Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Re: 各位帮忙帮忙……

3 views
Skip to first unread message

肚朝前

unread,
Jun 22, 2005, 9:19:11 AM6/22/05
to
On Wed, 22 Jun 2005 18:18:56 +0800, 山水居士 <bliz...@cnuninet.com> wrote:
--

>破网站还没搞定。 www.ttjj.com 还是自动修改我的首页
>我在注册表里面把start page 给删了,只要再打开IE就又给改回去。
>抓了个log给各位看看,我是看不出什么名堂了。
>
>Logfile of HijackThis v1.99.1
>Scan saved at 18:03:38, on 2005-06-22
>Platform: Windows XP SP2 (WinNT 5.01.2600)
>MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
>
>Running processes:
>C:\WINDOWS\System32\smss.exe
>C:\WINDOWS\system32\winlogon.exe
>C:\WINDOWS\system32\services.exe
>C:\WINDOWS\system32\lsass.exe
>C:\WINDOWS\system32\svchost.exe
>C:\WINDOWS\System32\svchost.exe
>C:\WINDOWS\Explorer.EXE
>C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
>C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
>C:\WINDOWS\system32\spoolsv.exe
>C:\WINDOWS\system32\drivers\CDAC11BA.EXE
>C:\Program Files\Symantec AntiVirus\DefWatch.exe
>C:\WINDOWS\System32\svchost.exe
>C:\Program Files\Symantec AntiVirus\Rtvscan.exe
>C:\WINDOWS\system32\WFXSVC.EXE
>C:\WINDOWS\system32\Fast.exe
没见过

>D:\Program Files\Symantec\WinFax\WFXMOD32.EXE
>C:\Program Files\Microsoft Hardware\Mouse\point32.exe
>C:\Program Files\D-Tools\daemon.exe
>C:\Program Files\Common Files\Symantec Shared\ccApp.exe
>C:\PROGRA~1\SYMANT~1\VPTray.exe
>C:\WINDOWS\system32\wfxsnt40.exe
>C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
>C:\Program Files\QuickTime\qttask.exe
>C:\WINDOWS\VM_STI.EXE
不知道
>C:\WINDOWS\system32\CTHELPER.EXE
不知道
>C:\WINDOWS\system32\ctfmon.exe
>C:\Program Files\MSN Messenger\MsnMsgr.Exe
>C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
>C:\Program Files\Microsoft Chinese Date & Time\ICalClk.exe
>D:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
>D:\Program Files\Symantec\WinFax\WFXCTL32.EXE
>C:\WINDOWS\System32\svchost.exe
>C:\WINDOWS\system32\wuauclt.exe
>C:\Program Files\Outlook Express\msimn.exe
>C:\Documents and Settings\Gary Dou\Desktop\HijackThis.exe
>
>O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
>- C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
>O2 - BHO: CNav Class - {1954558D-BD14-420A-BC38-7F41F7A1DDBB} -
>C:\WINDOWS\system32\NAVIGA~1.DLL
>O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} -
>e:\Program Files\Tencent\QQ2004II\QQIEHelper.dll
>O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE
>/Spoil /RemAdvDef /Migration32
>O4 - HKLM\..\Run: [PHIME2002ASync]
>C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
>O4 - HKLM\..\Run: [PHIME2002A]
>C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
>O4 - HKLM\..\Run: [POINTER] point32.exe
这个是什么?

>O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program
>Files\D-Tools\daemon.exe" -lang 1033
>O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
>Shared\ccApp.exe"
>O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
>O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
>O4 - HKLM\..\Run: [HPDJ Taskbar Utility]
>C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
HP打印机?

