无忧启动论坛

标题: 如何删除c:\windows\smss.exe病毒程序? [打印本页]

---

作者: vipnai    时间: 2006-4-22 21:52
标题: 如何删除c:\windows\smss.exe病毒程序?
各位大侠朋友：可恶的c:\windows\smss.exe病毒程序,和它一起还有“shell和1”。在安全模式下，结束smss.exe进程，可以删除，注册表项也可以删除，可是只要启动某个（任何）程序它们就自动生成并运行。请大侠朋友帮忙出出主意我如何彻底删除它们？还有我的电脑从“开始、运行中键入msconfig”电脑没反映，看不到启动项和服务项，键入regedit能打开注册表，这是否和它们有关？谢谢

---

作者: 6618    时间: 2006-4-23 10:04
标题: 如何删除c:\windows\smss.exe病毒程序?
中了SMSS魔兽木马,各位被盗号滴兄弟们，为了避免再中毒，我找了两个办法综合了一下：
中毒的朋友会有一个统一的症状：在进程里会多出一个SMSS(正常的是一个，内存占用400K左右)，这是魔兽木马，虽然是个小木马，但查杀起来也较为费工夫，具体步骤如下：
（在病毒文件没有删除之前所做的一些操作可能会调用激活病毒程序，所以在以下1和2步之间请尽量不要做多余的其它操作。顺利地删除病毒文件需要一点点技巧，在处理过程中慢慢体会吧。。。）
先进入安全模式~
1. 结束病毒的进程%\Windows\smss.exe（隐藏文件，把那个隐藏受保护的操作系统文件的勾点掉就能看到）
2. 删除相关文件：
C:\MSCONFIG.SYS
windows\1.com
windows\ExERoute.exe
windows\explorer.com
windows\finder.com
windows\smss.exe
windows\Debug\DebugProgram.exe
windows\command.pif
windows\dxdiag.com
system32\finder.com
system32\MSCONFIG.COM
system32\regedit.com
system32\rundll32.com
ProgramFiles\Internet Explorer\iexplore.com
ProgramFiles\Common Files\iexplore.pif
其中可能有几个找不到，没关系，找相同时间的文件出来删之（比如一木马的时间是2006-2-26 23：37(我中的木马修改时间。。。55~~，你就搜索所有2-26创建的文件，当然，时间也要一致，可别删错了）如果没找到，那最好了，说明他已经不存在了。
3. 恢复EXE文件关联
方法一：复制WINDOWS目录下的regedit.exe到桌面并改名为regedit.com，然后打开注册表，找到下列分支：HKEY_CLASSES_ROOT\exefile\shell\open\command，双击右侧窗口中的 (默认) 值，设置为 "%1" %* [包含引号]
再找到:
HKEY_CLASSES_ROOT\.exe
双击右侧窗口中的 (默认) 值，设置为 exefile
然后退出注册表编辑器，重启电脑
方法二：复制WINDOWS\system32目录下的cmd.exe到桌面并改名为cmd.com
命令行中，依次执行以下命令：
ftype exefile="%1" %* [包含引号](回车)
assoc .exe=exefile
重启电脑。
4. 删除病毒启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1"
为
"shell"="Explorer.exe"
5. 恢复病毒修改的注册表信息：
(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息，将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”
(2)查找“explorer.com”的信息，将“explorer.com”修改为“explorer.exe”
(3)查找“iexplore.com”的信息，将“iexplore.com”修改为“iexplore.exe”
(4)查找“iexplore.pif”的信息，将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”(找不到应该也安全了吧)
查一下所有和smss.exe文件同时生成的文件,总共估计有30个(也有可能少的，那是因为这是它的变种)
其中有一两个大小不符的,其他都是39K
system32下还有个a.exe也要删除！
防范措施：在WINDOWS目录下建立一个SMSS.EXE文件并设置为”只读“这样就不会在感染木马了~OK，祝大家玩的高兴。。。

---

作者: vipnai    时间: 2006-4-23 10:16
标题: 如何删除c:\windows\smss.exe病毒程序?
谢谢版主,我现在就进入安全模式,试一试,成功后再回结果,谢谢

---

作者: 6618    时间: 2006-4-23 10:22
标题: 如何删除c:\windows\smss.exe病毒程序?
[这个贴子最后由6618在 2006/04/23 10:23am 第 1 次编辑]

上面是我在网上找的，整理了一下的帖子，如果朋友你觉得太复杂，试试这样看行不行：
1、先把附件下载下来，解压备用（这是一个注册表文件，REG格式，为删了病毒文件后，修复EXE文件关联作准备的）
[UploadFile=EXEFILE_1145758163.rar]
2、启动盘进入纯DOS，如果是C盘是NTFS格式需支持这种格式的启动盘或用XP安装盘进入“系统修复控制台”，进入windows目录，把smss.exe改成smss.vir再用EDIT命令建一个smss.txt并改名为smss.exe，同时把smss.exe的属性设为只读。具体命令如下：
c:
cd windows
ren smss.exe smss.vir
（万一出了问题，如启动时进不了系统，可再把smss.vir改成smss.exe）
edit smss.txt
ren smss.txt smss.exe
attrib smss.exe +r
注：以上的操作，要有一点DOS的基础。

---

作者: vipnai    时间: 2006-4-23 11:34
标题: 如何删除c:\windows\smss.exe病毒程序?
谢谢版主大侠,小弟按你的方法已成功删除,再次谢谢

---

作者: 6618    时间: 2006-4-23 11:37
标题: 如何删除c:\windows\smss.exe病毒程序?
不用客气，大家互相学习，互相进步。

---

作者: beisijing    时间: 2006-6-6 05:40
标题: 如何删除c:\windows\smss.exe病毒程序?
本人也是中这个病毒，千里寻到此处，有个问题想问下。
1：其中可能有几个找不到，没关系，找相同时间的文件出来删之（比如一木马的时间是2006-2-26 23：37(我中的木马修改时间。。。55~~，你就搜索所有2-26创建的文件，当然，时间也要一致，可别删错了）如果没找到，那最好了，说明他已经不存在了。

是不是找不到就不管了，还是要找没找出来的文件的相同时间的文件？（有点饶口）
需要的话怎么找相同时间的文件？

2：复制WINDOWS目录下的regedit.exe到桌面并改名为regedit.com
请问怎么改名，是不是直接在加.com？（我试过这样，打开注册表马上启动病毒）

3：第3步到第4步重起电脑是不是还要到安全模式？

4：能不能把第5步的具体步骤写出来
“command.pif”、“finder.com”、“rundll32.com”我在注册表里查过根本没查出过
是不是在整个电脑里查？（2），（3），（4）如此

5：防范措施：在WINDOWS目录下建立一个SMSS.EXE文件并设置为”只读“这样就不会在感染木马了~OK，祝大家玩的高兴。。。
请具体说下怎么建立这个文件的步骤？

---

作者: beisijing    时间: 2006-6-6 05:43
标题: 如何删除c:\windows\smss.exe病毒程序?
请斑竹尽快回复，这病毒以控饶我几日，弄我的现在怕我的魔兽帐号被盗。
555555555555555555，在此谢谢斑竹了。

