引用:

【hhhyaoyao的贴子】Ati2evxx.exe  是个什么东西？ ...........................

ati2evxx.exe (6.14.10.4091)
包含在软件
名字: Windows XP Home Edition, Deutsch
执照: 商业
信息链接: http://www.microsoft.com/windowsxp/
文件细节
文件道路: C:\WINDOWS\system32 \ ati2evxx.exe
文件日期: 2004-01-27 15:16:54
版本: 6.14.10.4091
文件大小: 385.024 字节
检查和和文件hashes
CRC32: 47EB313D
MD5: 5587 760B DFD2 A906 C9A1 BBA3 229F C168
SHA1: 1183 1293 8502 059F 1275 968E 1335 A5A6 00B9 1FE5
版本资源信息
公司名称: ATI Technologies Inc.
文件描述: ATI External Event Utility EXE Module
文件操作系统: 16-bit Windows running with MS-DOS
文件类型: Dynamic Link Library (DLL)
文件子型: 2
文件版本: 6.14.10.4091
内部名: ATI2EVXX.EXE
法律版权: Copyright ? 1999-2002 ATI Technologies Inc.
原始的文件名: ATI2EVXX.EXE
产品名称: ATI External Event Utility for WindowsNT and Windows9X
产品版本: 6.14.10.4091


引自：http://www.cn.filename.info/f/ati2evxx.exe.html

引用:

【我是小龙的贴子】svchost这种文件到底是什么呢？？ ...........................

请参考：

安全防范:去伪存真详细分析Svchost.exe进程[图] - 瑞星反病毒资讯网
http://it.rising.com.cn/newSite/Channels/Anti_Virus/Antivirus_Base/Antivirus_Tech/200408/19-095616499.htm

引用:

【兰色骆驼的贴子】哪位大虾帮我看看，我杀了一晚上，老是会有mc22.tmp病毒从C:\Documents and Settings\Rainbow\Local Settings\Temp　的目录下出现，我发扫描日志，帮我看看啊~~急死我了!! HijackThis_815汉化版扫描日志 V1.99.1 保存于      4:43:30, 日期 2006-1-6 操作系统：  Windows XP SP1 (WinNT 5.01.2600) 浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106) ...........................

以下修复中的操作可参考:
http://forum.ikaka.com/topic.asp?board=28&artid=7422438&page=9
第125楼里的有关链接

重新启动到安全模式


如果使用了系统还原功能, 请先关闭此功能。

清空IE临时文件夹


把下面这个路径

C:\Documents and Settings\Rainbow\Local Settings\Temp

复制／粘贴到WinRAR的地址栏，按回车。

尽可能地把里面的文件和文件夹都删除掉。


可能你使用的某个软件中绑有灰鸽子，请观察看看。

引用:

【shiyev8的贴子】我中了郁闷  帮忙啊 HijackThis_zww汉化版扫描日志 V1.99.1 保存于 11:09:07, 日期 2006-1-6 操作系统： Windows XP SP1 (WinNT 5.01.2600) 浏览器： Internet Explorer v6.00 SP1 (6.00.2800.1106) 当前运行的进程： ...........................

以下修复中的操作可参考:
http://forum.ikaka.com/topic.asp?board=28&artid=7422438&page=9
第125楼里的有关链接

重新启动到安全模式

停止并禁用服务：Fast User Switching Client (IPv6 Windows Firewall Client)

卸载：MMSAssist、stdup、完美网译通

如果使用了系统还原功能, 请先关闭此功能。


设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

寻找如下文件:

C:\WINDOWS\system32\updata.exe
C:\WINDOWS\system32\updata.dll
C:\WINDOWS\system32\updata_dll.dll
C:\WINDOWS\system32\updata_key.dll
C:\WINDOWS\system32\updata_hook.dll


先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

删除文件：C:\WINDOWS\SYSTEM32\stdup.dll

删除文件夹：
C:\WINDOWS\WORLD2
C:\PROGRA~1\MMSASS~1

关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：


R3 - 默认的URLSearchHook丢失。用HijackThis修复

F2 - REG:system.ini: UserInit=userinit.exe,

O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll

O3 - IE工具栏增项: 完美网译通 - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - C:\WINDOWS\WORLD2\TOOLBAR\hmtoolbar.dll

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - IE右键菜单中的新增项目: >> 彩信发送 << - res://C:\PROGRA~1\MMSASS~1\MMSASS~2.DLL/mms.htm


O23 - NT 服务: Fast User Switching Client (IPv6 Windows Firewall Client) - Unknown owner - C:\WINDOWS\system32\updata.exe



清空IE临时文件夹

引用:

【eomomo的贴子】我中了什么鸟鸽子毒，想高手求救啊，帮个忙吧，快晕歇菜了 HijackThis_zww汉化版扫描日志 V1.99.1 保存于      17:13:33, 日期 2006-1-6 操作系统：  Windows XP SP2 (WinNT 5.01.2600) 浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180) ...........................