>O4 - HKLM\..\Run: [QuickTime Task] "C:\Program
>Files\QuickTime\qttask.exe" -atboottime
>O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE AVSTAR AC-630
>O4 - HKLM\..\Run: [AudioHQ] C:\Program
>Files\Creative\SBLive\AudioHQ\AHQTB.EXE
>O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
>O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
>O4 - HKLM\..\Run: [Jet Detection] "C:\Program
>Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
>O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
>O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN
>Messenger\MsnMsgr.Exe" /background
>O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft
>ActiveSync\WCESCOMM.EXE"
>O4 - HKCU\..\Run: [MSCalsClocks] C:\Program Files\Microsoft Chinese
>Date & Time\ICalClk.exe
>O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
>Office\Office10\OSA.EXE
>O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Program
>Files\InterVideo\Common\Bin\WinCinemaMgr.exe
>O4 - Global Startup: Controller.LNK = D:\Program
>Files\Symantec\WinFax\WFXCTL32.EXE
>O8 - Extra context menu item: 导出到 Microsoft Excel(&x) -
>res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
>O8 - Extra context menu item: 添加到QQ自定义面板 - e:\Program
>Files\Tencent\QQ2004II\AddPanel.htm
>O8 - Extra context menu item: 添加到QQ表情 - e:\Program
>Files\Tencent\QQ2004II\AddEmotion.htm
>O8 - Extra context menu item: 用QQ彩信发送该图片 - e:\Program
>Files\Tencent\QQ2004II\SendMMS.htm
>O9 - Extra button: 创建移动收藏 -
>{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft
>ActiveSync\inetrepl.dll
>O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}
>- C:\Program Files\Microsoft ActiveSync\inetrepl.dll
>O9 - Extra 'Tools' menuitem: 创建移动收藏... -
>{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft
>ActiveSync\inetrepl.dll
>O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} -
>e:\Program Files\Tencent\QQ2004II\QQ.EXE
>O9 - Extra 'Tools' menuitem: 腾讯QQ -
>{c95fe080-8f5d-11d2-a20b-00aa003c157b} - e:\Program
>Files\Tencent\QQ2004II\QQ.EXE
>O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6}
>- e:\Program Files\Tencent\QQ2004II\QQIEHelper.dll
>O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 -
>{DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - e:\Program
>Files\Tencent\QQ2004II\QQIEHelper.dll
>O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}
>- C:\Program Files\Messenger\msmsgs.exe
>O9 - Extra 'Tools' menuitem: Windows Messenger -
>{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program
>Files\Messenger\msmsgs.exe
>O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) -
>https://img.alipay.com/download/aliedit.cab
>O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload
>Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
>O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl
>Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
>O17 -
>HKLM\System\CCS\Services\Tcpip\..\{232E187D-B203-48F6-9F1E-D6C354BE1FAD}:
>NameServer =
>10.0.0.138,202.102.24.35,61.177.7.1,221.228.255.1,218.2.135.1
>O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
>O23 - Service: C-DillaCdaC11BA - Macrovision -
>C:\WINDOWS\system32\drivers\CDAC11BA.EXE
>O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec
>Corporation - C:\Program Files\Common Files\Symantec
>Shared\ccEvtMgr.exe
>O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec
>Corporation - C:\Program Files\Common Files\Symantec
>Shared\ccPwdSvc.exe
>O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec
>Corporation - C:\Program Files\Common Files\Symantec
>Shared\ccSetMgr.exe
>O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) -
>Symantec Corporation - C:\Program Files\Symantec
>AntiVirus\DefWatch.exe
>O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program
>Files\Symantec AntiVirus\SavRoam.exe
>O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
>Corporation - C:\Program Files\Common Files\Symantec
>Shared\SNDSrvc.exe
>O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program
>Files\Symantec AntiVirus\Rtvscan.exe
>O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation -
>C:\WINDOWS\system32\WFXSVC.EXE
>
>
>
>
>
>If I cannot convince you,confuse you...


--
世界上最远的地方不是天涯海角,而是网通连电信!