---

作者: 6618    时间: 2006-6-6 12:07
本人也是中这个病毒，千里寻到此处，有个问题想问下。
1：其中可能有几个找不到，没关系，找相同时间的文件出来删之（比如一木马的时间是2006-2-26 23：37(我中的木马修改时间。。。55~~，你就搜索所有2-26创建的文件，当然，时间也要一致，可别删错了）如果没找到，那最好了，说明他已经不存在了。

是不是找不到就不管了，还是要找没找出来的文件的相同时间的文件？（有点饶口）
需要的话怎么找相同时间的文件？
是的，找不到就不管，找不到，你想管也管不了。

2：复制WINDOWS目录下的regedit.exe到桌面并改名为regedit.com
请问怎么改名，是不是直接在加.com？（我试过这样，打开注册表马上启动病毒）
不是，需在“工具——文件夹选项——查看——隐藏已知文件扩展名的选项打开”的勾去掉，让regedit.exe显示出.exe再把.exe改成.com.如果楼主有一定DOS基础，按我4楼说的方法杀比较简单。
3：第3步到第4步重起电脑是不是还要到安全模式？
是的，最好在安全模式杀。
4：能不能把第5步的具体步骤写出来
“command.pif”、“finder.com”、“rundll32.com”我在注册表里查过根本没查出过
是不是在整个电脑里查？（2），（3），（4）如此
如果在注册表找不到，就先不管它，你是怎么找的？注意要先把regedit.e改成regedit.com，再在运行中输入regedit.com打开注册表，先在注册表中的HKEY_CLASSES_ROOT键找。
5：防范措施：在WINDOWS目录下建立一个SMSS.EXE文件并设置为”只读“这样就不会在感染木马了~OK，祝大家玩的高兴。。。
请具体说下怎么建立这个文件的步骤？
首先确定你删掉了WINDOWS目录下的SMSS.EXE，打开WINDOWS目录，用记事本建一文本文档并改名为smss.exe，注意要把.txt改成.exe，然后把smss.exe的属性改成只读。

---

作者: beisijing    时间: 2006-6-7 05:44
标题: 如何删除c:\windows\smss.exe病毒程序?
谢谢斑竹，病毒以基本被我删除。不过还几个问题想问下。
1：按照斑竹的回复，我把regedit.exe改成regedit.com再打开注册表，仍然没找到第5步所说的command.pif”、“finder.com”、“rundll32.com”“iexplore.com”,“iexplore.com"“iexplore.pif"
我的查找的方法：右键HKEY_CLASSES_ROOT----查找---输入finder.com等等-----查找下一个

2：现在我机器的EXPLORER。EXE进程在每过一段时间都要自动关闭在自行启动。（病毒没删之前都是弹出cmd--timer-xxx[记不清了]EXPLORER。EXE程序错误，XXXXXXXXXX内存不能READ）
请问一下斑竹这是什么问题？是不是SMSS。EXE病毒留下的后遗症？

---

作者: 6618    时间: 2006-6-7 08:33
谢谢斑竹，病毒以基本被我删除。不过还几个问题想问下。
1：按照斑竹的回复，我把regedit.exe改成regedit.com再打开注册表，仍然没找到第5步所说的command.pif”、“finder.com”、“rundll32.com”“iexplore.com”,“iexplore.com"“iexplore.pif"
我的查找的方法：右键HKEY_CLASSES_ROOT----查找---输入finder.com等等-----查找下一个
不用客气，大家互相学习，如果还是找不到，应该就已不存在了，不用再管它。

2：现在我机器的EXPLORER。EXE进程在每过一段时间都要自动关闭在自行启动。（病毒没删之前都是弹出cmd--timer-xxx[记不清了]EXPLORER。EXE程序错误，XXXXXXXXXX内存不能READ）
请问一下斑竹这是什么问题？是不是SMSS。EXE病毒留下的后遗症？
建议：
1、用杀毒软件再全面查杀C盘看看病毒彻底清除了没有。
2、用原来安装的XP安装盘提取explorer.exe（也不一定要原来的安装盘，但最好XP的版本相同的XP安装盘）覆盖c:\windows下的explorer.exe——预防explorer.exe给病毒注入了进程。
3、用记事本在WINDOWS目录下建立一个SMSS.EXE文件并设置为”只读“，（即前面帖子的第5步），这一步对防范此病毒是有一定的作用的，让系统的安全性进一步加强。

如果做了这三步，还存在上面的问题，请楼主继续跟帖。

[ 本帖最后由 6618 于 2006-6-7 08:39 AM 编辑 ]

---

作者: beisijing    时间: 2006-6-7 17:03
555555555,我的电脑中了Trojan-Downloader.Win32.Small.cwt木马，以前用卡巴删过想不到现在又来了。（好象就没完全删掉，他的访问对象是C；\。。。\TEMP\aua1\aua1.exe)

斑竹不说我还没注意我的XP版本是microsoft windows xp professional 版本2002 Service pack 1。（是当初买电脑的时候给我装的）
晕，属我不才这是啥版本？市场还能买到这个版本的XP？不是我这个版本的explorer.exe我复制覆盖行不行？

[ 本帖最后由 beisijing 于 2006-6-7 05:04 PM 编辑 ]

---

作者: 6618    时间: 2006-6-7 17:28
555555555,我的电脑中了Trojan-Downloader.Win32.Small.cwt木马，以前用卡巴删过想不到现在又来了。（好象就没完全删掉，他的访问对象是C；\。。。\TEMP\aua1\aua1.exe)
aua1.exe是一种恶意网页病毒，先结束该进程，接着进注册表搜索aua1，删除所有相关项，再进temp目录删除aua1.exe文件，进ie管理加载项，禁用所有不明的activeX，即可。

或者直接用KILLBOX删除，如下图：

1.JPG (27.75 KB, 下载次数: 156)

下载附件

2006-6-7 17:28 上传

killbox.rar

2006-6-7 17:28 上传

点击文件名下载附件

下载积分: 无忧币 -2

68.65 KB, 下载次数: 233, 下载积分: 无忧币 -2

---

作者: 6618    时间: 2006-6-7 17:35
斑竹不说我还没注意我的XP版本是microsoft windows xp professional 版本2002 Service pack 1。（是当初买电脑的时候给我装的）
晕，属我不才这是啥版本？市场还能买到这个版本的XP？不是我这个版本的explorer.exe我复制覆盖行不行？
我的是SP2的，上传不了给你，哪位是SP1的朋友请上传一个，朋友你或者先不管它，因为你的explorer.exe也没有确定就是中了毒，楼主用下面的工具扫描一下，如果可能把扫描结果传上来：

瑞星诊听器4.0.rar

2006-6-7 17:35 上传

点击文件名下载附件

下载积分: 无忧币 -2

87.81 KB, 下载次数: 161, 下载积分: 无忧币 -2

---

作者: beisijing    时间: 2006-6-8 01:47
谢谢斑竹提供的工具，下面是搜索的结果
未知家族病毒分析
扫描结果:
无可疑文件


系统活动进程
C:\WINDOWS\SYSTEM32\ALG.EXE
C:\WINDOWS\SYSTEM32\OODAG.EXE
D:\安装程序\QQ\QQ.EXE
C:\windows\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
D:\安装程序\MAXTHON\MAXTHON.EXE
C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM32\RES.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\PROGRAM FILES\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE
C:\WINDOWS\EXPLORER.EXE
D:\瑞星诊听器4[1].0\RAVDETECT4.0.EXE
D:\游戏\WORLD OF WARCRAFT\UTALK\UTALK.EXE

