件，过份）


==========================


太恐怖了。。。在上网时我突然发现，网页二级连接点不进去了，点了也没反应！（比如：我打开IE用百度搜索一个字，出现搜索到的条目后，我再点进去，就点不开了）

于是，我用瑞星查杀，卡卡杀，出现很多病毒哇，说是盗号木马！汗，我昨天还上淘宝呢，难道号被盗了？。。。


－－－－－－－－－－－－
HijackThis_815汉化版扫描日志 V1.99.1
保存于      15:24:06, 日期 2008-11-7
操作系统：  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)
当前运行的进程：         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\CMBCHINA\WebProtect\WPService.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Rising\Rav\RavService.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\system32\taskmgr.exe
C:\WINNT\explorer.exe
C:\Program Files\360safe\safemon\360Tray.exe
C:\Program Files\360Safebox\safeboxtray.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Rising\AntiSpyware\ras.exe
C:\Program Files\Rising\AntiSpyware\knownsvr.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\360safe\360Safe.exe
C:\Program Files\HijackThis1991汉化版\HijackThis1991zww.exe
O1 - Hosts: 127.1 localhost
O1 - Hosts: 127.1 fffff8888fsgfbghj88.cn
O1 - Hosts: 127.1 61.134.37.12
O1 - Hosts: 127.1 ko.ssa387.cn
O1 - Hosts: 127.1 www.ndxrr.cn
O1 - Hosts: 127.1 12345.ssa387.cn
O1 - Hosts: 127.1 lihai88.com
O1 - Hosts: 127.1 wwwwhf.cn
O1 - Hosts: 127.1 a89369093.sq.u9idc.com
O1 - Hosts: 127.1 www.mmd178.cn
O1 - Hosts: 127.1 www.178mmd.cn
O1 - Hosts: 127.1 www.wenzhuoyyy.cn
O1 - Hosts: 127.1 tw.lovechina.tw.cn
O1 - Hosts: 127.1 222.189.238.151
O1 - Hosts: 127.1 222.179.185.78
O1 - Hosts: 127.1 www.wq9q.cn
O1 - Hosts: 127.1 593ffcey.cn
O1 - Hosts: 127.1 set.yay520.cn
O1 - Hosts: 127.1 tenmoc999.cn
O1 - Hosts: 127.1 lihai88.com
O1 - Hosts: 127.1 121.kcuf-01.com
O1 - Hosts: 127.1 www.ew1q.cn
O1 - Hosts: 127.1 www.b3sk.cn
O1 - Hosts: 127.1 up.bizmd.cn
O1 - Hosts: 127.1 www.ms2a.cn
O1 - Hosts: 127.1 www.wo9188.cn
O1 - Hosts: 127.1 www.fgetchr.cn
O1 - Hosts: 127.1 www.e6zx.cn
O1 - Hosts: 127.1 hai067.com
O1 - Hosts: 127.1 hai088.com
O1 - Hosts: 127.1 778899.jd8j.cn
O1 - Hosts: 127.1 sql.78-11.net
O1 - Hosts: 127.1 www.bbbirdy.com
O1 - Hosts: 127.1 www.s1na1.com.cn
O1 - Hosts: 127.1 www.dianyinjzd.cn
O1 - Hosts: 127.1 www.dj5201314dj.com
O1 - Hosts: 127.1 max-2.cn
O1 - Hosts: 127.1 a.asp-o.cn
O1 - Hosts: 127.1 b.asp-o.cn
O1 - Hosts: 127.1 c.asp-o.cn
O1 - Hosts: 127.1 x.kprobb.cn
O1 - Hosts: 127.1 js.php-k.cn
O1 - Hosts: 127.1 max-1.cn
O1 - Hosts: 127.1 max-3.cn
O1 - Hosts: 127.1 max-4.cn
O1 - Hosts: 127.1 max-5.cn
O1 - Hosts: 127.1 max-6.cn
O1 - Hosts: 127.1 max-7.cn
O1 - Hosts: 127.1 max-8.cn
O1 - Hosts: 127.1 max-9.cn
O1 - Hosts: 127.1 max-10.cn
O1 - Hosts: 127.1 max-11.cn
O1 - Hosts: 127.1 max-12.cn
O1 - Hosts: 127.1 twocannon250.com.cn
O1 - Hosts: 127.1 www.133mm.cn
O1 - Hosts: 127.1 www.51vmm.cn
O1 - Hosts: 127.1 www.7mmoo.cn
O1 - Hosts: 127.1 www.99mmm.org.cn
O1 - Hosts: 127.1 www.hdec.cn
O1 - Hosts: 127.1 www.picc18.com
O1 - Hosts: 127.1 www.kissdh.com
O1 - Hosts: 127.1 www.x7v.cn
O1 - Hosts: 127.1 biqulu.cn
O1 - Hosts: 127.1 2008.qq2006.com.cn
O1 - Hosts: 127.1 giaitrisex.com
O1 - Hosts: 127.1 www.giaitrisex.com
O1 - Hosts: 127.1 www.giaitrituoitre.net
O1 - Hosts: 127.1 mekiep.com
O1 - Hosts: 127.1 www.1sex1day.com
O1 - Hosts: 127.1 a.9ymm.com
O1 - Hosts: 127.1 bobo.7wyt.com
O1 - Hosts: 127.1 www.591caobi.cn
O1 - Hosts: 127.1 www.hrz008.cn
O1 - Hosts: 127.1 asp-15.cn
O1 - Hosts: 127.1 asp-12.cn
O1 - Hosts: 127.1 www.jb88.net
O1 - Hosts: 127.1 6.a88a.com
O1 - Hosts: 127.1 w.b2c3.cn
O1 - Hosts: 127.1 m.c5x8.com
O1 - Hosts: 127.1 www.518sfw.cn
O1 - Hosts: 127.1 www.jjyyzmj.cn
O1 - Hosts: 127.1 u.cnmrx.net