山水居士

unread,
Jun 22, 2005, 8:03:18 AM6/22/05
to
explorer.exe不知道?我昏
cdac11ba.exe是个版权保护软件,据说是安装autocad带进来的
wfxsvc.exe winfax
fast.exe 忘了,好像是系统的
wfxmod32.exe 还是winfax
vptray.exe nav企业版
wfxsnt40.exe 还是winfax
vm_sti.exe 摄像头驱动
cthelper.exe 应该是creative声卡驱动的东西
wuauclt.exe 呃,这个哪里出来的,一直没在意。看看去

西元【Wed, 22 Jun 2005 19:34:00 +0800】,【Moses】 在【Re:
各位帮忙帮忙……】里大放厥詞:
--

>
>C:\WINDOWS\Explorer.EXE


>C:\WINDOWS\system32\drivers\CDAC11BA.EXE

>C:\WINDOWS\system32\WFXSVC.EXE
>C:\WINDOWS\system32\Fast.exe

>D:\Program Files\Symantec\WinFax\WFXMOD32.EXE

>C:\PROGRA~1\SYMANT~1\VPTray.exe
>C:\WINDOWS\system32\wfxsnt40.exe

>C:\WINDOWS\VM_STI.EXE
>C:\WINDOWS\system32\CTHELPER.EXE
>C:\WINDOWS\system32\wuauclt.exe
>
>以上这些进程不认识

山水居士

unread,
Jun 22, 2005, 11:59:15 AM6/22/05
to
谢!
慢慢试验中

西元【Wed, 22 Jun 2005 20:59:10 +0800】,【Lu Wei】 在【Re:
各位帮忙帮忙……】里大放厥詞:
--

>山水居士 wrote on 2005-6-22 18:18:
>> 破网站还没搞定。 www.ttjj.com 还是自动修改我的首页
>> 我在注册表里面把start page 给删了,只要再打开IE就又给改回去。
>> 抓了个log给各位看看,我是看不出什么名堂了。
>>

>先把进程能杀的全杀掉,系统重要进程它会告诉你杀不掉的。看看有没有杀不掉
>的。有的话查毒。没有的话打开那个internet属性(桌面上那个IE图标右键-属
>性,别打开IE!)把首页改成空白页。再开IE。如果又改回去了,立马看进程表是
>不是又有什么东西重生了,那个一定是病毒。唉,其实罗嗦了半天,查毒就是了。
>这样做呢只是为了定位是什么病毒好用搜索引擎找专杀工具。
>
>最好把IE插件也全卸掉,不过我不知道在哪里卸,hoho,烂IE。换用火狐吧。

snnn

unread,
Jun 22, 2005, 8:49:26 AM6/22/05
to
Moses wrote:
> 山> explorer.exe不知道?我昏
>
> 你刚才贴那个首字母是大写的啊~~
>
>
windows 不分大小写

--
巧者劳而智者忧,无能者无求,饱食而遨游,若不系之舟。
----snnn

山水居士

unread,
Jun 22, 2005, 11:52:14 AM6/22/05
to
靠……不许偷懒快点写作业……

西元【Wed, 22 Jun 2005 21:28:08 +0800】,【流星99】 在【Re:
各位帮忙帮忙……】里大放厥詞:
--

>偶是看到这大段的非中文就头晕,现在天又热,呵呵,看看别人能不能帮你吧,抱歉了~~
>
>在 Wed, 22 Jun 2005 18:18:56 +0800 时, 山水居士 <bliz...@cnuninet.com> 写了:

Moses

unread,
Jun 22, 2005, 8:55:25 AM6/22/05
to
进程表和文件系统是不一样的~~

--
楼上 snnn 说的 "Re: 各位帮忙帮忙……" 在某一分钟的第 26 秒被 Moses 所回复;
文件夹 ID 为 111056;
原帖 13 行共 1212 字节.

