我中了最新的我的照片的病毒后，升级到最新版17.47，但是杀毒后，监控程序启动不了。

下面是我的历史纪录！

病毒名称    处理结果    发现日期    扫描方式    路径    文件    病毒来源
Trojan.PSW.QQRobber.bk    删除成功    05-09-28 14:27    手动扫描    C:\WINNT\system32    NTdhcp.exe    本机
Trojan.PSW.QQRobber.bk    删除成功    05-09-28 14:29    手动扫描    C:\Documents and Settings\rjt\My Documents    点击查看同学录.exe    本机
Trojan.PSW.QQRobber.bk    删除成功    05-09-28 14:32    手动扫描    C:\Documents and Settings\rjt\My Documents    点击查看同学录.rar>>点击查看同学录.exe    本机
Trojan.PSW.QQRobber.bk    删除成功    05-10-03 15:21    实时监控    C:\DOCUME~1\rjt\LOCALS~1\Temp    小颖照片74.scr    本机
Trojan.PSW.QQRobber.bk    删除成功    05-10-03 17:19    实时监控    C:\DOCUME~1\rjt\LOCALS~1\Temp    Q币卡号密码查收.scr    本机
Backdoor.GPigeon.tr    清除成功    05-10-03 17:23    手动扫描        IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE    本机
Backdoor.GPigeon.tr    清除成功    05-10-03 17:35    手动扫描        IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE    本机
Backdoor.GPigeon.tr    清除成功    05-10-03 17:46    手动扫描        IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE    本机
´²Ø/7)¶’Nbbs.ikaka.com-+‡ D{ì

【回复“游侠”的帖子】

请教斑竹，怎么让瑞星监控启动不了，
重起也不行，注册表里把ntdhcp.exe的启动键值
删除了还是没用，就是启动不了绿伞！
急！！！
帮我！
谢谢！
´²Ø/7)¶’Nbbs.ikaka.com-+‡ D{ì

这是我用HI扫描后的记录，帮我分析一下啊，谢谢：

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      10:41:09, 日期 2005-10-4
操作系统：  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\msdtc.exe
C:\WINNT\system32\cisvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\system32\mqsvc.exe
C:\WINNT\Explorer.EXE
c:\program files\rising\rfw\RfwMain.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\WINNT\system32\internat.exe
C:\Program Files\rising\rav\RavMon.exe
C:\WINNT\system32\mdm.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Tencent\qq\QQ.exe
D:\Program Files\Tencent\qq\TIMPlatform.exe
C:\WINNT\system32\cidaemon.exe
C:\WINNT\system32\cidaemon.exe
C:\Program Files\FlashGet\flashget.exe
C:\WINNT\regedit.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\rjt\LOCALS~1\Temp\Rar$EX00.594\HijackThis1991zww.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [hbpassport] C:\Program Files\HBClient\hbast.exe
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - Startup: 瑞星监控中心.lnk = C:\Program Files\rising\rav\RavMon.exe
O4 - Startup: 电信宽带.lnk = ?
O8 - IE右键菜单中的新增项目: 使用影音传送带下载 - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - IE右键菜单中的新增项目: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - IE右键菜单中的新增项目: 使用搜狗直通车下载 - C:\PROGRA~1\P4P\dl.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\qq\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\qq\SendMMS.htm
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - 浏览器额外的按钮: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - 浏览器额外的“工具”菜单项: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C3712D0-1019-40B4-A98A-158474E3FCEA}: NameServer = 202.103.0.117 202.103.44.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C3712D0-1019-40B4-A98A-158474E3FCEA}: NameServer = 202.103.0.117 202.103.44.5
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - NT 服务: qq - Unknown owner - C:\WINNT\qq.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe

´²Ø/7)¶’Nbbs.ikaka.com-+‡ D{ì

【回复“游侠”的帖子】

每次启动查毒都能杀到这只灰鸽子，
但是绿伞启动不了´²Ø/7)¶’Nbbs.ikaka.com-+‡ D{ì

看看病毒有没有给你修改过注册表´²Ø/7)¶’Nbbs.ikaka.com-+‡ D{ì

启动项报告：      2005-10-4, 11:16:27
启动项扫描器版本： 1.52.2
开始于：      C:\DOCUME~1\rjt\LOCALS~1\Temp\Rar$EX00.188\HijackThis1991zww.EXE
系统检测：    Windows 2000 SP4 (WinNT 5.00.2195)
系统检测：    Internet Explorer v6.00 SP1 (6.00.2800.1106)
* 使用默认选项             
* 选择“列出主要的部分(标准)”方式               
==================================================

