我家的机器不知道怎么回事，
刚才8点的时候我决的机器有点卡，我重起了机器
发现防火墙，瑞星杀毒都不自动打开，双击瑞星能打开，防火墙就不行了
HijackThis_815汉化版扫描日志
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
F:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\racer-henan-cnc\racer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\racer-henan-cnc\RacerKp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
F:\Program Files\Rising\Rav\Rav.exe
F:\Program Files\Thunder Network\Thunder\Program\Thunder5.exe
C:\Program Files\Windows NT\Accessories\WORDPAD.EXE
F:\INS\HijackThis1991zww.exe
F2 - REG:system.ini: Shell=Explorer.exe 1
O1 - Hosts: 219.153.18.212 www.917ww.com
O1 - Hosts: 219.153.18.212 www.8qwsf.com
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - f:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_002.dll
O2 - BHO: BHelper Class - {F2E37336-BFDB-409B-8D0E-6F013C438B20} - C:\WINDOWS\system\399od290.dll
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - 启动项HKLM\\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - 启动项HKLM\\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - 启动项HKLM\\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - 启动项HKLM\\Run: [RavTask] "F:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [RfwMain] "f:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [Thunder] "f:\Program Files\Thunder Network\Thunder\Thunder.exe" /s
O4 - 启动项HKLM\\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: IE-Bar.lnk = C:\Program Files\Common Files\IE-Bar\iebar.exe
O4 - Global Startup: 河南网通宽带用户客户端.lnk = C:\Program Files\racer-henan-cnc\racer.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - f:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - f:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A}? - D:\Program Files\浩方对战平台\GameClient.exe
O21 - SSODL: DelayRun - {5A6F2F95-3191-433B-8533-EB0B596A7BAC} - C:\WINDOWS\system\399dd290.dll
O23 - NT 服务: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - f:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Unknown owner - f:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - F:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - F:\Program Files\Rising\Rav\Ravmond.exe

修复
O1 - Hosts: 219.153.18.212 www.917ww.com
O1 - Hosts: 219.153.18.212 www.8qwsf.com
O21 - SSODL: DelayRun - {5A6F2F95-3191-433B-8533-EB0B596A7BAC} - C:\WINDOWS\system\399dd290.dll

另外
参见http://forum.ikaka.com/topic.asp?board=28&artid=7495863
http://forum.ikaka.com/topic.asp?board=28&artid=7624866

下载超级兔子
运行它的清理王卸载流氓软件
http://www.pctutu.com/srmsdown.asp

【回复“你好芙蓉姐夫”的帖子】
如果可能，请将C:\WINDOWS\WINLOGON.EXE用WINRAR打包，加密（解压密码用virus），发到：baohelin@yahoo.com.cn。帮你看看它是怎么个变种。

http://forum.ikaka.com/topic.asp?board=28&artid=7624866
3/删除下列文件:

C:\WINDOWS\1.com
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\explorer.com
C:\WINDOWS\finder.com
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\Debug\DebugProgram.exe
C:\Program Files\Common Files\iexplore.pif
C:\Program Files\Internet Explorer\iexplore.com
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\rundll32.com
D:\autorun.inf
D:\pagefile.pif

但我机器上
ExERoute.exe 找不到
explorer.com 找不到
finder.com  找不到
iexplore.pif 找不到
iexplore.com 找不到 我的那个是打写的
command.pif  找不到
dxdiag.com  找不到
MSCONFIG.COM 找不到
regedit.com  找不到
rundll32.com 机器上的是rundll32.exe
D:\autorun.inf 找不到
这是我用WINDOS搜索程序找的

我现在能找到的就个
C:\WINDOWS\1.com
D:\pagefile.pif
C:\WINDOWS\Debug\DebugProgram.exe
要不我怎么说是变种呢

【回复“你好芙蓉姐夫”的帖子】
请将C:\WINDOWS\1.com用WINRAR打包，加密（解压密码用virus），发到：baohelin@yahoo.com.cn。帮你看看

另外1楼
O1 - Hosts: 219.153.18.212 www.917ww.com
O1 - Hosts: 219.153.18.212 www.8qwsf.com
是我砍传奇弄及时雨，弄出的东东。
修复了，他又加上了，郁闷，有没有一次清除的办法？

【回复“你好芙蓉姐夫”的帖子】
收到你发来的样本1.com。
用它感染系统后，跟原来的一样。
查杀方法完全可以套用下面帖子的内容：http://forum.ikaka.com/topic.asp?board=28&artid=8120835

哈哈  我知道 楼主和我一样的 楼主  你要点击 我的电脑--工具--文件夹选项  在那面把 隐藏收保护的系统文件<推荐> 前面的勾给去了 应用-  确定  再来找 就行了 还有 猫叔 那不是变种  和我中的是一样的 我觉得大概是有人在你研究的那龙心上的更进一步  大概就是这样吧  楼主 加油杀哦 我就是最初不知道这点  害的去格式了硬盘``