普通自启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
PHIME2002ASync = C:\WINDOWS\SYSTEM32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PRONoMgr.exe = C:\PROGRAM FILES\INTEL\NCS\PROSET\PRONOMGR.EXE
ATIPTA = C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
res = C:\WINDOWS\SYSTEM32\RES.EXE
KAVPersonal50 = "D:\安装程序\KASPERSKY ANTI-VIRUS PERSONAL PRO\KAV.EXE" /MINIMIZE

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe = C:\WINDOWS\SYSTEM32\CTFMON.EXE
LDM = C:\PROGRAM FILES\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE


系统文件关联
.exe ==> exefile = "%1" %*
.com ==> comfile = "%1" %*
.cmd ==> cmdfile = "%1" %*
.bat ==> batfile = "%1" %*
.txt ==> txtfile = %SystemRoot%\system32\NOTEPAD.EXE %1
.scr ==> scrfile = "%1" /S
.reg ==> regfile = regedit.exe "%1"
.doc ==> Word.Document.8 = "C:\Program Files\Microsoft Office\Office\WINWORD.EXE" /n

其它启动项
WIN.INI
无信息

SYSTEM.INI
SHELL = explorer.exe


Winlogon 启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
crypt32chain = CRYPT32.DLL
cryptnet = CRYPTNET.DLL
cscdll = CSCDLL.DLL
ScCertProp = WLNOTIFY.DLL
Schedule = WLNOTIFY.DLL
sclgntfy = SCLGNTFY.DLL
SensLogn = WLNOTIFY.DLL
termsrv = WLNOTIFY.DLL
wlballoon = WLNOTIFY.DLL

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = C:\WINDOWS\SYSTEM32\USERINIT.EXE,
shell = EXPLORER.EXE


IE - BHO

Winsock SPI
MSAFD Tcpip [TCP/IP] = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD Tcpip [UDP/IP] = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD Tcpip [RAW/IP] = C:\windows\SYSTEM32\MSWSOCK.DLL
RSVP UDP Service Provider = C:\windows\SYSTEM32\RSVPSP.DLL
RSVP TCP Service Provider = C:\windows\SYSTEM32\RSVPSP.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{ED0821DE-2030-45BE-82F6-551FE2C64C28}] SEQPACKET 0 = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{ED0821DE-2030-45BE-82F6-551FE2C64C28}] DATAGRAM 0 = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{FC85C67E-5E2E-4D11-9227-C23B5DEBF3EB}] SEQPACKET 1 = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{FC85C67E-5E2E-4D11-9227-C23B5DEBF3EB}] DATAGRAM 1 = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{FF4D627D-6787-4DB7-8E71-EDFEFB0626B5}] SEQPACKET 2 = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{FF4D627D-6787-4DB7-8E71-EDFEFB0626B5}] DATAGRAM 2 = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{DA45C904-A064-4CE9-87AB-A0F2D536F3E3}] SEQPACKET 3 = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{DA45C904-A064-4CE9-87AB-A0F2D536F3E3}] DATAGRAM 3 = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{8CC8F65E-10F6-4A79-9C1B-7F8EAC8C9499}] SEQPACKET 4 = C:\windows\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{8CC8F65E-10F6-4A79-9C1B-7F8EAC8C9499}] DATAGRAM 4 = C:\windows\SYSTEM32\MSWSOCK.DLL

系统服务项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Alerter = C:\windows\SYSTEM32\SVCHOST.EXE -K LOCALSERVICE
ALG = C:\windows\SYSTEM32\ALG.EXE
AppMgmt = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
Ati HotKey Poller = C:\windows\SYSTEM32\ATI2EVXX.EXE
ATI Smart = C:\WINDOWS\SYSTEM32\ATI2SGAG.EXE
AudioSrv = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
BITS = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
Browser = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
CiSvc = C:\windows\SYSTEM32\CISVC.EXE
ClipSrv = C:\windows\SYSTEM32\CLIPSRV.EXE
COMSysApp = C:\WINDOWS\SYSTEM32\DLLHOST.EXE /PROCESSID:{02D4B3F1-FD88-11D1-960D-00805FC79235}
CryptSvc = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
Dhcp = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
dmadmin = C:\windows\SYSTEM32\DMADMIN.EXE /COM
dmserver = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
Dnscache = C:\windows\SYSTEM32\SVCHOST.EXE -K NETWORKSERVICE
ERSvc = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
Eventlog = C:\windows\SYSTEM32\SERVICES.EXE
EventSystem = C:\WINDOWS\SYSTEM32\SVCHOST.EXE -K NETSVCS
FastUserSwitchingCompatibility = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
Framework = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
helpsvc = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
HidServ = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
ImapiService = C:\WINDOWS\SYSTEM32\IMAPI.EXE
kavsvc = "D:\安装程序\KASPERSKY ANTI-VIRUS PERSONAL PRO\KAVSVC.EXE"
lanmanserver = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
lanmanworkstation = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
LmHosts = C:\windows\SYSTEM32\SVCHOST.EXE -K LOCALSERVICE
Messenger = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
mnmsrvc = C:\WINDOWS\SYSTEM32\MNMSRVC.EXE
MSDTC = C:\WINDOWS\SYSTEM32\MSDTC.EXE
MSIServer = C:\WINDOWS\SYSTEM32\MSIEXEC.EXE /V
NetDDE = C:\windows\SYSTEM32\NETDDE.EXE
NetDDEdsdm = C:\windows\SYSTEM32\NETDDE.EXE
Netlogon = C:\windows\SYSTEM32\LSASS.EXE
Netman = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
NetSvc = C:\PROGRAM FILES\INTEL\NCS\SYNC\NETSVC.EXE
Nla = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
NtLmSsp = C:\windows\SYSTEM32\LSASS.EXE
NtmsSvc = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
O&O Defrag = C:\WINDOWS\SYSTEM32\OODAG.EXE
PlugPlay = C:\windows\SYSTEM32\SERVICES.EXE
PolicyAgent = C:\windows\SYSTEM32\LSASS.EXE
ProtectedStorage = C:\windows\SYSTEM32\LSASS.EXE
RasAuto = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
RasMan = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
RDSessMgr = C:\WINDOWS\SYSTEM32\SESSMGR.EXE
RemoteAccess = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
RemoteRegistry = C:\windows\SYSTEM32\SVCHOST.EXE -K LOCALSERVICE
RpcLocator = C:\windows\SYSTEM32\LOCATOR.EXE
RpcSs = C:\windows\SYSTEM32\SVCHOST -K RPCSS
RSVP = C:\windows\SYSTEM32\RSVP.EXE
SamSs = C:\windows\SYSTEM32\LSASS.EXE
SCardDrv = C:\windows\SYSTEM32\SCARDSVR.EXE
SCardSvr = C:\windows\SYSTEM32\SCARDSVR.EXE
Schedule = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
seclogon = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
SENS = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
SharedAccess = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
ShellHWDetection = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
Spooler = C:\windows\SYSTEM32\SPOOLSV.EXE
srservice = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
SSDPSRV = C:\windows\SYSTEM32\SVCHOST.EXE -K LOCALSERVICE
stisvc = C:\windows\SYSTEM32\SVCHOST.EXE -K IMGSVC
SwPrv = C:\WINDOWS\SYSTEM32\DLLHOST.EXE /PROCESSID:{1C467598-DAF6-4705-AB19-3DF56B239C26}
SysmonLog = C:\windows\SYSTEM32\SMLOGSVC.EXE
TapiSrv = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
TermService = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
Themes = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
TlntSvr = C:\WINDOWS\SYSTEM32\TLNTSVR.EXE
TrkWks = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
uploadmgr = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
upnphost = C:\windows\SYSTEM32\SVCHOST.EXE -K LOCALSERVICE
UPS = C:\windows\SYSTEM32\UPS.EXE
VSS = C:\windows\SYSTEM32\VSSVC.EXE
W32Time = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
WebClient = C:\windows\SYSTEM32\SVCHOST.EXE -K LOCALSERVICE
winmgmt = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
WmdmPmSN = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
Wmi = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
WmiApSrv = C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE
wuauserv = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS
WZCSVC = C:\windows\SYSTEM32\SVCHOST.EXE -K NETSVCS