建议卸载：3721上网助手、百度超级搜霸

关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\Program Files\BAIDU\BAR\BAIDUBAR.DLL

O3 - IE工具栏增项: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - IE工具栏增项: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\Program Files\BAIDU\BAR\BAIDUBAR.DLL


O9 - 浏览器额外的按钮: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)

O9 - 浏览器额外的“工具”菜单项: 易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)

清空IE临时文件夹

另外，现在很多游戏外挂都是绑有木马的，最好不要使用。

请把杀毒软件的杀毒日志导出来，方便大家讨论分析。

引用:

【唧唧gsl的贴子】HijackThis_zww汉化版扫描日志 V1.99.1 ...........................

建议卸载：DuDu、3721上网助手、百度超级搜霸、HBClient

如果使用了系统还原功能, 请先关闭此功能。


设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

O2 - BHO: DuDu.com - {6BDE1669-B490-48E3-B668-456314F2D6C3} - C:\Program Files\DuDu\DddClient\dddiemon.dll

O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\baidubar.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O2 - BHO: HBObject Class - {AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1} - C:\PROGRA~1\HBClient\tbhelper.dll

O3 - IE工具栏增项: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\PROGRA~1\baidu\bar\baidubar.dll


O4 - 启动项HKLM\\Run: [RichMedia] C:\WINDOWS\system32\Rundll32.exe "C:\PROGRA~1\HBClient\tbhelper.dll",WaitWindows

O8 - IE右键菜单中的新增项目: &使用DuDu 加速器下载 - res://C:\Program Files\DuDu\DddClient\dddmext.dll/202

O8 - IE右键菜单中的新增项目: &使用DuDu 加速器下载全部链接 - res://C:\Program Files\DuDu\DddClient\dddmext.dll/203

O8 - IE右键菜单中的新增项目: 加入POCO网摘(&K) - http://my.poco.cn/fav/rightClick.php

O8 - IE右键菜单中的新增项目: 我的POCO网摘(&O) - http://my.poco.cn/fav/open_myfav.php

O8 - IE右键菜单中的新增项目: 百度-搜索MP3 - res://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDUMP3.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索图片 - res://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDUIMG.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索新闻 - res://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDUNEWS.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索歌词 - res://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDULYRIC.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索网页 - res://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDUSEARCH.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索贴吧 - res://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDUPOST.HTM
O8 - IE右键菜单中的新增项目: 百度-词典搜索 - res://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDU_DIC.HTM

O9 - 浏览器额外的按钮: 下载管理 - {3DB9F45E-AA74-4373-A466-C18A9F1C500D} - C:\Program Files\DuDu\DddClient\DuDuAcc.exe

O9 - 浏览器额外的“工具”菜单项: 下载管理 - {3DB9F45E-AA74-4373-A466-C18A9F1C500D} - C:\Program Files\DuDu\DddClient\DuDuAcc.exe

O9 - 浏览器额外的按钮: JUJU猫 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.jujumao.net (file missing)


清空IE临时文件夹

引用:

请帮我一下,我有两项是missing的啊，为什么呢/因为我有删除一些鸽子，就不知道这样还有病毒吗？我现在用瑞星都找不到了病毒了？ O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)

这是ATI显卡的文件，建议重新安装显卡驱动程序看看。

引用:

O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Unknown owner - F:\RISING\RAV\CCENTER.EXE (file missing)

这是瑞星的文件，建议修复安装瑞星看看。

引用:

【在海里游泳的牛的贴子】 每次用瑞星都可以找到，每次都表示已清除，或者是重新启动删除，可是都不行啊． 每次都是在这里,c:windows filesys.hook.dll大侠救命啊～～～ ...........................

请到安全模式下，关闭系统还原功能，再用瑞星全面查杀看看。

有关操作方法可参考：
【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html

如果问题还不能解决，请把瑞星的杀毒记录导出，并用HijackThis扫描log，一起贴上来，方便大家分析讨论。

引用:

【diacaren的贴子】我刚才扫的,请高手帮我分析一下! ...........................