s> Moses wrote:
山>>> explorer.exe不知道?我昏

??>>
??>> 你刚才贴那个首字母是大写的啊~~
??>>
s> windows 不分大小写

山水居士

unread,
Jun 22, 2005, 7:59:35 AM6/22/05
to
ttjj全部杀干净了,没用

西元【Wed, 22 Jun 2005 19:11:24 +0800】,【DuckulA】 在【Re:
各位帮忙帮忙……】里大放厥詞:
--

>我晕了,很多程序都不认识啊
>干脆删除所有带有ttjj的键值,然后删掉run下所有。。。反正都不是系统必须,然后把需要的软件挨个启动就是了

Lu Wei

unread,
Jun 22, 2005, 8:59:10 AM6/22/05
to
山水居士 wrote on 2005-6-22 18:18:
> 破网站还没搞定。 www.ttjj.com 还是自动修改我的首页
> 我在注册表里面把start page 给删了,只要再打开IE就又给改回去。
> 抓了个log给各位看看,我是看不出什么名堂了。
>
先把进程能杀的全杀掉,系统重要进程它会告诉你杀不掉的。看看有没有杀不掉
的。有的话查毒。没有的话打开那个internet属性(桌面上那个IE图标右键-属
性,别打开IE!)把首页改成空白页。再开IE。如果又改回去了,立马看进程表是
不是又有什么东西重生了,那个一定是病毒。唉,其实罗嗦了半天,查毒就是了。
这样做呢只是为了定位是什么病毒好用搜索引擎找专杀工具。

最好把IE插件也全卸掉,不过我不知道在哪里卸,hoho,烂IE。换用火狐吧。

--
Regards

Lu Wei

山水居士

unread,
Jun 22, 2005, 8:04:47 AM6/22/05
to
wuauclt.exe Automatic Updates
没了这个,winxp不能自动升级了

西元【Wed, 22 Jun 2005 19:34:00 +0800】,【Moses】 在【Re:
各位帮忙帮忙……】里大放厥詞:
--

>


>C:\WINDOWS\Explorer.EXE
>C:\WINDOWS\system32\drivers\CDAC11BA.EXE
>C:\WINDOWS\system32\WFXSVC.EXE
>C:\WINDOWS\system32\Fast.exe
>D:\Program Files\Symantec\WinFax\WFXMOD32.EXE
>C:\PROGRA~1\SYMANT~1\VPTray.exe
>C:\WINDOWS\system32\wfxsnt40.exe
>C:\WINDOWS\VM_STI.EXE
>C:\WINDOWS\system32\CTHELPER.EXE
>C:\WINDOWS\system32\wuauclt.exe
>
>以上这些进程不认识

Moses

unread,
Jun 22, 2005, 8:25:05 AM6/22/05
to
山> explorer.exe不知道?我昏

你刚才贴那个首字母是大写的啊~~


--
楼上 山水居士 说的 "Re: 各位帮忙帮忙……" 在某一分钟的第 29 秒被 Moses

所回复;
文件夹 ID 为 111056;

原帖 34 行共 1618 字节.

山> explorer.exe不知道?我昏
山> cdac11ba.exe是个版权保护软件,据说是安装autocad带进来的
山> wfxsvc.exe winfax
山> fast.exe 忘了,好像是系统的
山> wfxmod32.exe 还是winfax
山> vptray.exe nav企业版
山> wfxsnt40.exe 还是winfax
山> vm_sti.exe 摄像头驱动
山> cthelper.exe 应该是creative声卡驱动的东西
山> wuauclt.exe 呃,这个哪里出来的,一直没在意。看看去

山> 西元【Wed, 22 Jun 2005 19:34:00 +0800】,【Moses】 在【Re:
山> 各位帮忙帮忙……】里大放厥詞:

Moses

unread,
Jun 22, 2005, 7:34:00 AM6/22/05
to

C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\WFXSVC.EXE
C:\WINDOWS\system32\Fast.exe
D:\Program Files\Symantec\WinFax\WFXMOD32.EXE
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\wuauclt.exe

以上这些进程不认识


--
楼上 山水居士 说的 "各位帮忙帮忙……" 在某一分钟的第 56 秒被 Moses 所回复;
文件夹 ID 为 111056;
原帖 161 行共 7936 字节.