文件驱动
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
MRxDAV = C:\windows\SYSTEM32\DRIVERS\MRXDAV.SYS
MRxSmb = C:\windows\SYSTEM32\DRIVERS\MRXSMB.SYS
Ndis5398 = C:\windows\SYSTEM32\DRIVERS\MS5398.SYS
Ndis5431 = C:\windows\SYSTEM32\DRIVERS\MS5431.SYS
NetBIOS = C:\windows\SYSTEM32\DRIVERS\NETBIOS.SYS
Rdbss = C:\windows\SYSTEM32\DRIVERS\RDBSS.SYS
sr = C:\windows\SYSTEM32\DRIVERS\SR.SYS
Srv = C:\windows\SYSTEM32\DRIVERS\SRV.SYS


系统驱动项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
ACPI = C:\windows\SYSTEM32\DRIVERS\ACPI.SYS
aec = C:\windows\SYSTEM32\DRIVERS\AEC.SYS
AFD = C:\windows\SYSTEM32\DRIVERS\AFD.SYS
agp440 = C:\windows\SYSTEM32\DRIVERS\AGP440.SYS
ALCXSENS = C:\windows\SYSTEM32\DRIVERS\ALCXSENS.SYS
ALCXWDM = C:\windows\SYSTEM32\DRIVERS\ALCXWDM.SYS
AsyncMac = C:\windows\SYSTEM32\DRIVERS\ASYNCMAC.SYS
atapi = C:\windows\SYSTEM32\DRIVERS\ATAPI.SYS
ati2mtag = C:\windows\SYSTEM32\DRIVERS\ATI2MTAG.SYS
Atmarpc = C:\windows\SYSTEM32\DRIVERS\ATMARPC.SYS
audstub = C:\windows\SYSTEM32\DRIVERS\AUDSTUB.SYS
Cdrom = C:\windows\SYSTEM32\DRIVERS\CDROM.SYS
Disk = C:\windows\SYSTEM32\DRIVERS\DISK.SYS
dmboot = C:\windows\SYSTEM32\DRIVERS\DMBOOT.SYS
dmio = C:\windows\SYSTEM32\DRIVERS\DMIO.SYS
dmload = C:\windows\SYSTEM32\DRIVERS\DMLOAD.SYS
DMusic = C:\windows\SYSTEM32\DRIVERS\DMUSIC.SYS
drmkaud = C:\windows\SYSTEM32\DRIVERS\DRMKAUD.SYS
E100B = C:\windows\SYSTEM32\DRIVERS\E100B325.SYS
Edspport = C:\windows\SYSTEM32\DRIVERS\ES56TPI.SYS
Fdc = C:\windows\SYSTEM32\DRIVERS\FDC.SYS
Flpydisk = C:\windows\SYSTEM32\DRIVERS\FLPYDISK.SYS
FsVga = C:\windows\SYSTEM32\DRIVERS\FSVGA.SYS
Ftdisk = C:\windows\SYSTEM32\DRIVERS\FTDISK.SYS
gameenum = C:\windows\SYSTEM32\DRIVERS\GAMEENUM.SYS
Gpc = C:\windows\SYSTEM32\DRIVERS\MSGPC.SYS
HWiNFO32 = D:\安装程序\REGISTER\HWINFO32.SYS
i8042prt = C:\windows\SYSTEM32\DRIVERS\I8042PRT.SYS
ids0004C = C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\KASPERSKY ANTI-VIRUS PERSONAL\5.0\BASES\IDS0004C.SYS
ids0005c = C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\KASPERSKY ANTI-VIRUS PERSONAL\5.0\BASES\IDS0005C.SYS
Imapi = C:\windows\SYSTEM32\DRIVERS\IMAPI.SYS
IntelIde = C:\windows\SYSTEM32\DRIVERS\INTELIDE.SYS
IpFilterDriver = C:\windows\SYSTEM32\DRIVERS\IPFLTDRV.SYS
IpInIp = C:\windows\SYSTEM32\DRIVERS\IPINIP.SYS
IpNat = C:\windows\SYSTEM32\DRIVERS\IPNAT.SYS
IPSec = C:\windows\SYSTEM32\DRIVERS\IPSEC.SYS
IRENUM = C:\windows\SYSTEM32\DRIVERS\IRENUM.SYS
isapnp = C:\windows\SYSTEM32\DRIVERS\ISAPNP.SYS
itchfltr = C:\windows\SYSTEM32\DRIVERS\ITCHFLTR.SYS
Kbdclass = C:\windows\SYSTEM32\DRIVERS\KBDCLASS.SYS
Kl1 = C:\windows\SYSTEM32\DRIVERS\KL1.SYS
Klif = C:\windows\SYSTEM32\DRIVERS\KLIF.SYS
Klmc = C:\windows\SYSTEM32\DRIVERS\KLMC.SYS
kmixer = C:\windows\SYSTEM32\DRIVERS\KMIXER.SYS
Mouclass = C:\windows\SYSTEM32\DRIVERS\MOUCLASS.SYS
MSKSSRV = C:\windows\SYSTEM32\DRIVERS\MSKSSRV.SYS
MSPCLOCK = C:\windows\SYSTEM32\DRIVERS\MSPCLOCK.SYS
MSPQM = C:\windows\SYSTEM32\DRIVERS\MSPQM.SYS
NdisTapi = C:\windows\SYSTEM32\DRIVERS\NDISTAPI.SYS
Ndisuio = C:\windows\SYSTEM32\DRIVERS\NDISUIO.SYS
NdisWan = C:\windows\SYSTEM32\DRIVERS\NDISWAN.SYS
NetBT = C:\windows\SYSTEM32\DRIVERS\NETBT.SYS
NPF = C:\windows\SYSTEM32\DRIVERS\NPF.SYS
npkcrypt = D:\安装程序\QQ\NPKCRYPT.SYS
nv = C:\windows\SYSTEM32\DRIVERS\NV4_MINI.SYS
NwlnkFlt = C:\windows\SYSTEM32\DRIVERS\NWLNKFLT.SYS
NwlnkFwd = C:\windows\SYSTEM32\DRIVERS\NWLNKFWD.SYS
P3 = C:\windows\SYSTEM32\DRIVERS\P3.SYS
Parport = C:\windows\SYSTEM32\DRIVERS\PARPORT.SYS
PCI = C:\windows\SYSTEM32\DRIVERS\PCI.SYS
PCIIde = C:\windows\SYSTEM32\DRIVERS\PCIIDE.SYS
PptpMiniport = C:\windows\SYSTEM32\DRIVERS\RASPPTP.SYS
Processor = C:\windows\SYSTEM32\DRIVERS\PROCESSR.SYS
PSched = C:\windows\SYSTEM32\DRIVERS\PSCHED.SYS
Ptilink = C:\windows\SYSTEM32\DRIVERS\PTILINK.SYS
RadProbe = C:\windows\SYSTEM32\DRIVERS\RADPROBE.SYS
RasAcd = C:\windows\SYSTEM32\DRIVERS\RASACD.SYS
Rasl2tp = C:\windows\SYSTEM32\DRIVERS\RASL2TP.SYS
RasPppoe = C:\windows\SYSTEM32\DRIVERS\RASPPPOE.SYS
Raspti = C:\windows\SYSTEM32\DRIVERS\RASPTI.SYS
RDPCDD = C:\windows\SYSTEM32\DRIVERS\RDPCDD.SYS
rdpdr = C:\windows\SYSTEM32\DRIVERS\RDPDR.SYS
redbook = C:\windows\SYSTEM32\DRIVERS\REDBOOK.SYS
Secdrv = C:\windows\SYSTEM32\DRIVERS\SECDRV.SYS
Sentinel = C:\windows\SYSTEM32\DRIVERS\SENTINEL.SYS
serenum = C:\windows\SYSTEM32\DRIVERS\SERENUM.SYS
Serial = C:\windows\SYSTEM32\DRIVERS\SERIAL.SYS
splitter = C:\windows\SYSTEM32\DRIVERS\SPLITTER.SYS
squell = C:\WINDOWS\SYSTEM32\VOOK.SYS
swenum = C:\windows\SYSTEM32\DRIVERS\SWENUM.SYS
swmidi = C:\windows\SYSTEM32\DRIVERS\SWMIDI.SYS
sysaudio = C:\windows\SYSTEM32\DRIVERS\SYSAUDIO.SYS
Tcpip = C:\windows\SYSTEM32\DRIVERS\TCPIP.SYS
TermDD = C:\windows\SYSTEM32\DRIVERS\TERMDD.SYS
TSP = C:\WINDOWS\SYSTEM32\DRIVERS\KLIF.SYS
Update = C:\windows\SYSTEM32\DRIVERS\UPDATE.SYS
usbehci = C:\windows\SYSTEM32\DRIVERS\USBEHCI.SYS
usbhub = C:\windows\SYSTEM32\DRIVERS\USBHUB.SYS
USBSTOR = C:\windows\SYSTEM32\DRIVERS\USBSTOR.SYS
usbuhci = C:\windows\SYSTEM32\DRIVERS\USBUHCI.SYS
VgaSave = C:\windows\SYSTEM32\DRIVERS\VGA.SYS
Wanarp = C:\windows\SYSTEM32\DRIVERS\WANARP.SYS
wdmaud = C:\windows\SYSTEM32\DRIVERS\WDMAUD.SYS
WS2IFSL = C:\windows\SYSTEM32\DRIVERS\WS2IFSL.SYS