当前运行的进程：         

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\msdtc.exe
C:\WINNT\system32\cisvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\system32\mqsvc.exe
C:\WINNT\Explorer.EXE
c:\program files\rising\rfw\RfwMain.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\WINNT\system32\internat.exe
C:\Program Files\rising\rav\RavMon.exe
C:\WINNT\system32\mdm.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Tencent\qq\QQ.exe
D:\Program Files\Tencent\qq\TIMPlatform.exe
C:\WINNT\system32\cidaemon.exe
C:\WINNT\system32\cidaemon.exe
D:\Program Files\Tencent\qq\QQ.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\rjt\LOCALS~1\Temp\Rar$EX00.188\HijackThis1991zww.exe

--------------------------------------------------

文件夹中的启动项                 

Shell folders Startup:
[C:\Documents and Settings\rjt\「开始」菜单\程序\启动]
瑞星监控中心.lnk = C:\Program Files\rising\rav\RavMon.exe
电信宽带.lnk = ?

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,

--------------------------------------------------

注册表中的启动项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Synchronization Manager = mobsync.exe /logon
NvCplDaemon = RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
RfwMain = "C:\Program Files\rising\Rfw\rfwmain.exe" -Startup
hbpassport = C:\Program Files\HBClient\hbast.exe
RavTimer = C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
RavMon = C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM

--------------------------------------------------

注册表中的启动项:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Internat.exe = internat.exe

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINNT\system32\setup\wmpocm.exe /ShowWMP

[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = "%SystemRoot%\system32\shmgrate.exe" OCInstallUserConfigIE

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = "%SystemRoot%\system32\shmgrate.exe" OCInstallUserConfigOE

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{6A5110B5-E14B-4268-A065-EF89FF33C325}] *
StubPath = regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe

[{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}] *
StubPath = %SystemRoot%\system32\updcrl.exe -e -u %SystemRoot%\system32\verisignpub1.crl

--------------------------------------------------

Load/Run keys from C:\WINNT\WIN.INI:

load=* 未找到INI相关项目值 *       
run=* 未找到INI相关项目值 *       

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=* 未找到相关注册表键值 *           
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=* 未找到相关注册表键值 *           
HKLM\..\Windows\CurrentVersion\WinLogon: load=* 未找到相关注册表键值 *         
HKLM\..\Windows\CurrentVersion\WinLogon: run=* 未找到相关注册表键值 *         
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=* 未找到相关注册表键值 *           
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=* 未找到相关注册表键值 *           
HKCU\..\Windows\CurrentVersion\WinLogon: load=* 未找到相关注册表键值 *         
HKCU\..\Windows\CurrentVersion\WinLogon: run=* 未找到相关注册表键值 *         
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=* 未找到相关注册表键值 *           
HKLM\..\Windows NT\CurrentVersion\Windows: load=* 未找到相关注册表键值 *           
HKLM\..\Windows NT\CurrentVersion\Windows: run=* 未找到相关注册表键值 *           
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=* 未找到相关注册表键值 *||||||||||||

--------------------------------------------------

外壳扩展和屏幕保护程序的键值  从            C:\WINNT\SYSTEM.INI:

Shell=* 未找到INI相关项目值 *       
SCRNSAVE.EXE=* 未找到INI相关项目值 *       
drivers=* 未找到INI相关项目值 *       

外壳扩展和屏幕保护程序的键值  从  注册表             

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINNT\system32\ssbezier.scr
drivers=* 未找到相关注册表键值 *           

Policies Shell key:

HKCU\..\Policies: Shell=* 未找到相关注册表键值 *         
HKLM\..\Policies: Shell=* 未找到相关注册表键值 *           

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINNT\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINNT\Explorer\Explorer.exe: not present
C:\WINNT\System\Explorer.exe: not present
C:\WINNT\System32\Explorer.exe: not present
C:\WINNT\Command\Explorer.exe: not present
C:\WINNT\Fonts\Explorer.exe: not present

--------------------------------------------------
´²Ø/7)¶’Nbbs.ikaka.com-+‡ D{ì

用注册表修复工具试试´²Ø/7)¶’Nbbs.ikaka.com-+‡ D{ì

【回复“旋涡≮鸣人”的帖子】

没用啊
灰鸽子好厉害啊！
怎么才能彻底打败他，再启动绿伞呢？´²Ø/7)¶’Nbbs.ikaka.com-+‡ D{ì