O1 - Hosts: 127.1 duowan.czm.cn
O1 - Hosts: 127.1 xccxcxcxcxcx.cn
O1 - Hosts: 127.1 google-yahoo.org.cn
O1 - Hosts: 127.1 tudou-net.org.cn
O1 - Hosts: 127.1 downloads.zango.com
O1 - Hosts: 127.1 ftp.surfnet.nl
O1 - Hosts: 127.1 bis.180solutions.com
O1 - Hosts: 127.1 installs.hotbar.com
O1 - Hosts: 127.1 www.hbdownloads.com
O1 - Hosts: 127.1 static.zangocash.com
O1 - Hosts: 127.1 www.qq-songli.cn
O1 - Hosts: 127.1 aa.9234.net
O1 - Hosts: 127.1 www.97love.info
O1 - Hosts: 127.1 97love.info
O1 - Hosts: 127.1 www.zyzhuiku.cn
O1 - Hosts: 127.1 zyzhuiku.cn
O1 - Hosts: 127.1 www.lang18.com
O1 - Hosts: 127.1 lang18.com
O1 - Hosts: 127.1 sao6666.com
O2 - BHO: WebProtect.IEHlpObj - {53763D1D-9CA8-4C7C-9756-A8E6B8FC063B} - C:\Program Files\CMBCHINA\WebProtect\WebProtect.dll
O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINNT\Downloaded Program Files\ThunderAdvise.dll
O2 - BHO: 卡卡上网安全助手 - {98B7C13A-E9CD-4959-8B46-FBEAB41E42A8} - C:\WINNT\system32\urlFilter.dll
O2 - BHO: FlashGetBHO - {b070d3e3-fec0-47d9-8e8a-99d4eeb3d3b0} - C:\Documents and Settings\All Users\Application Data\FlashGetBHO\FlashGetBHO.dll
O2 - BHO: SafeMon Class - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - C:\Program Files\360safe\safemon\safemon.dll
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - 启动项HKLM\\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - 启动项HKLM\\Run: [RavTray] "C:\Program Files\Rising\Rav\RavTray.exe"
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [MultiWord] C:\Program Files\JCRemeberWord2004\MultiWord.exe
O4 - 启动项HKLM\\Run: [360Antiarp] C:\Program Files\360safe\antiarp\antiarp.exe /start
O4 - 启动项HKLM\\Run: [runeip] "C:\Program Files\Rising\AntiSpyware\rstray.exe" /startup
O4 - 启动项HKLM\\Run: [HBService32] System.exe
O4 - 启动项HKLM\\Run: [360Safebox] "C:\Program Files\360Safebox\SafeBoxTray.exe" /r
O4 - 启动项HKLM\\RunOnce: [KKDelay] C:\Program Files\Rising\AntiSpyware\RunOnce.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WangWang] "C:\Program Files\Alisoft\WangWang\WangWang.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - IE右键菜单中的新增项目: 使用快车(Flas&hGet)下载 - C:\Program Files\FlashGetV2.36.0.1270 绿色去广告版\Flashget_NoAD\GetUrl.htm
O8 - IE右键菜单中的新增项目: 使用快车(Flash&Get)下载全部链接 - C:\Program Files\FlashGetV2.36.0.1270 绿色去广告版\Flashget_NoAD\GetAllUrl.htm
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://site.cmbchina.com/download/CMBEdit.cab
O16 - DPF: {1E0DFFCF-27FF-4574-849B-55007349FEDA} (iTrusPTA Class) - https://img.alipay.com/download/1101/aliedit.cab
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (EditCtrl Class) - https://img.alipay.com/download/2121/aliedit.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132813755750
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: HBmhly.dll,HBZHUXIAN.dll
O21 - SSODL: msnmsg - {DA191DE0-AA86-4ED0-4B87-293D48B2AE99} - C:\Program Files\Messenger\msgmr.dll
O21 - SSODL: Upnp - {DE01DA19-A6A8-EB80-4D47-248DEB2A9399} - C:\WINNT\system32\upnpsrv.dll (file missing)
O21 - SSODL: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINNT\Downloaded Program Files\ThunderAdvise.dll
O23 - NT 服务: Cmb WebProtect Support (CMBWPS) - China Merchants Bank - C:\Program Files\CMBCHINA\WebProtect\WPService.exe
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: MPKrnl - Unknown owner - C:\MPKrnl.exe (file missing)
O23 - NT 服务: RavService - Unknown owner - C:\Program Files\Rising\Rav\RavService.exe" /service (file missing)
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

