日志文件 Trend Micro HijackThis v 2.0.2
日志保存时间: 17:54:18,2008-12-7
操作系统: Windows XP SP1 (WinNT 5.01.2600)
IE版本: Internet Explorer v6.00 SP1 (6.00.2800.1106)
启动模式: 正常
正在运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\360safe\antiarp\antiarp.exe
C:\WINDOWS\System32\ctfmon.exe
D:\maxthoncn\Maxthon.exe
F:\kill\HijackThis 汉化版\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
R3 - 默认 URLSearchHook 丢失
F3 - REG:win.ini: run=; C:\WINDOWS\smss.exe
O2 - BHO: ThunderAtOnce Class - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll
O2 - BHO: (未命名) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (没有文件)
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll
O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: SafeMon Class - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - C:\Program Files\360safe\safemon\safemon.dll
O3 - IE 工具栏: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE 工具栏: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] ; RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] ; nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [360Antiarp] C:\Program Files\360safe\antiarp\antiarp.exe /start
O4 - HKLM\..\Run: [3PMmUpdate] ; rundll32 "C:\WINDOWS\Update.dll",Main
O4 - HKLM\..\Run: [BigDogPath] ; C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - HKLM\..\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MPKrnl] ; rundll32 "C:\WINDOWS\MPKrnl.dll",KrnlMsgProc
O4 - HKLM\..\Run: [MSPY2002] ; C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [NvMediaCenter] ; RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PHIME2002A] ; C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] ; C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [RavScanBD] ; "D:\Program Files\Rising\Rav\ScanBD.exe" /INST
O4 - HKLM\..\Run: [SKYNET Personal FireWall] ; D:\Program Files\SkyNet\FireWall\pfw.exe
O4 - HKLM\..\Run: [smss] ; C:\WINDOWS\smss.exe
O4 - HKLM\..\Run: [SoundMan] ; SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] ; "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WangWang] ; "C:\Program Files\淘宝网\淘宝旺旺\WangWang.EXE"
O4 - HKLM\..\Run: [_TBHTray] ; RUNDLL32.EXE C:\WINDOWS\DOWNLO~1\Ksouzm.dll,Rundll32
O4 - HKCU\..\Run: [ctfmon.exe] ; C:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [MPMKrnl] rundll32 "C:\WINDOWS\MKMKrnl.dll",KMainProc
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - 扩展右键菜单项: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - 扩展右键菜单项: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - 扩展右键菜单项: 使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\geturl.htm
O8 - 扩展右键菜单项: 使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\getallurl.htm
O8 - 扩展右键菜单项: 添加到QQ表情 - D:\Program Files\Tencent\QQ2007\AddEmotion.htm
O9 - 额外的按钮: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 额外的“工具”菜单项目: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 额外的按钮: (未命名) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQ\QQIEHelper.dll(文件不存在)
O9 - 额外的“工具”菜单项目: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQ\QQIEHelper.dll(文件不存在)
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/
O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://see.hn.chinavnet.com/Check/plugin/PowerPlr.ocx
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (EditCtrl Class) - https://img.alipay.com/download/2121/aliedit.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (PasswordEditCtrl Class) - https://password.qq.com/download/qqedit2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3A03C58-91E9-4729-B8D3-9E3E6CF6EBCA}: NameServer = 202.103.87.3
O18 - Protocol: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} - C:\Program Files\Kingsoft\Powerword 2003\XDictExB.dll
O18 - Protocol: KuGoo - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\WINDOWS\system32\KuGoo3DownXControl.ocx
O18 - Protocol: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\WINDOWS\system32\KuGoo3DownXControl.ocx
O20 - AppInit_DLLs: 01AFE3DC.dll,HBmhly.dll
O21 - SSODL: msnmsg - {DA191DE0-AA86-4ED0-4B87-293D48B2AE99} - C:\Program Files\Messenger\msgmr.dll
O21 - SSODL: Upnp - {DE01DA19-A6A8-EB80-4D47-248DEB2A9399} - C:\WINDOWS\system32\upnpsrv.dll
O21 - SSODL: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
O23 - NT 服务:  Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - NT 服务:  LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - NT 服务:  Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务:  NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - NT 服务:  Messenger 共享文件夹 USN 杂志阅读器服务 (usnjsvc) - Unknown owner - C:\Program Files\MSN Messenger\usnsvc.exe(文件不存在)
--
文件结束 - 6731 字节

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Maxthon)

扫SRENG日志行么？

下载System Repair Engineer(Sreng)
http://www.kztechs.com/sreng/download.html

运行SRengLdr.exe→智能扫描→扫描

等扫描完成,保存日志(LOG格式)

此外,还要扫一份清理助手的日志上来

下载系统报告生成器
http://bbs.ikaka.com/attachment.aspx?attachmentid=455769

解压缩 =》生成报告(扫描后自动在桌面生成报告)  = 》上传

两份日志以附件上传

（点击我回的贴的右下角的“引用”或比较大的“回复”，然后就应该知道怎么以附件发了）

这个：O4 - HKLM\..\Run: [MPKrnl] ; rundll32 "C:\WINDOWS\MPKrnl.dll",KrnlMsgProc
还有：
O20 - AppInit_DLLs: 01AFE3DC.dll,HBmhly.dll
有问题吧？

晕,我也想扫SRENG日志,可是扫了七八次,每次扫十几分钟还没有扫完,没办法,用HijackThis 扫了.