山> O8 - Extra context menu item: 导出到 Microsoft Excel(&x) -
山>

res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

山> O8 - Extra context menu item: 添加到QQ自定义面板 - e:\Program
山> Files\Tencent\QQ2004II\AddPanel.htm
山> O8 - Extra context menu item: 添加到QQ表情 - e:\Program
山> Files\Tencent\QQ2004II\AddEmotion.htm
山> O8 - Extra context menu item: 用QQ彩信发送该图片 - e:\Program
山> Files\Tencent\QQ2004II\SendMMS.htm
山> O9 - Extra button: 创建移动收藏 -
山> {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program
山> Files\Microsoft ActiveSync\inetrepl.dll
山> O9 - Extra button: (no name) -
{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}
山> - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
山> O9 - Extra 'Tools' menuitem: 创建移动收藏... -
山> {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program
山> Files\Microsoft ActiveSync\inetrepl.dll
山> O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} -
山> e:\Program Files\Tencent\QQ2004II\QQ.EXE
山> O9 - Extra 'Tools' menuitem: 腾讯QQ -
山> {c95fe080-8f5d-11d2-a20b-00aa003c157b} - e:\Program
山> Files\Tencent\QQ2004II\QQ.EXE
山> O9 - Extra button: (no name) -
{DEDEB80D-FA35-45d9-9460-4983E5A8AFE6}
山> - e:\Program Files\Tencent\QQ2004II\QQIEHelper.dll
山> O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 -

山> If I cannot convince you,confuse you...

山水居士

unread,
Jun 22, 2005, 11:58:22 AM6/22/05
to
我的 winxp sp2 是英文vlk版的

C:\WINDOWS\system32\drivers\CDAC11BA.EXE
网上查了下,是个软件版权保护的插件,装autocad带进来的

C:\WINDOWS\system32\WFXSVC.EXE
winfax的文件,也不用怀疑

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
这个是PPC的同步工具,没的怀疑

O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE AVSTAR AC-630

这个是摄像头的驱动

还有好多不写了,暂时凑合了。反正一般很少用IE,myie暂时不受影响
天热,我也懒得慢慢折腾,多谢了。。。

西元【Wed, 22 Jun 2005 20:36:34 +0800】,【snnn】 在【Re:
各位帮忙帮忙……】里大放厥詞:
--

>山水居士 wrote:
>> 破网站还没搞定。 www.ttjj.com 还是自动修改我的首页
>> 我在注册表里面把start page 给删了,只要再打开IE就又给改回去。

> 在gpedit.msc中设为禁止更改主页
>
>
>> Logfile of HijackThis v1.99.1
>没用过


>
>> Scan saved at 18:03:38, on 2005-06-22
>> Platform: Windows XP SP2 (WinNT 5.01.2600)

>我没有用过sp2,尽力而为了


>
>> MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
>>

>你的版本是?
>我的是6.0.2800.1106.xpsp2.050301-1526
>可能因为我是sp1的缘故吧。
>这个月打补丁没?


>
>
>> Running processes:
>> C:\WINDOWS\System32\smss.exe

>Session Manager,the first user-mode process created in the system
>> C:\WINDOWS\system32\winlogon.exe
>The Winlogon configuration uses the standard Windows logon process that ships
>with Windows XP Professional.
>这个大家都很熟悉,我想就不用多说了
>
>> C:\WINDOWS\system32\lsass.exe
>
>
>> C:\WINDOWS\system32\services.exe
>以services.exe方式运行的服务。


>> C:\WINDOWS\system32\svchost.exe
>> C:\WINDOWS\System32\svchost.exe

>> C:\WINDOWS\System32\svchost.exe

山水居士

unread,
Jun 22, 2005, 6:18:56 AM6/22/05
to
破网站还没搞定。 www.ttjj.com 还是自动修改我的首页
我在注册表里面把start page 给删了,只要再打开IE就又给改回去。
抓了个log给各位看看,我是看不出什么名堂了。

Logfile of HijackThis v1.99.1


Scan saved at 18:03:38, on 2005-06-22
Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe


C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe


C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\Symantec AntiVirus\DefWatch.exe

C:\WINDOWS\System32\svchost.exe


C:\Program Files\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\system32\WFXSVC.EXE
C:\WINDOWS\system32\Fast.exe
D:\Program Files\Symantec\WinFax\WFXMOD32.EXE

C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\wfxsnt40.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\CTHELPER.EXE

C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\Microsoft Chinese Date & Time\ICalClk.exe
D:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