＝＝＝

红色的那两个我觉得很可疑。。。我的ＭＳＮ是7.5，装在MSN Messenger这个文件夹下的！
而且明速度很慢！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)

文件压缩后发上来


为了高效解决问题，请配合

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
解压后运行，升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。

如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描
等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr

4.为了对病毒准确定位和判断，找出替换文件的病毒，必须同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告


5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.已发帖请跟贴，勿另开新帖。

如以上工具不能打开或正常运行，短消息call我

我的也中招了,

并且上传了扫描报告,请解决一下
地址:http://bbs.ikaka.com/showtopic-8564279.aspx

-------
金山清理专家装好了，但是怎么打都打不开，请先帮我看看这个日志！

启动项目 －－ 服务－－ 驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）


[d7b49fa / d7b49fa][Stopped/Manual Start]
  <\??\C:\WINNT\system32\d7b49fa.sys><N/A>
[HBKernel32 Driver / HBKernel32][Stopped/Manual Start]
  <2 - 系统找不到指定的文件。
><N/A>

楼主安装的什么?r瑞星09？

必须重启进安全模式下干掉它：

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rsv4.tmp


愿意的话

将C:\WINNT\explorer.exe文件复制压缩发来看

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rsv4.tmp
确定是病毒？

很可疑的

见过文件没？

--------------------------
我装的是瑞星网络版，我们公司一直用这个的！

这个我试试，现在系统好像快多了，不过点击网络连接一直还是打不开，我要重新打开ＩＥ拷上地址才能打开的！
另外上传金山日志！

两位说的，我试试删掉！

－－－－－－－－－

那两个错误的驱动我已经删除了，那个要重启的我这就重启Ｆ8删删看！
我发现，我打开ＩＥ的时候，360报告要运行mpkrnl.exe这个文件
Ｃ：／mpkrnl.exe　　这个肯定有问题呀，我先前把他的服务禁掉过的，咋还。。。
－－－－－－－－－

附件: explorer.rar (2008-11-7 18:29:44, 90.78 K)
该附件被下载次数 188

－－－－－－
还有，我发现我的ＨＯＳＴ文件被严重修改过的，呵呵，现在你们看到我日志里的是已经被我换过了的！
原来他把我的host里放了101个不认识的网址地址

就是顶楼的日志，是原来的那些网址！可能木马就是从那些网站上下的

其他的我不知道了

这是你的桌面文件explorer.exe和我的桌面文件的MD比较

文件: C:\WINNT\explorer.exe
大小: 243472 字节
文件版本: 5.00.3700.6690
修改时间: 2003年6月19日, 04:05:04
MD5: E3DF70147A75533C9308F0DD16BAAEF5
SHA1: 35A20DD98B594B8C2905B34B4EE0F7979DCE8C54
CRC32: 846282DF


文件: E:\桌面\explorer\explorer.exe
大小: 243712 字节
文件版本: 5.00.3700.6690
修改时间: 2005年7月5日, 16:00:00
MD5: F3B5A99F2A17099E0ED0B42E6F3A1A12
SHA1: 8724A2997AA242F9C393C7ABA96795E5644EBF17
CRC32: E974D248

我不知道你那explorer.exe是否需要替换一下

你愿意的话，就试试我这2000系统里的explorer.exe替换掉你那个。