这个病毒太厉害了！终于用SRENG扫好了.

将杀毒软件的主程序改名运行杀毒，然后在提供日志吧。如果是瑞星将x:\Program Files\Rising\Rav\rav.exe,改为123.exe等运行。

在这里http://bbs.ikaka.com/showtopic-8442813.aspx找到要用到的工具。
IFEO映像劫持批量清除的工具、XDelbox、ＳＲＥｎｇ２.７
１、首先断网！
２、使用XDelbox删除下列文件
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
C:\WINDOWS\System32\19b5406.sys
C:\WINDOWS\System32\5102a80.sys
C:\WINDOWS\System32\6457aed.sys
C:\WINDOWS\System32\9fd8db.sys
C:\WINDOWS\System32\b160485.sys
C:\WINDOWS\System32\b1a18a3e.sys
C:\WINDOWS\System32\b71fe93.sys
C:\WINDOWS\System32\c39e8db.sys
C:\WINDOWS\System32\ca99d57.sys
C:\WINDOWS\System32\d7b49fa.sys
C:\WINDOWS\System32\d812a079.sys
C:\WINDOWS\System32\drivers\eth8023.sys
C:\WINDOWS\System32\f28907d.sys
C:\WINDOWS\System32\System32\drivers\HBKernel32.sys
C:\WINDOWS\system32\01AFE3DC.dll
C:\WINDOWS\system32\HBmhly.dll
C:\WINDOWS\System32\DFB3DAC5.dll 
C:\WINDOWS\System32\DA63E650.dll 
C:\WINDOWS\System32\133AEAC9.dll 
C:\WINDOWS\System32\A1A6BC2E.dll
C:\WINDOWS\System32\5934EA2B.dll
C:\WINDOWS\System32\56BC86C7.dll 
Ｃ:\WINDOWS\System32\A55F538E.dll
C:\WINDOWS\System32\122B901E.dll
    C:\WINDOWS\System32\FFAE967F.dll
    C:\WINDOWS\System32\4D023DE9.dll
    C:\WINDOWS\System32\08223B03.dll
    C:\WINDOWS\System32\93DEE065.dll
    C:\WINDOWS\System32\E0D39066.dll
    C:\WINDOWS\System32\950D1600.dll
    C:\WINDOWS\System32\4FBFD5A4.dll
    C:\WINDOWS\System32\755D0ED0.dll
    C:\WINDOWS\System32\F8E07BB2.dll
    C:\WINDOWS\System32\D9C002DD.dll
    C:\WINDOWS\System32\201476D0.dll
    C:\WINDOWS\System32\1FD51F1F.dll
    C:\WINDOWS\System32\66AFCB56.dll
    C:\WINDOWS\System32\9CA963CA.dll
    C:\WINDOWS\System32\C8FFD223.dll
    C:\WINDOWS\System32\BA7EDF54.dll
    C:\WINDOWS\System32\2EF0D734.dll
　C:\WINDOWS\System32\B6E23E89.dll
C:\WINDOWS\System32\3D144530.dll
C:\WINDOWS\System32\29EA67E0.dll
３、重启后，用ＳＲｅｎｇ２.７删除以下：
启动项目 －－ 注册表之如下项删除（注意对话框，别点错了！）
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{DFB3DAC5-B0B5-4B05-BFCF-FB42737778FA}><DFB3DAC5.dll>  []
    <{DA63E650-537C-4042-87BB-9D19D844680B}><DA63E650.dll>  []
    <{133AEAC9-9C88-4905-864C-38BBA312D9B0}><133AEAC9.dll>  []
    <{A1A6BC2E-C6A1-43C1-8884-A31D772F42B8}><A1A6BC2E.dll>  []
    <{5934EA2B-B2C4-4BE7-BF7A-FBA781A12E40}><5934EA2B.dll>  []
    <{56BC86C7-0692-4F94-A2C1-6CF1DBF8096C}><56BC86C7.dll>  []
    <{A55F538E-9E65-4706-9458-852BF6592063}><A55F538E.dll>  []
    <{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><122B901E.dll>  []
    <{FFAE967F-D0FC-4D2B-A0F5-D1BF27F46418}><FFAE967F.dll>  []
    <{4D023DE9-F4B5-4BE0-99C6-7C7AD0CF5426}><4D023DE9.dll>  []
    <{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}><08223B03.dll>  []
    <{93DEE065-EC9B-4505-ADD3-19880AD3C38F}><93DEE065.dll>  []
    <{E0D39066-96D7-4891-8527-488ADAFCD60F}><E0D39066.dll>  []
    <{950D1600-DE4A-448D-93B4-7BAE5A7A8052}><950D1600.dll>  []
    <{4FBFD5A4-5FE8-4444-8BD9-FD0FAFA64F96}><4FBFD5A4.dll>  []
    <{755D0ED0-3996-4ADB-9B1F-AD8F0E9E4738}><755D0ED0.dll>  []
    <{F8E07BB2-7A19-4057-80F1-E14646E630B4}><F8E07BB2.dll>  []
    <{D9C002DD-EA51-43A2-9009-54EAAAF031A4}><D9C002DD.dll>  []
    <{201476D0-2B18-462E-AB9F-3E2B0CC8732B}><201476D0.dll>  []
    <{1FD51F1F-97E4-498C-AB12-93332EEAD266}><1FD51F1F.dll>  []
    <{66AFCB56-FAA9-42D2-8C72-2767A46C7FA8}><66AFCB56.dll>  []
    <{9CA963CA-107C-4089-B0AB-31380F90D7E3}><9CA963CA.dll>  []
    <{C8FFD223-C0FB-40C5-94A0-FD7891AC18E9}><C8FFD223.dll>  []
    <{BA7EDF54-8408-4B21-B351-7B447B344BA4}><BA7EDF54.dll>  []
    <{2EF0D734-21FD-4225-A1A2-BCD296182AAF}><2EF0D734.dll>  []
    <{29EA67E0-9EE5-4D1A-A056-5B7BDAC4CF97}><29EA67E0.dll>  []
    <{3D144530-43DA-47CC-B7C7-A3A9F3B9A6B2}><3D144530.dll>  []
    <{B6E23E89-C925-4BF7-92EB-77EFDF8C58A6}><B6E23E89.dll>  []
    <{01AFE3DC-2242-436E-9B44-6DD1C664E828}><01AFE3DC.dll>  []
启动项目 －－ 服务－－ 驱动程序之如下项删除
[19b5406 / 19b5406][Stopped/Manual Start]
  <\??\C:\WINDOWS\System32\19b5406.sys><N/A>
[5102a80 / 5102a80][Stopped/Manual Start]
  <\??\C:\WINDOWS\System32\5102a80.sys><N/A>
[6457aed / 6457aed][Stopped/Manual Start]
  <\??\C:\WINDOWS\System32\6457aed.sys><N/A>
[9fd8db / 9fd8db][Stopped/Manual Start]
  <\??\C:\WINDOWS\System32\9fd8db.sys><N/A>
[b160485 / b160485][Stopped/Manual Start]
  <\??\C:\WINDOWS\System32\b160485.sys><N/A>
[b1a18a3e / b1a18a3e][Stopped/Manual Start]
  <\??\C:\WINDOWS\System32\b1a18a3e.sys><N/A>
[b71fe93 / b71fe93][Stopped/Manual Start]
  <\??\C:\WINDOWS\System32\b71fe93.sys><N/A>
[c39e8db / c39e8db][Stopped/Manual Start]
  <\??\C:\WINDOWS\System32\c39e8db.sys><N/A>
[ca99d57 / ca99d57][Stopped/Manual Start]
  <\??\C:\WINDOWS\System32\ca99d57.sys><N/A>
[d7b49fa / d7b49fa][Stopped/Manual Start]
  <\??\C:\WINDOWS\System32\d7b49fa.sys><N/A>
[d812a079 / d812a079][Stopped/Manual Start]
  <\??\C:\WINDOWS\System32\d812a079.sys><N/A>
[eth8023 / eth8023][Running/Manual Start]
  <\SystemRoot\system32\drivers\eth8023.sys><N/A>
[f28907d / f28907d][Stopped/Manual Start]
  <\??\C:\WINDOWS\System32\f28907d.sys><N/A>
[HBKernel32 Driver / HBKernel32][Stopped/Boot Start]
  <\SystemRoot\System32\drivers\HBKernel32.sys><N/A>