[ 本帖最后由 beisijing 于 2006-6-8 01:56 AM 编辑 ]

---

作者: beisijing    时间: 2006-6-8 01:57
颜色是我添上去的，因为查出来时候颜色就不一样。
aua1我今天用卡巴直接删了下，我去注册表查了下没查到。可能过几天=它复发在说。
再问下ie管理加载项怎么进去？

[ 本帖最后由 beisijing 于 2006-6-8 02:06 AM 编辑 ]

---

作者: 6618    时间: 2006-6-8 09:02
颜色是我添上去的，因为查出来时候颜色就不一样。

瑞星诊听器没疑项，那就先不管它。
aua1我今天用卡巴直接删了下，我去注册表查了下没查到。可能过几天=它复发在说。
再问下ie管理加载项怎么进去？
请看图：

2.JPG (64.15 KB, 下载次数: 150)

下载附件

2006-6-8 09:02 上传

---

作者: beisijing    时间: 2006-6-8 16:17
谢谢斑竹。瑞星诊听器没疑项是不是代表EXLPORER。EXE没有中毒？
_timer_ad_wnd_:Explorer.exe - 应用程序错误
"0x019689a2"指令引用的"0x019689a2"内存。该内存不能为"read"。

很奇怪的是我玩CS，魔兽等游戏时每一段时候都会跳出错误，但在玩魔兽世界用窗口化就不会有事。（好象全屏的都会出现错误，其他游戏窗口化会不会出现我没试过）
我在网上也查过EXPLORER。EXE出错误的原因，个人认为我最可能有2个
1：EXPLORER。EXE的内部错误
2；内存问题

---

作者: 6618    时间: 2006-6-8 16:51
谢谢斑竹。瑞星诊听器没疑项是不是代表EXLPORER。EXE没有中毒？
_timer_ad_wnd_:Explorer.exe - 应用程序错误
"0x019689a2"指令引用的"0x019689a2"内存。该内存不能为"read"。
不用客气！瑞星诊听器没疑项不等于EXLPORER.EXE没有中毒！

很奇怪的是我玩CS，魔兽等游戏时每一段时候都会跳出错误，但在玩魔兽世界用窗口化就不会有事。（好象全屏的都会出现错误，其他游戏窗口化会不会出现我没试过）
我在网上也查过EXPLORER。EXE出错误的原因，个人认为我最可能有2个
1：EXPLORER。EXE的内部错误
2；内存问题
个人觉得这种情况多数是都是病毒造成，不关内存的事，朋友，请问你没中毒时玩这个游戏时会有这种错误提示吗？
这样吧，如果你不怕麻烦，用HIJACKTHIS扫描电脑，把日志传到这里来，HIJACKTHIS到这里下载。下面的链接的16楼下载：
http://bbs.wuyou.net/forum.php?m ... page%3D1&page=2

---

作者: beisijing    时间: 2006-6-9 01:58
Logfile of HijackThis v1.99.0
Scan saved at 1:54:46, on 2006-6-9
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\System32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\windows\System32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\System32\oodag.exe
C:\windows\explorer.exe
D:\安装程序\qq\QQ.exe
D:\安装程序\Maxthon\Maxthon.exe
D:\HIJACKTHIS1[1].990\HIJACKTHIS1.990\HIJACKTHIS.EXE