以下修复中的操作可参考:
【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html

重新启动到安全模式

停止并禁用服务：Gray_Pigeon_Server2.0 (GrayPigeonServer2.0)

如果使用了系统还原功能, 请先关闭此功能。


设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

寻找如下文件:

C:\WINDOWS\G_Server2.0.exe
C:\WINDOWS\G_Server2.0.dll
C:\WINDOWS\G_Server2.0_dll.dll
C:\WINDOWS\G_Server2.0_key.dll
C:\WINDOWS\G_Server2.0_hook.dll


先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

另外，请参考你电脑中的杀毒软件的杀毒记录，检查其中报告的病毒文件是否都清除了。

关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yphtb.dll (file missing)

O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL (file missing)


O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O23 - Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:\WINDOWS\G_Server2.0.exe



清空IE临时文件夹

引用:

【偶然奇遇的贴子】D:\DOCUME~1\偶然奇遇\LOCALS~1\Temp 这里面有两个文件删不下去. 不过我谢谢你.为了这个病毒我重新做了系统,依旧存在,是接头篮球的问题. 所谓的重新启动计算机到安全模式是什么意思?是不是就是重新启动呀?怎么才能到安全模式呀? ...........................

既然确定是街头篮球有问题，那就别安装和玩这个游戏了，或者另外找个安装盘罢。
D:\DOCUME~1\偶然奇遇\LOCALS~1\Temp
里的一些文件在一般模式下是删不了的。需要到安全模式下删除。

以下修复中的操作可参考:
【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html

重新启动到安全模式

停止并禁用服务：Gray_Pigeon_Server2.0 (GrayPigeonServer2.0)


卸载：DuDu、3721上网助手

如果使用了系统还原功能, 请先关闭此功能。


关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：


O2 - BHO: MEobjectSDT - {4136C3F6-7636-49bf-A122-D4DA53B1ADDF} - D:\WINDOWS\system32\meobjsdt.dll (file missing)

O2 - BHO: DuDu.com - {6BDE1669-B490-48E3-B668-456314F2D6C3} - D:\Program Files\DuDu\DddClient\dddiemon.dll

O4 - Global Startup: DuDu下载加速器.lnk = D:\Program Files\DuDu\DDDClient\DuDuAcc.exe

O9 - 浏览器额外的按钮: 下载管理 - {3DB9F45E-AA74-4373-A466-C18A9F1C500D} - D:\Program Files\DuDu\DddClient\DuDuAcc.exe

O9 - 浏览器额外的“工具”菜单项: 下载管理 - {3DB9F45E-AA74-4373-A466-C18A9F1C500D} - D:\Program Files\DuDu\DddClient\DuDuAcc.exe

O9 - 浏览器额外的按钮: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://adtaobao.allyes.com/main/adfclick?db=adtaobao&bid=138,140,18&cid=816,8,1&sid=5042&show=ignore&url=?allyesPara=816 (file missing)

O9 - 浏览器额外的按钮: 易趣购物 - {DE607143-AC19-423e-865A-5D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)

O9 - 浏览器额外的“工具”菜单项: 易趣购物 - {DE607143-AC19-423e-865A-5D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)


清空IE临时文件夹

引用:

【liuxingzaia的贴子】那位老大帮我看看病毒在那里 HijackThis@Qoo的扫描日志  V1.97.7 Scan saved at 12:41:01, on 2006-1-7 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) ...........................

以下修复中的操作可参考:
【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html

重新启动到安全模式


卸载：百度搜霸

如果使用了系统还原功能, 请先关闭此功能。


设置系统显示所有文件和文件夹,不隐藏已知文件类型扩展名

寻找如下文件:

C:\DOCUME~1\user\LOCALS~1\Temp\RarSFX1\DownLoadPig.exe


先用压缩软件（如WinRAR, WinZIP）打包备份，再把原文件删除。并在全部修复工作完成后，请把打包备份的文件发到endurer@163.com。

删除文件夹：C:\PROGRA~1\baidu

关闭所有文件夹和浏览器窗口，用HijackThis修复下列项目：

O2 - BHO: (no name) - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\baidubar.dll

O4 - HKLM\..\Run: [PigUpdate] C:\DOCUME~1\user\LOCALS~1\Temp\RarSFX1\DownLoadPig.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (


清空IE临时文件夹


你使用的HijackThis版本太低了。

如果问题还不能解决，请使用HijackThis 1.99.1扫描log发上来。

HijackThis 1.99.1 可以到

http://endurer.ys168.com

的tools\系统分析和修复 中下载。