很多文件夹中都有Thumbs.db和Desktop.ini这两个隐藏文件，同时每个硬盘分区下面都有一个System Volume Information的隐藏文件夹，而且不能删除，只能通过“共享”“安全”修改用户权限才能删除，但是每次重起就又出来了。查了几次都没有发现病毒，大家想想办法呀

还有上次中了一大堆后门病毒，这些病毒文件把瑞星和防火墙都关闭了，杀毒之后这两天IE和腾讯的浏览器就都不能用了，一打开没两秒钟就自动关了，但是傲游浏览器可以用，不知道这是为什么，怎么解决，帮帮忙呀！！！

下面是我上传的这两个文件

另外，为什么开着防火墙和杀毒软件还中了这么多病毒呀，这都是什么呀？防火墙老是提示漏洞攻击

病毒名称                                                处理结果        发现日期        扫描方式        路径            文件            病毒来源       
Blaster Rpc Exploit                                    清除成功        05-08-28 21:30  实时监控                        \222.60.176.8:58897
MS-4011 Exploit                                        清除成功        05-08-28 21:32  实时监控                        \222.60.178.48:53253
Blaster Rpc Exploit                                    清除成功        05-08-28 21:36  实时监控                        \222.60.176.8:3334
Blaster Rpc Exploit                                    清除成功        05-08-28 21:40  实时监控                        \222.60.176.92:21253
Blaster Rpc Exploit                                    清除成功        05-08-28 21:43  实时监控                        \222.60.176.92:8460
Blaster Rpc Exploit                                    清除成功        05-08-28 21:54  实时监控                        \222.60.176.8:17413
MS-4011 Exploit                                        清除成功        05-08-28 21:55  实时监控                        \222.60.178.48:32006
Blaster Rpc Exploit                                    清除成功        05-08-28 22:17  实时监控                        \222.60.177.80:26384
Blaster Rpc Exploit                                    清除成功        05-08-28 22:22  实时监控                        \222.60.177.80:52484
Blaster Rpc Exploit                                    清除成功        05-08-28 22:29  实时监控                        \222.60.176.92:21262
Blaster Rpc Exploit                                    清除成功        05-08-28 22:32  实时监控                        \222.60.176.92:56845
MS-4011 Exploit                                        清除成功        05-08-28 22:49  实时监控                        \222.60.177.111:49421
Blaster Rpc Exploit                                    清除成功        05-08-28 23:09  实时监控                        \222.60.176.177:53510
Blaster Rpc Exploit                                    清除成功        05-08-28 23:09  实时监控                        \222.60.176.216:35602
Blaster Rpc Exploit                                    清除成功        05-08-28 23:11  实时监控                        \222.60.176.108:31756
Blaster Rpc Exploit                                    清除成功        05-08-28 23:14  实时监控                        \222.60.176.92:44298
Blaster Rpc Exploit                                    清除成功        05-08-28 23:18  实时监控                        \222.60.176.108:25358
Blaster Rpc Exploit                                    清除成功        05-08-28 23:19  实时监控                        \222.60.176.108:16
MS-4011 Exploit                                        清除成功        05-08-28 23:25  实时监控                        \222.60.176.209:8721
MS-4011 Exploit                                        清除成功        05-08-28 23:25  实时监控                        \222.60.176.216:41734
MS-4011 Exploit                                        清除成功        05-08-28 23:37  实时监控                        \222.60.176.92:6666
MS-4011 Exploit                                        清除成功        05-08-28 23:40  实时监控                        \222.60.176.92:40718
MS-4011 Exploit                                        清除成功        05-08-28 23:41  实时监控                        \222.60.176.177:1299
Blaster Rpc Exploit                                    清除成功        05-08-28 23:43  实时监控                        \222.60.177.54:8461
MS-4011 Exploit                                        清除成功        05-08-28 23:51  实时监控                        \222.60.176.92:35589
MS-4011 Exploit                                        清除成功        05-08-29 00:06  实时监控                        \222.60.176.177:9999
Blaster Rpc Exploit                                    清除成功        05-08-29 00:17  实时监控                        \222.60.176.142:9484
MS-4011 Exploit                                        清除成功        05-08-29 00:17  实时监控                        \222.60.176.177:53765
Blaster Rpc Exploit                                    清除成功        05-08-29 00:23  实时监控                        \222.60.176.92:7949
MS-4011 Exploit                                        清除成功        05-08-29 00:25  实时监控                        \222.60.176.142:22035
MS-4011 Exploit                                        清除成功        05-08-29 00:27  实时监控                        \222.60.176.177:15112