O2 - BHO: Ad Engine - {077FD0C3-1291-4104-A356-41E36B252682} - C:\Program Files\Yayad\AdCore.dll (file missing)
O3 - Toolbar: (no name) - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - (no file)
O3 - Toolbar: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file)
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KAVPersonal50] "D:\安装程序\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O9 - Extra button: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - D:\游戏\浩方\浩方对战平台\GameClient.exe
O16 - DPF: {C8BD9ACB-F7EC-48E6-BB2F-DAADC6789E9A} (Kingsoft DUBA OnlineScan) - http://211.152.52.102/duba/antiscan/update/OCX/KAVClean.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - file://C:\Herosoft\HeroV8\DVDSkin\defskin\HTML\swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CC8F65E-10F6-4A79-9C1B-7F8EAC8C9499}: NameServer =帮你编辑掉IP——6618
O17 - HKLM\System\CS1\Services\Tcpip\..\{8CC8F65E-10F6-4A79-9C1B-7F8EAC8C9499}: NameServer = O21 - SSODL: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\System32\stdup.dll
O21 - SSODL: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - (no file)
O23 - Service: Ati HotKey Poller - Unknown - C:\windows\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\安装程序\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Intel NCS NetService - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe

[ 本帖最后由 6618 于 2006-6-9 10:59 AM 编辑 ]

---

作者: beisijing    时间: 2006-6-9 02:00
这是HIJACKTHIS的日志。我运行HIJACKTHIS时候HIJACKTHIS自己弹出错误（全是英文看不懂），不过确定后一样能查

---

作者: 6618    时间: 2006-6-9 11:38
开机按F8到安全模式，用HJJACKTHIS扫描电脑，HIJACKTHIS出错也不用管它，把下面的项都勾上，直接用HIJACKTHIS修复，电脑会提示你重启，重启再进入安全模式，再扫，如还有下面的任何一项，再修复。
C:\WINDOWS\System32\oodag.exe
oodag.exe是磁盘碎整理程序，可以修掉，要整理时才打开整理，一直开着浪费资源。
O2 - BHO: Ad Engine - {077FD0C3-1291-4104-A356-41E36B252682} - C:\Program Files\Yayad\AdCore.dll (file missing)
O3 - Toolbar: (no name) - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - (no file)
O3 - Toolbar: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file)
O4 - HKLM\..\Run: [KAVPersonal50] "D:\安装程序\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
这是继3721后的256流氓软件，到安全模式下选中这一项，用HIJACK直接修复，重启后删掉该文件。O17 - HKLM\System\CS1\Services\Tcpip\..\{8CC8F65E-10F6-4A79-9C1B-7F8EAC8C9499}: NameServer = O21 - SSODL: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\System32\stdup.dll
stdup.dll是一个木马弹出广告的插件，到安全模式下选中这一项，用HIJACK直接修复，重启后删掉该文件。
O21 - SSODL: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - (no file)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
oodag.exe是磁盘碎整理程序，这是它这服务，最好修掉，要整理时才打开整理，一直开着浪费资源。

[ 本帖最后由 6618 于 2006-6-9 11:52 AM 编辑 ]

---

作者: 6618    时间: 2006-6-9 11:44
很奇怪的是我玩CS，魔兽等游戏时每一段时候都会跳出错误，但在玩魔兽世界用窗口化就不会有事。（好象全屏的都会出现错误，其他游戏窗口化会不会出现我没试过）
我在网上也查过EXPLORER。EXE出错误的原因，个人认为我最可能有2个
1：EXPLORER。EXE的内部错误
2；内存问题
朋友，请问你没中毒时玩这个游戏时会有这种错误提示吗？
朋友，请你回答这个问题，因为如果你没中毒时也会出错，就与病毒无关了。很可能是硬件配置的问题？

[ 本帖最后由 6618 于 2006-6-9 11:46 AM 编辑 ]

---

作者: beisijing    时间: 2006-6-9 14:56
以前没有过EXPLORER。EXE出现错误也是近2个星期的事情

---

作者: 6618    时间: 2006-6-9 15:03
试试22楼的方法，把那些无用的项和带木马性质的流氓软件清了看还行不行。

---

作者: beisijing    时间: 2006-6-9 15:23
O3 - Toolbar: (no name) - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - (no file)
O3 - Toolbar: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file)
注册表里面是不是也要删除？

---

作者: 6618    时间: 2006-6-9 15:26
不用的，用HIJACKTHIS修复，就是在注册表中删除这些项。

---

作者: beisijing    时间: 2006-6-9 15:51
谢谢斑竹，问题解决了。刚刚玩了半小时CS没出现问题。
哈哈，真诚的感谢斑竹。

---

作者: beisijing    时间: 2006-6-9 15:52
还有其他问题我另开主题。嘿嘿

---

作者: 6618    时间: 2006-6-9 15:56

原帖由 beisijing 于 2006-6-9 03:51 PM 发表
谢谢斑竹，问题解决了。刚刚玩了半小时CS没出现问题。
哈哈，真诚的感谢斑竹。

朋友，不用客气，能解决问题，主要是朋友你自己的努力，在此也感谢朋友你的回帖及反馈！

---

作者: 伊打蚊忙    时间: 2006-7-8 17:52
标题: 拜托，我是菜鸟，能不能浅显地解答
楼上的各位高手，我是菜鸟，6月7日遭了smss的招儿，还以为系统问题，结果重装了系统，没用，挂上qq不久就是smss提示“程序错误”，还无法关闭，之后同样无法正常关机，后来看了楼主的问题和各位的解答，方才茅塞顿开。
但是依样操作，始终不得其法，没办法，我是菜鸟。
现在把本人病症和“卡壳”的地方告知：希望版主和各位高手援手赐教，不胜感激。
1，我的系统很老，windows98;
2,我对注册表很陌生，基本上不敢碰，怕还不到原。
3，我比较推崇4楼的方法，因为简单，不需要修改配置，而且鄙人对dos还是比较在行。
4，各位的方法都要第一个终止病毒“进程”，我实在不知道是如何终止，我一般运行msconfig，打开系统配置文件，把启动项目勾去掉，把子目录里面的smss项目的勾去掉
5，我把同病毒生成之日[6-7]的新文件统统删掉了，我看了一下各位列举的存在7个文件，但居然遭到程序router.exe找不到，打不开任何一个可执行程序。删掉的里面恰好就有router.exe
6，在dos里面凡是对smss.exe操作，都是正在被系统使用，无法找到
7，用edit smss.exe打开，试图删掉乱玛，结果只读不可修改，我记得成更改了它的属性
8，即便用smss.txt替换smss.exe成功，但下一步恢复exe链接怎么办？
9，下载的那个注册表附件，解压后如何导入原来的注册表编辑，似乎文件格式不对头
由于我这是个老掉牙的电脑，所以smss的危害极大，速度慢了，频繁无法响应而挂起，不能正常光机。
吉切期盼各位高手指教，尤其是版主的那个4楼方案
谢谢

---

作者: Robertzao    时间: 2006-7-8 18:12
6618说的有理,我试了很好用!!~~~~~~~~UP!
:lol

---

作者: vipnai    时间: 2006-7-9 08:36
30楼的朋友：你先到免子网站下载“超级免子”装上，里面有终止程序和注册表修改，我相信你一看就懂的。免子网址是：http://www.pctutu.com/