D:\Program Files\Symantec\WinFax\WFXCTL32.EXE
C:\WINDOWS\System32\svchost.exe


C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Documents and Settings\Gary Dou\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
- C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CNav Class - {1954558D-BD14-420A-BC38-7F41F7A1DDBB} -
C:\WINDOWS\system32\NAVIGA~1.DLL

O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} -


e:\Program Files\Tencent\QQ2004II\QQIEHelper.dll

O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE
/Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync]
C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A]
C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [POINTER] point32.exe


O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program
Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility]
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program
Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE AVSTAR AC-630

O4 - HKLM\..\Run: [AudioHQ] C:\Program
Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program
Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN
Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft
ActiveSync\WCESCOMM.EXE"


O4 - HKCU\..\Run: [MSCalsClocks] C:\Program Files\Microsoft Chinese
Date & Time\ICalClk.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office10\OSA.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Program
Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Controller.LNK = D:\Program
Files\Symantec\WinFax\WFXCTL32.EXE


O8 - Extra context menu item: 导出到 Microsoft Excel(&x) -

res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: 添加到QQ自定义面板 - e:\Program

Files\Tencent\QQ2004II\AddPanel.htm


O8 - Extra context menu item: 添加到QQ表情 - e:\Program

Files\Tencent\QQ2004II\AddEmotion.htm


O8 - Extra context menu item: 用QQ彩信发送该图片 - e:\Program

Files\Tencent\QQ2004II\SendMMS.htm


O9 - Extra button: 创建移动收藏 -

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft
ActiveSync\inetrepl.dll


O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}

- C:\Program Files\Microsoft ActiveSync\inetrepl.dll


O9 - Extra 'Tools' menuitem: 创建移动收藏... -

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft
ActiveSync\inetrepl.dll


O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} -

e:\Program Files\Tencent\QQ2004II\QQ.EXE

O9 - Extra 'Tools' menuitem: 腾讯QQ -

{c95fe080-8f5d-11d2-a20b-00aa003c157b} - e:\Program
Files\Tencent\QQ2004II\QQ.EXE


O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6}

- e:\Program Files\Tencent\QQ2004II\QQIEHelper.dll

O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 -

{DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - e:\Program
Files\Tencent\QQ2004II\QQIEHelper.dll


O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}
- C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program
Files\Messenger\msmsgs.exe
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) -
https://img.alipay.com/download/aliedit.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload
Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl
Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{232E187D-B203-48F6-9F1E-D6C354BE1FAD}:
NameServer =
10.0.0.138,202.102.24.35,61.177.7.1,221.228.255.1,218.2.135.1
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: C-DillaCdaC11BA - Macrovision -

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec
Corporation - C:\Program Files\Common Files\Symantec
Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec
Corporation - C:\Program Files\Common Files\Symantec
Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec
Corporation - C:\Program Files\Common Files\Symantec
Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) -
Symantec Corporation - C:\Program Files\Symantec
AntiVirus\DefWatch.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program
Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:\Program Files\Common Files\Symantec
Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program
Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation -
C:\WINDOWS\system32\WFXSVC.EXE

If I cannot convince you,confuse you...

Moses

unread,
Jun 22, 2005, 8:30:01 AM6/22/05
to
估计你问题不在进程里~~

--
楼上 山水居士 说的 "Re: 各位帮忙帮忙……" 在某一分钟的第 06 秒被 Moses

所回复;
文件夹 ID 为 111056;

原帖 26 行共 1359 字节.

山> wuauclt.exe Automatic Updates
山> 没了这个,winxp不能自动升级了

山> 西元【Wed, 22 Jun 2005 19:34:00 +0800】,【Moses】 在【Re:
山> 各位帮忙帮忙……】里大放厥詞:

流星99

unread,
Jun 22, 2005, 9:28:08 AM6/22/05
to
偶是看到这大段的非中文就头晕,现在天又热,呵呵,看看别人能不能帮你吧,抱歉了~~

在 Wed, 22 Jun 2005 18:18:56 +0800 时, 山水居士 <bliz...@cnuninet.com> 写了:

--

>破网站还没搞定。 www.ttjj.com 还是自动修改我的首页
>我在注册表里面把start page 给删了,只要再打开IE就又给改回去。
>抓了个log给各位看看,我是看不出什么名堂了。
>
>Logfile of HijackThis v1.99.1
>Scan saved at 18:03:38, on 2005-06-22
>Platform: Windows XP SP2 (WinNT 5.01.2600)
>MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

我是流星,虽然一闪而过,
也希望能留下美丽的光芒。
欢迎光临 news://news.cn99.com/cn.fan
中国fans的新闻组,中国fans的家......