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      1:12:23, 日期 2005-8-29
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
d:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\conime.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\rundll32.exe
D:\Program Files\Ringz Studio\Storm Downloader\StormDownloader.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~2\FASTDE~1\FAST2.EXE
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
d:\program files\rising\rfw\RfwMain.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopOE.exe
D:\Program Files\Maxthon\Maxthon.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
c:\program files\rising\rav\RAVMON.EXE
c:\program files\rising\rav\RAVTIMER.EXE
c:\program files\rising\rav\Rav.exe
d:\Program Files\Thunder Network\Thunder\Thunder.exe
C:\Program Files\HijackThis1991汉化版\HijackThis1991zww.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v8.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\kakatool.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~2\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [SyGateManager] d:\Program Files\SyGate\SHN\Sygate.exe
O4 - 启动项HKLM\\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~2\3721\helper.dll,Rundll32
O4 - 启动项HKLM\\Run: [MINI_BFYY] D:\Program Files\Ringz Studio\Storm Downloader\StormDownloader.exe
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~2\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~2\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\RunOnce: [C:\PROGRA~2\3721\alrex.dll] regsvr32 /s C:\PROGRA~2\3721\alrex.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [FAST Defrag] C:\PROGRA~2\FASTDE~1\FAST2.EXE -tray
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [Ntcheck] C:\WINDOWS\mapserver.exe
O4 - 启动项HKCU\\RunOnce: [!Google Desktop Search] C:\Program Files\Google\Google Desktop Search\GoogleDesktopUpdate.exe
O8 - IE右键菜单中的新增项目: !搜一搜(&S) - res://C:\Program Files\YiSou\yisou.dll/232
O8 - IE右键菜单中的新增项目: &使用暴风下载器下载 - D:\Program Files\Ringz Studio\Storm Downloader\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - d:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - d:\Program Files\Thunder Network\Thunder\getAllurl.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 导出当前页到超星阅览器(&A) - d:\Program Files\SSREADER36\ss_all.htm
O8 - IE右键菜单中的新增项目: 导出选中部分到超星阅览器(&S) - d:\Program Files\SSREADER36\ss_select.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O8 - IE右键菜单中的新增项目: 百度-搜索MP3 - res://C:\Program Files\baidu\bar\BaiduBar.dll/BAIDUMP3.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索图片 - res://C:\Program Files\baidu\bar\BaiduBar.dll/BAIDUIMG.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索新闻 - res://C:\Program Files\baidu\bar\BaiduBar.dll/BAIDUNEWS.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索歌词 - res://C:\Program Files\baidu\bar\BaiduBar.dll/BAIDULYRIC.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索网页 - res://C:\Program Files\baidu\bar\BaiduBar.dll/BAIDUSEARCH.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索贴吧 - res://C:\Program Files\baidu\bar\BaiduBar.dll/BAIDUPOST.HTM
O8 - IE右键菜单中的新增项目: 百度-词典搜索 - res://C:\Program Files\baidu\bar\BaiduBar.dll/BAIDU_DIC.HTM
O8 - IE右键菜单中的新增项目: 豪杰超级解霸V8实时播放 - d:\Herosoft\HeroV8\MPURLGET.HTM
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {0400AC1C-EEF0-4638-A501-31D5A0DC2002} (VTPlug3 Class) - http://61.152.96.12:1995/VTrans.cab
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - http://grs.zju.edu.cn/resource/scriptx/ScriptX.cab
O16 - DPF: {40CFEA79-ED5B-4B2B-8B8D-B567E40AF812} (sslclientnew Control) - file://E:\zzflash1.4\sslclientnew.cab
O16 - DPF: {D0A29C6C-AA71-4423-8C4A-5998B774C448} (IEDown Class) - http://download.ourgame.com/IEDown4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{32615F92-6AAA-4A96-921E-82A807EFEEB9}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{714AE5FA-A959-4537-B57C-C0AD98D39077}: NameServer = 211.98.192.3 61.233.75.3
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~2\MSNMES~1\msgrapp.dll" (file missing)
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - NT 服务: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - d:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - NT 服务: LAN Client (UnrealIRCd) - none - C:\WINDOWS\System32\Wun\lsass.exe