---

作者: 6618    时间: 2006-7-9 11:40

原帖由 伊打蚊忙 于 2006-7-8 05:52 PM 发表
6，在dos里面凡是对smss.exe操作，都是正在被系统使用，无法找到
7，用edit smss.exe打开，试图删掉乱玛，结果只读不可修改，我记得成更改了它的属性
8，即便用smss.txt替换smss.exe成功，但下一步恢复exe链接怎么办？
9，下载的那个注册表附件，解压后如何导入原来的注册表编辑，似乎文件格式不对头

6、你是在纯DOS下操作,还是在98的MSDOS下操作？
7、是删掉病毒SMSS.EXE后再用记事本建一个SMSS.EXE，属性设为只读。
8、9、之所以格式不对，是因为我提供的那个注册表文件是供XP用的，以下的是供98用的，楼主下载下来，双击导入试试：

修复EXE文件关联FOR 98.rar

2006-7-9 11:40 上传

点击文件名下载附件

下载积分: 无忧币 -2

202 Bytes, 下载次数: 150, 下载积分: 无忧币 -2

---

作者: 伊打蚊忙    时间: 2006-7-10 10:25
标题: 谢谢斑竹
已经成功完成清除
非常感激！
顺便问一下：这个病毒对我的分区有无影响，我发觉硬盘引导似乎出了点问题
我的硬盘本来有3个区，在瑞星杀毒下却发觉只能检测2个区

---

作者: 6618    时间: 2006-7-10 12:10
在XP下能检到三个分区吧？是否你的一个分区是NTFS格式？

---

作者: 6618    时间: 2006-7-10 12:11
在XP下能检到三个分区吧？是否你的一个分区是NTFS格式？

---

作者: ajmqbibi    时间: 2006-7-15 12:44
标题: 不在安全模式下,,就不可以了,吗???????
不在安全模式下,,就不可以了,吗???????

---

作者: ajmqbibi    时间: 2006-7-15 12:45
楼组在不在啊???

---

作者: ajmqbibi    时间: 2006-7-15 12:46
我好象还是没有删掉啊,,好急啊,,怎么办啊????

---

作者: vipnai    时间: 2006-7-15 13:36
是的,要在安全模式下,这样有的程序就不会启动,好删除

---

作者: pandayu    时间: 2006-7-15 23:50
4. 删除病毒启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1"
为
"shell"="Explorer.exe"
对于这步我还是不太明白..
可以麻烦您详细地说1次吗??
我是个初中生..中了这个病毒我也不知道怎么办..
真的很想把病毒清除掉..但是不在行..
所以请多多指教..
先在这里谢谢了!!!

---

作者: vipnai    时间: 2006-7-16 10:51
就是在注册表里按它的路径找到Run并打开,删除"Torjan Program"它的数值为"%Windows%\smss.exe" 的内容和找到Winlogon打开将shell数值改成Explorer.exe

---

作者: pandayu    时间: 2006-7-16 11:08
还不明白这个"Torjan Program"="%Windows%\smss.exe"
是把"Torjan Program"的数据值修改成"%Windows%\smss.exe"吗?

---

作者: pandayu    时间: 2006-7-16 12:42
1. 结束病毒的进程%\Windows\smss.exe
要如何结束病毒的进程呢?
我在任务管理器中结束不了..说它是关键系统进程..无法结束..
请问我应该如何结束病毒的进程呢??
可以把详细步骤告诉我吗?????
我真的很急..可以快点告诉我吗???

---

作者: vipnai    时间: 2006-7-16 17:42

原帖由 pandayu 于 2006-7-16 12:42 PM 发表
1. 结束病毒的进程%\Windows\smss.exe
要如何结束病毒的进程呢?
我在任务管理器中结束不了..说它是关键系统进程..无法结束..
请问我应该如何结束病毒的进程呢??
可以把详细步骤告诉我吗?????
我真的很急..可 ...

你用超级免子结束进程吧，它会告诉你是不是关键进程
启动项里要删的是Run里数值等于%Windows%\smss.exe的项，就是把“Torjan Program”删了
要在安全模式下操作

---

作者: ajmqbibi    时间: 2006-7-22 05:10
我总算删掉了,,,急了好多天了,,,累死了

---

作者: Robertzao    时间: 2006-7-28 13:38
各楼上的放法我都做过了，在2000下这个 病毒我是真没法了！
我最后是做了低格，然后做的系统！这才没的 ！:L真没法子了！:L:L:L

---

作者: 6618    时间: 2006-7-28 17:11

原帖由 Robertzao 于 2006-7-28 01:38 PM 发表
各楼上的放法我都做过了，在2000下这个 病毒我是真没法了！
我最后是做了低格，然后做的系统！这才没的 ！:L真没法子了！:L:L:L

杀这个病毒，要用低格？你的C盘是多少G的，低格大概用了多长时间？

---

作者: 安情    时间: 2006-8-5 22:39
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: awfi517    时间: 2006-8-7 12:16
这个不是病毒吧
好象是系统进程

---

作者: guo43    时间: 2006-8-7 17:22
标题: 也请帮忙啊
请6618帮忙看看,下面的日志有问题吗?现在我的机器只能在安全模式下才能运行.
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      17:13:52, 日期 2006-8-7
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\BitComet\BitComet.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator\桌面\瑞星诊听器4[1].0\RAVDETECT4.0.EXE
C:\Documents and Settings\Administrator\桌面\Hijackthis中文版\HijackThis1991zww.exe

O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - D:\超级兔~1\MAGICSET\haokanbar.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - d:\BitComet\BitCometBar\BitCometBar0.3.dll
O3 - IE工具栏增项: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
O3 - IE工具栏增项: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - D:\超级兔~1\MAGICSET\haokanbar.dll
O4 - 启动项HKLM\\Run: [wcmdmgr] ; C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - 启动项HKLM\\Run: [Uninstall0001] ; "C:\Program Files\Common Files\Totem Shared\Uninstall0001\upd.exe" LASTCALL!adverts.stripsaver.com!StatsStripSaver
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002ASync] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [IgfxTray] ; C:\WINDOWS\system32\igfxtray.exe
O4 - 启动项HKLM\\Run: [HotKeysCmds] ; C:\WINDOWS\system32\hkcmd.exe
O4 - 启动项HKLM\\Run: [RavTask] "D:\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [YLive.exe] ; C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - 启动项HKLM\\Run: [StormCodec_Helper] ; "D:\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [IMEKRMIG6.1] ; C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - 启动项HKLM\\Run: [SoundMan] ; SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKCU\..\Run: [Xplus] "d:\Xplus\Xplus_Wait.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [xvcclip] ; d:\Xplus\xvcclip.exe
O4 - HKCU\..\Run: [Xplus_spy] ; "d:\Xplus\xvcclip.exe" /min
O4 - HKCU\..\Run: [DrvMon.exe] ; C:\WINDOWS\system32\DrvMon.exe
O4 - Startup: 腾讯QQ.lnk = D:\QQ\QQ.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - IE右键菜单中的新增项目:  添加到新浪点点通阅读器 - res://C:\Program Files\Sina\RssReader\rssreader.exe/RSSFEED.js
O8 - IE右键菜单中的新增项目: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ\QQ.EXE
O9 - 浏览器额外的按钮: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\WINDOWS\system32\shdocvw.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {1514341E-C046-4839-AE53-291C41A315CB} (Virusscan Control) - http://www.zrinfo.net/scan/scan.CAB
O16 - DPF: {48FE89A0-486C-48DF-9DEC-BED22BDC6057} (XIsOro Control) - http://www.sinago.com/download/OroCheck.cab
O16 - DPF: {5EC7C511-CD0F-42E6-830C-1BD9882F3458} (PowerPlayer Control) - http://www.ppstream.com/bin/powerplayer.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/wind ... e.cab?1133666831660
O16 - DPF: {A9E58728-1FA7-46CE-845D-44694EB11602} (XGiboView Control) - http://www.sinago.com/giboview/giboview.cab
O16 - DPF: {E4F500BF-C1A3-11D6-9697-0090961B771E} (VCR.Scan) - http://www.vccn.com.cn/webscan/Vcrscan.CAB
O16 - DPF: {EF9F1C48-1A63-495A-9317-B7B71B34A9CF} (Msp Class) - http://ddddl.dudu.com/ddd/update/plugin/dudumsp.cab
O16 - DPF: {F138084D-84D7-48CD-BEA8-04772457516E} (VqqSpeedDlProxy Class) - http://218.85.138.27/vqqsdl1009.cab
O16 - DPF: {F2EB8999-766E-4BF6-AAAD-188D398C0D0B} (PBActiveX40 Control) - http://www4.cmbchina.com/download/pb45.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - (no file)
O21 - SSODL: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - (no file)
O23 - NT 服务: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - NT 服务: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\Rising\Rav\Ravmond.exe
O23 - NT 服务: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - NT 服务: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\软件\虚拟光驱\Alcohol 120\StarWind\StarWindService.exe

