吧主来帮忙看下进程~ _ 计算机 _ 中金贴吧

吧主： osbug

吧主来帮忙看下进程~

楼主： long1 2006-08-27 16:33

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      16:51:43, 日期 2006-8-27
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\SMSS.EXE
C:\WINDOWS\system32\intenat.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\LSASS.exe
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\system\realsched.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\winampa.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
E:\TDdownload\程序\HijackThis1991.exe

R3 - URLSearchHook: (no name) - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - (n

回复交流

1 楼

作者： long1 2006-08-27 16:33

回复引用

o file)
R3 - URLSearchHook: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe 1
F3 - REG:win.ini: load=C:\WINDOWS\400i12b.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mouser.exe
O2 - BHO: MonitorURL Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\PROGRA~1\DESKAD~1\deskipn.dll
O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll
O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_5002.dll
O2 - BHO: (no name) - {295CD217-AD34-4B66-91BA-48D5EFD9CA20} - C:\WINDOWS\system32\NBBHO.dll
O2 - BHO: NewWeb Controller - {9ACEEE31-1440-471B-AA46-72B061FE7D61} - C:\WINDOWS\system32\WinSC.dll
O2 - BHO: RealPlayer Control - {BDBFE1F2-14C7-42D3-ACC7-4C2757F27F55} - C:\WINDOWS\system32\rmod3260.dll
O2 - BHO: Webacc - {CAC068F3-A608-406B-8581-458788A67694} - C:\WINDOWS\system32\svchost.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
O2 - BHO: BHelper Class - {F2E37336-BFDB-409B-8D0E-6F013C438B20} - C:\WINDOWS\400o12b0.dll
O3 - IE工具栏增项: IE标准栏 - {954F618B-0DEC-4D1A-9317-E0FC96F87865} -

2 楼

作者： long1 2006-08-27 16:33

回复引用

;C:\WINDOWS\system32\amstreamxb.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [] C:\WINDOWS\system32\intenat.exe
O4 - 启动项HKLM\\Run: [ToP] C:\WINDOWS\LSASS.exe
O4 - 启动项HKLM\\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - 启动项HKLM\\Run: [TProgram] C:\WINDOWS\SMSS.EXE
O4 - 启动项HKLM\\Run: [spoolsv] C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
O4 - 启动项HKLM\\Run: [HupooShell] "C:\dwnSetup\HupShell.exe"
O4 - 启动项HKLM\\Run: [MSService_v1.0] C:\WINDOWS\system\realsched.exe
O4 - 启动项HKLM\\Run: [Hupoo] "C:\WINDOWS\system32\Hupoo.exe "
O4 - 启动项HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - 启动项HKLM\\Run: [svc] C:\WINDOWS\svchost.exe
O4 - 启动项HKLM\\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnnt]

3 楼

作者： long1 2006-08-27 16:33

回复引用

;C:\WINDOWS\winampa.exe
O4 - HKCU\..\Run: [svc] C:\WINDOWS\svchost.exe
O4 - Startup: office文件检索.exe
O4 - Global Startup: IE-Bar.lnk = C:\Program Files\Common Files\IE-Bar\iebar.exe
O8 - IE右键菜单中的新增项目: 添加到雅虎订阅(&Y) - res://C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yrss.dll/YRSSMENUEXT
O8 - IE右键菜单中的新增项目: 雅虎搜索 - res://C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll/246
O9 - 浏览器额外的按钮: Yahoo 3.5G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)
O9 - 浏览器额外的按钮: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao (file missing)
O9 - 浏览器额外的按钮: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg (file missing)
O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows

4 楼

作者： long1 2006-08-27 16:33

回复引用

Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\quartz32.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\quartz32.dll
O11 - Options group: [!CNS] 网络实名
O17 - HKLM\System\CCS\Services\Tcpip\..\{280ECF62-A831-41FD-A22A-D813F69A3889}: NameServer = 61.134.1.4 218.30.19.40
O17 - HKLM\System\CS1\Services\Tcpip\..\{280ECF62-A831-41FD-A22A-D813F69A3889}: NameServer = 61.134.1.4 218.30.19.40
O17 - HKLM\System\CS2\Services\Tcpip\..\{280ECF62-A831-41FD-A22A-D813F69A3889}: NameServer = 61.134.1.4 218.30.19.40
O21 - SSODL: DelayRun - {5A6F2F95-3191-433B-8533-EB0B596A7BAC} - C:\WINDOWS\system32\400d12b0.dll

5 楼

作者： long1 2006-08-27 16:33

回复引用

出什么问题了啊?/~

6 楼

作者： osbug 2006-08-28 08:25

回复引用

(一)HijackThis日志纵览
R0，R1，R2，R3 Internet Explorer（IE）的默认起始主页和默认搜索页的改变
F0，F1，F2，F3 ini文件中的自动加载程序
N1，N2，N3，N4 Netscape/Mozilla 的默认起始主页和默认搜索页的改变
O1 Hosts文件重定向
O2 Browser Helper Objects（BHO，浏览器辅助模块）
O3 IE浏览器的工具条
O4 自启动项
O5 控制面板中被屏蔽的IE选项
O6 IE选项被管理员禁用
O7 注册表编辑器（regedit）被管理员禁用
O8 IE的右键菜单中的新增项目
O9 额外的IE“工具”菜单项目及工具栏按钮
O10 Winsock LSP“浏览器绑架”
O11 IE的高级选项中的新项目
O12 IE插件
O13 对IE默认的URL前缀的修改
O14 对“重置WEB设置”的修改
O15 “受信任的站点”中的不速之客
O16 Downloaded Program Files目录下的那些ActiveX对象
O17 域“劫持”
O18 额外的协议和协议“劫持”
O19 用户样式表（stylesheet）“劫持”

(二)组别――R
1. 项目说明
R ？C 注册表中Internet Explorer（IE）的默认起始主页和默认搜索页的改变
R0 - 注册表中IE主页/搜索页默认键值的改变
R1 - 新建的注册表值（V），或称为键值，可能导致IE主页/搜索页的改变
R2 - 新建的注册表项（K），或称为键，可能导致IE主页/搜索页的改变
R3 - 在本来应该只有一个键值的地方新建的额外键值，可能导致IE搜索页的改变
R3主要出现在URLSearchHooks这一项目上，当我们在IE中输入错误的网址后，浏览器会试图在注册表中这一项列出的位置找到进一步查询的线索。正常情况下，当我们在IE中输入错误的网址后，浏览器会使用默认的搜索引擎（如http://search.msn.com/、网络实名等）来查找匹配项目。如果HijackThis报告R3项，相关的“浏览器绑架”现象可能是：当在IE中输入错误的网址后，被带到某个莫名其妙的搜索网站甚至其它网页。

一般建议:

对于R0、R1，如果您认得后面的网址，知道它是安全的，甚至那就是您自己这样设置的，当然不用去修复。否则的话，在那一行前面打勾，然后按“Fix checked”，让HijackThis修复它。对于R2项，据HijackThis的作者说，实际上现在还没有用到。对于R3，一般总是要选修复，除非它指向一个您认识的程序。

7 楼

作者：山里人 2007-01-15 08:53

回复引用

用360安全卫士把那些流氓插件清楚掉吧。瑞星的卡卡上网安全助手也不错。

8 楼

作者： india 2007-01-18 22:58

回复引用

转到页

参与评论