注意[AppInit_DLLs]修改：把<01AFE3DC.dll,HBmhly.dll>修改为<>即清空
４、使用IFEO映像劫持批量清除的工具修复。
接着用其他安全辅助软件处理残局。
５、修复杀毒软件，重新全盘扫描。。

注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MPMKrnl><rundll32 "C:\WINDOWS\MKMKrnl.dll",KMainProc>  []
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
C:\WINDOWS\smss.exe
<3PMmUpdate><; rundll32 "C:\WINDOWS\Update.dll",Main>  [File is missing]
    <MPKrnl><; rundll32 "C:\WINDOWS\MPKrnl.dll",KrnlMsgProc>  []

进程 
    [C:\WINDOWS\Fonts\Framdee.ttf]  [N/A, ]
  [C:\WINDOWS\AppPatch\AcXtrnel.sdb]  [N/A, ]
    [C:\WINDOWS\AppPatch\AcSpecf.dll]  [N/A, ]

驱动
[GMSIPCI / GMSIPCI][Stopped/Manual Start]
  <\??\G:\INSTALL\GMSIPCI.SYS><N/A>
这些要不要处理一下？

打开注册表 搜索MPMKrnl  将其值删除即可
注意 不是MKMKrnl
其位置与360有关，估计是攻击360后被杀的结果

谢谢上面帮我回复的大哥!!
特别感谢猎豹一号!
我还没有实验,具体结果再向大家报告.