---

作者: 6618    时间: 2006-8-7 20:46
把下面的选项修掉，重启电脑试试。

O4 - 启动项HKLM\\Run: [Uninstall0001] ; "C:\Program Files\Common Files\Totem Shared\Uninstall0001\upd.exe" LASTCALL!adverts.stripsaver.com!StatsStripSaver
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002ASync] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [YLive.exe] ; C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - 启动项HKLM\\Run: [IMEKRMIG6.1] ; C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - 启动项HKLM\\Run: [SoundMan] ; SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [StormCodec_Helper] ; "D:\Storm Codec\StormSet.exe" /S /opti
O21 - SSODL: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - (no file)
O21 - SSODL: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - (no file)O23 - NT 服务: O23 - NT 服务: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - NT 服务: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

---

作者: vipnai    时间: 2006-8-8 07:28

原帖由 awfi517 于 2006-8-7 12:16 PM 发表
这个不是病毒吧
好象是系统进程

你看它的路径,系统进程是在C:\WINDOWS\system32下的,而病毒是在C:\WINDOWS下的,你注意看一看

---

作者: guo43    时间: 2006-8-8 11:38
标题: 继续求助
谢谢6618.按照你的方式修掉了那些启动项,但是仍然如故.系统进入后一直都无反应,持续时间长达10分钟,无奈只得强行关机.重启进入安全模式.修掉后的日志见下图.
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      11:37:41, 日期 2006-8-8
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\jcb_ztzq\TdxW.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Administrator\桌面\Hijackthis中文版\HijackThis1991zww.exe

O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - D:\超级兔~1\MAGICSET\haokanbar.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - d:\BitComet\BitCometBar\BitCometBar0.3.dll
O3 - IE工具栏增项: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
O3 - IE工具栏增项: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - D:\超级兔~1\MAGICSET\haokanbar.dll
O4 - 启动项HKLM\\Run: [wcmdmgr] ; C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - 启动项HKLM\\Run: [IgfxTray] ; C:\WINDOWS\system32\igfxtray.exe
O4 - 启动项HKLM\\Run: [HotKeysCmds] ; C:\WINDOWS\system32\hkcmd.exe
O4 - 启动项HKLM\\Run: [RavTask] "D:\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKCU\..\Run: [Xplus] "d:\Xplus\Xplus_Wait.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [xvcclip] ; d:\Xplus\xvcclip.exe
O4 - HKCU\..\Run: [Xplus_spy] ; "d:\Xplus\xvcclip.exe" /min
O4 - HKCU\..\Run: [DrvMon.exe] ; C:\WINDOWS\system32\DrvMon.exe
O4 - Startup: 腾讯QQ.lnk = D:\QQ\QQ.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - IE右键菜单中的新增项目:  添加到新浪点点通阅读器 - res://C:\Program Files\Sina\RssReader\rssreader.exe/RSSFEED.js
O8 - IE右键菜单中的新增项目: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\QQ\AddEmotion.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ\QQ.EXE
O16 - DPF: {1514341E-C046-4839-AE53-291C41A315CB} (Virusscan Control) - http://www.zrinfo.net/scan/scan.CAB
O16 - DPF: {48FE89A0-486C-48DF-9DEC-BED22BDC6057} (XIsOro Control) - http://www.sinago.com/download/OroCheck.cab
O16 - DPF: {5EC7C511-CD0F-42E6-830C-1BD9882F3458} (PowerPlayer Control) - http://www.ppstream.com/bin/powerplayer.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/wind ... e.cab?1133666831660
O16 - DPF: {A9E58728-1FA7-46CE-845D-44694EB11602} (XGiboView Control) - http://www.sinago.com/giboview/giboview.cab
O16 - DPF: {E4F500BF-C1A3-11D6-9697-0090961B771E} (VCR.Scan) - http://www.vccn.com.cn/webscan/Vcrscan.CAB
O16 - DPF: {EF9F1C48-1A63-495A-9317-B7B71B34A9CF} (Msp Class) - http://ddddl.dudu.com/ddd/update/plugin/dudumsp.cab
O16 - DPF: {F138084D-84D7-48CD-BEA8-04772457516E} (VqqSpeedDlProxy Class) - http://218.85.138.27/vqqsdl1009.cab
O16 - DPF: {F2EB8999-766E-4BF6-AAAD-188D398C0D0B} (PBActiveX40 Control) - http://www4.cmbchina.com/download/pb45.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - NT 服务: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\Rising\Rav\Ravmond.exe
O23 - NT 服务: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - NT 服务: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\软件\虚拟光驱\Alcohol 120\StarWind\StarWindService.exe

---

作者: 无妨说    时间: 2006-8-8 16:31
学习到点点

---

作者: 安情    时间: 2006-8-10 09:43
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: laonamie    时间: 2006-9-24 21:20

原帖由 安情 于 2006-8-10 09:43 AM 发表
版主的帖子,我已经看过了.版主对杀病毒,真的太在行了
不知道,有没有什么办法,杀除2006vip的灰鸽子?

鸽子的官方站点就有干掉的方法啊~~

---

作者: yzt331    时间: 2006-9-24 23:11
我上2个星期也中了,好像最后是用卡巴斯基杀掉的~~

---

作者: cheng759    时间: 2009-10-6 12:40
标题: 如何删除c:\windows\smss.exe病毒程序?
想问一下几个方法是根据什么原理执行的！

---

欢迎光临 无忧启动论坛 (http://bbs.wuyou.net/)

Powered by Discuz! X3.3