回复:注意,用户!系统中检测到一些危险的病毒...

嗨,沙鼠,

我和其他人有同样的问题。我遵循了您的步骤,这就是我得到的:

HJT:

趋势科技HijackThis v2.0.2的日志文件 扫描于2008年12月1日晚上9:52:56保存 平台:Windows XP SP3(WinNT 5.01.2600) MSIE:Internet Explorer v8.00(8.00.6001.18241) 开机方式:普通

运行过程: C:\ WINDOWS \ System32 \ smss.exe C:\ WINDOWS \ system32 \ winlogon.exe C:\ WINDOWS \ system32 \ services.exe C:\ WINDOWS \ system32 \ lsass.exe C:\ WINDOWS \ system32 \ svchost.exe C:\ WINDOWS \ System32 \ svchost.exe C:\ WINDOWS \ system32 \ svchost.exe C:\ Program Files \ Symantec \ Symantec Endpoint Protection \ Smc.exe C:\ Program Files \ Common Files \ Symantec Shared \ ccSvcHst.exe C:\ WINDOWS \ system32 \ spoolsv.exe C:\ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe C:\ Program Files \ Bonjour \ mDNSResponder.exe C:\ Program Files \ Nero \ Nero8 \ Nero BackItUp \ NBService.exe C:\ WINDOWS \ system32 \ svchost.exe C:\ Program Files \ Symantec \ Symantec Endpoint Protection \ Rtvscan.exe 具有SpeedBooster \ WLService.exe的C:\ Program Files \ Linksys Wireless-G PCI网络适配器 具有SpeedBooster \ WMP54GSv1_1.exe的C:\ Program Files \ Linksys Wireless-G PCI网络适配器 C:\ WINDOWS \ system32 \ hkcmd.exe C:\ WINDOWS \ system32 \ igfxpers.exe C:\ WINDOWS \ SOUNDMAN.EXE C:\ WINDOWS \ ALCWZRD.EXE C:\ WINDOWS \ ALCMTR.EXE C:\ Program Files \ Java \ jre1.6.0_07 \ bin \ jusched.exe C:\ Program Files \ Common Files \ Symantec Shared \ ccApp.exe C:\ WINDOWS \ system32 \ ICO.EXE C:\ Program Files \ Lexmark 2400系列\ lxcrmon.exe C:\ WINDOWS \ system32 \ FSRremoS.EXE C:\ Program Files \ Lexmark 2400 Series \ ezprint.exe C:\ Program Files \ iTunes \ iTunesHelper.exe C:\ WINDOWS \ system32 \ ctfmon.exe C:\ Program Files \ Common Files \ Nero \ Lib \ NMBgMonitor.exe C:\ WINDOWS \ system32 \ Pelmiced.exe C:\ Program Files \ DNA \ btdna.exe C:\ Program Files \ Symantec \ Symantec Endpoint Protection \ SmcGui.exe C:\ Program Files \ Common Files \ Nero \ Lib \ NMIndexingService.exe C:\ WINDOWS \ system32 \ lxcrcoms.exe C:\ Program Files \ Common Files \ Nero \ Lib \ NMIndexStoreSvr.exe C:\ Program Files \ iPod \ bin \ iPodService.exe C:\ WINDOWS \ system32 \ wuauclt.exe C:\ WINDOWS \ explorer.exe C:\ Program Files \ Intelinet \ intelin2.exe C:\ Program Files \ Mozilla Firefox \ firefox.exe C:\ WINDOWS \ System32 \ svchost.exe C:\ Program Files \ Internet Explorer \ iexplore.exe C:\ Program Files \ Internet Explorer \ iexplore.exe C:\ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Almsms - {E9B5BA28-C732-49DC-94CE-9079F7F75F4E} - C:\WINDOWS\system32\avt.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

关系:

SmitFraudFix v2.380

扫描于2008年12月1日星期一22:09:45.71完成 从C:\ Documents and Settings \ Omar \ Desktop \ SmitfraudFix运行 操作系统:Microsoft Windows XP [Version 5.1.2600]-Windows_NT 文件系统类型为NTFS 修复以安全模式运行

SmitFraudFix之前的SharedTaskScheduler»»»»»»»»»»»»»»»»»»»»»» !!!注意,以下密钥不会不可避免地被感染!!!

S!Ri的SrchSTS.exe 搜索SharedTaskScheduler的.dll

»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»»»主机


127.0.0.1 localhost

VACFix»»»»»»»»»»»»»»»»»»»»»»»»»

VACFix 鸣谢:恶意软件分析和诊断 代号:S!Ri

»»»»»»»»»»»»»»»»»»»»»»»»»»Winsock2 Fix

S!Ri的WS2Fix:找不到LSP。

»»»»»»»»»»»»»»»»»»»»»»»»»»通用Renos Fix

S!Ri的GenericRenosFix

»»»»»»»»»»»»»»»»»»»»»»»»»删除受感染的文件

C:\ DOCUME〜1 \ Omar \ STARTM〜1 \ SMS TRAP.url已删除 C:\ DOCUME〜1 \ Omar \ FAVORI〜1 \ SMS TRAP.url已删除

»»»»»»»»»»»»»»»»»»»»»»»»»»IDEFix

IEDFix 鸣谢:恶意软件分析和诊断 代号:S!Ri

C:\ WINDOWS \ system32 \ avt.dll被删除。

404Fix»»»»»»»»»»»»»»»»»»»»»»»»»»404Fix

404修复 鸣谢:恶意软件分析和诊断 代号:S!Ri

»»»»»»»»»»»»»»»»»»»»»»»»»RK

»»»»»»»»»»»»»»»»»»»»»»»»»DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4192ACD2-4798-4BBF-AF3C-7AB6DD89EF92}: DhcpNameServer=208.180.83.133 208.180.42.68
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4192ACD2-4798-4BBF-AF3C-7AB6DD89EF92}: DhcpNameServer=208.180.83.133 208.180.42.68
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4192ACD2-4798-4BBF-AF3C-7AB6DD89EF92}: DhcpNameServer=208.180.83.133 208.180.42.68
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=208.180.83.133 208.180.42.68
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=208.180.83.133 208.180.42.68
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=208.180.83.133 208.180.42.68

»»»»»»»»»»»»»»»»»»»»»»»»»删除临时文件

»»»»»»»»»»»»»»»»»»»»»»»»Winlogon.System !!!注意,以下密钥不会不可避免地被感染!!!

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon] “系统” =“”

»»»»»»»»»»»»»»»»»»»»»»»»»»注册表清理

注册表清理完成。

SmitFraudFix之后的SharedTaskScheduler»»»»»»»»»»»»»»»»»»»»»»»»» !!!注意,以下密钥不会不可避免地被感染!!!

S!Ri的SrchSTS.exe 搜索SharedTaskScheduler的.dll

希望你能帮助我,在此先感谢