DuckulA

unread,
Jun 22, 2005, 7:11:24 AM6/22/05
to
我晕了,很多程序都不认识啊
干脆删除所有带有ttjj的键值,然后删掉run下所有。。。反正都不是系统必须,然后把需要的软件挨个启动就是了

Hello, 山水居士!
You wrote on Wed, 22 Jun 2005 18:18:56 +0800:

山> Logfile of HijackThis v1.99.1
山> Scan saved at 18:03:38, on 2005-06-22
山> Platform: Windows XP SP2 (WinNT 5.01.2600)
山> MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

山> Running processes:
山> C:\WINDOWS\System32\smss.exe
山> C:\WINDOWS\system32\winlogon.exe
山> C:\WINDOWS\system32\services.exe
山> C:\WINDOWS\system32\lsass.exe
山> C:\WINDOWS\system32\svchost.exe
山> C:\WINDOWS\System32\svchost.exe
山> C:\WINDOWS\Explorer.EXE
山> C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
山> C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
山> C:\WINDOWS\system32\spoolsv.exe
山> C:\WINDOWS\system32\drivers\CDAC11BA.EXE
山> C:\Program Files\Symantec AntiVirus\DefWatch.exe
山> C:\WINDOWS\System32\svchost.exe
山> C:\Program Files\Symantec AntiVirus\Rtvscan.exe
山> C:\WINDOWS\system32\WFXSVC.EXE
山> C:\WINDOWS\system32\Fast.exe
山> D:\Program Files\Symantec\WinFax\WFXMOD32.EXE
山> C:\Program Files\Microsoft Hardware\Mouse\point32.exe
山> C:\Program Files\D-Tools\daemon.exe
山> C:\Program Files\Common Files\Symantec Shared\ccApp.exe
山> C:\PROGRA~1\SYMANT~1\VPTray.exe
山> C:\WINDOWS\system32\wfxsnt40.exe
山> C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
山> C:\Program Files\QuickTime\qttask.exe
山> C:\WINDOWS\VM_STI.EXE
山> C:\WINDOWS\system32\CTHELPER.EXE
山> C:\WINDOWS\system32\ctfmon.exe
山> C:\Program Files\MSN Messenger\MsnMsgr.Exe
山> C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
山> C:\Program Files\Microsoft Chinese Date & Time\ICalClk.exe
山> D:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
山> D:\Program Files\Symantec\WinFax\WFXCTL32.EXE
山> C:\WINDOWS\System32\svchost.exe
山> C:\WINDOWS\system32\wuauclt.exe
山> C:\Program Files\Outlook Express\msimn.exe
山> C:\Documents and Settings\Gary Dou\Desktop\HijackThis.exe

山> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
山> - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
山> O2 - BHO: CNav Class - {1954558D-BD14-420A-BC38-7F41F7A1DDBB} -
山> C:\WINDOWS\system32\NAVIGA~1.DLL
山> O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} -
山> e:\Program Files\Tencent\QQ2004II\QQIEHelper.dll
山> O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE
山> /Spoil /RemAdvDef /Migration32
山> O4 - HKLM\..\Run: [PHIME2002ASync]
山> C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
山> O4 - HKLM\..\Run: [PHIME2002A]
山> C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
山> O4 - HKLM\..\Run: [POINTER] point32.exe
山> O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program
山> Files\D-Tools\daemon.exe" -lang 1033
山> O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
山> Shared\ccApp.exe"
山> O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
山> O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
山> O4 - HKLM\..\Run: [HPDJ Taskbar Utility]
山> C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
山> O4 - HKLM\..\Run: [QuickTime Task] "C:\Program
山> Files\QuickTime\qttask.exe" -atboottime
山> O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE AVSTAR AC-630
山> O4 - HKLM\..\Run: [AudioHQ] C:\Program
山> Files\Creative\SBLive\AudioHQ\AHQTB.EXE
山> O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
山> O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
山> O4 - HKLM\..\Run: [Jet Detection] "C:\Program
山> Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
山> O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
山> O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN
山> Messenger\MsnMsgr.Exe" /background
山> O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft
山> ActiveSync\WCESCOMM.EXE"
山> O4 - HKCU\..\Run: [MSCalsClocks] C:\Program Files\Microsoft Chinese
山> Date & Time\ICalClk.exe
山> O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
山> Office\Office10\OSA.EXE
山> O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Program
山> Files\InterVideo\Common\Bin\WinCinemaMgr.exe
山> O4 - Global Startup: Controller.LNK = D:\Program
山> Files\Symantec\WinFax\WFXCTL32.EXE