是病毒吗？

呵呵，刚上网查了查，来个自问自答

莫把好人当坏蛋－－－ 谈谈特殊的系统目录和文件


    有些用户在电脑出现一些异常情况时便开始检查自己的电脑，在检查的过程中往往会发现一些隐藏的目录，他们便会认为这些隐藏目录是病毒留下的，就说是中了毒，其实这是不对的。现在的操作系统，尤其是XP系统，会在硬盘中建立大量的系统文件或系统目录，这些由于平时是隐藏的，因此用户并不在意，但是一旦用户对自己的电脑起了疑心，便开始查看硬盘上的隐藏目录
或文件，这时这些正常的系统目录或文件便显现出来，从而吓坏了用户，因此，有必要对一些系统目录和文件进行解释，以使用户能有一个正确对待自己电脑的态度。

    比如说，有时候用户突然发现自己的系统盘下面产生了大量如found000.***的隐藏目录，该目录下面会有大量*.chk的文件，不了解的用户还以为是中了某种病毒，其实呢，这些目录和文件是系统的磁盘扫描程序自动生成的。当用户不小心进行了非法关机或重启，操作系统本身为了保证自己的完整性，于是便进行磁盘扫描以试图修复错误，当发现有错误时，便会将这些错误存在*.CHK的文件，并放在found000.***之类的目录里，其实，当用户发现这些文件和目录时，则证明磁盘错误已经修复，是可以直接将这些目录和文件删除的。

    还有一些用户反映，自从中了“爱情后门(lovegate)”及其变种病毒，每个硬盘根目录下都出现隐藏文件夹“System Volume Information”，该文件夹里会有“_restore{9FA3FCA7-9064-4228-BF7D-A9D064023869}”这样的目录，于是就很担心，怕是病毒引起的。其实不然，该目录是XP操作系统“系统还原”功能产生的，当XP用户将“系统还原”功能打开时，系统便自动建立该目录，然后将一些重要的信息备份在该目录中，当用户选择恢复时，系统就会从该目录中将关键数据恢复出来，如果用户觉得系统还原功能太浪费硬盘空间，则可以关闭该功能（单击“我的电脑”右键，在其中选择属性，然后选择“系统还原”页面，在该页面中选择“在所有驱动器上关闭系统还原”），当该功能关闭时，用户就可以直接删除该目录来释放该功能所占用的硬盘空间，不过如果用户的硬盘很大的情况下，我建议用户还是打开系统还原功能。

    还有就是“RECYCLER”目录，很多用户已经知道了它的作用，因为它有一个很容易辩认的图标，对了，它就是回收站，关于它，还有一点，就是用户不要光看图标，即使它的好看的图标被换成了普遍文件夹的图标，也会完成回收站的功能的，如果用户桌面的回收站图标不见了，用户则可以直接打开各个分区下的“RECYCLER”文件夹直接来对回收站进行相关操作。

    如果我们经常建立新的文件夹，就会经常在文件夹里发现Thumbs.db和Desktop.ini这两个文件，其实这两个文件都是系统产生的正常文件。Thumbs.db是查看缩略图所产生的缓存文件，目录中存在的图形越多，该文件就会越大，而Desktop.ini文件则是文件夹风格配置文件，如果用户配置一些个性文件夹，则就会自动产生该文件，不过，象“红色结束符”病毒会修改该文件，如果用户的目录中同时出现Desktop.ini和folder.htt两个文件，则就不是正常的了。

    象这些知识，我们只能在平时的时候注意积累，这样才能更好地使用电脑。

这个是C:\WINDOWS\System32\Wun\lsass.exe
另外那个C:\WINDOWS\mapserver.exe找不到了。