山> O8 - Extra context menu item: 导出到 Microsoft Excel(&x) -
山> res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
山> O8 - Extra context menu item: 添加到QQ自定义面板 - e:\Program
山> Files\Tencent\QQ2004II\AddPanel.htm
山> O8 - Extra context menu item: 添加到QQ表情 - e:\Program
山> Files\Tencent\QQ2004II\AddEmotion.htm
山> O8 - Extra context menu item: 用QQ彩信发送该图片 - e:\Program
山> Files\Tencent\QQ2004II\SendMMS.htm

山> O9 - Extra button: 创建移动收藏 -
山> {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft
山> ActiveSync\inetrepl.dll
山> O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}
山> - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
山> O9 - Extra 'Tools' menuitem: 创建移动收藏... -
山> {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft
山> ActiveSync\inetrepl.dll


山> O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} -
山> e:\Program Files\Tencent\QQ2004II\QQ.EXE
山> O9 - Extra 'Tools' menuitem: 腾讯QQ -
山> {c95fe080-8f5d-11d2-a20b-00aa003c157b} - e:\Program
山> Files\Tencent\QQ2004II\QQ.EXE

山> O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6}
山> - e:\Program Files\Tencent\QQ2004II\QQIEHelper.dll
山> O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 -
山> {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - e:\Program
山> Files\Tencent\QQ2004II\QQIEHelper.dll
山> O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}
山> - C:\Program Files\Messenger\msmsgs.exe
山> O9 - Extra 'Tools' menuitem: Windows Messenger -
山> {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program
山> Files\Messenger\msmsgs.exe
山> O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) -
山> https://img.alipay.com/download/aliedit.cab
山> O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload
山> Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
山> O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl
山> Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
山> O17 -
山>

HKLM\System\CCS\Services\Tcpip\..\{232E187D-B203-48F6-9F1E-D6C354BE1FAD}

山> : NameServer =
山> 10.0.0.138,202.102.24.35,61.177.7.1,221.228.255.1,218.2.135.1
山> O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
山> O23 - Service: C-DillaCdaC11BA - Macrovision -
山> C:\WINDOWS\system32\drivers\CDAC11BA.EXE
山> O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec
山> Corporation - C:\Program Files\Common Files\Symantec
山> Shared\ccEvtMgr.exe
山> O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec
山> Corporation - C:\Program Files\Common Files\Symantec
山> Shared\ccPwdSvc.exe
山> O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec
山> Corporation - C:\Program Files\Common Files\Symantec
山> Shared\ccSetMgr.exe
山> O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) -
山> Symantec Corporation - C:\Program Files\Symantec
山> AntiVirus\DefWatch.exe
山> O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program
山> Files\Symantec AntiVirus\SavRoam.exe
山> O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
山> Corporation - C:\Program Files\Common Files\Symantec
山> Shared\SNDSrvc.exe
山> O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program
山> Files\Symantec AntiVirus\Rtvscan.exe
山> O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation -
山> C:\WINDOWS\system32\WFXSVC.EXE


With best regards, DuckulA. E-mail: For...@gmail.com


snnn

unread,
Jun 22, 2005, 8:36:34 AM6/22/05
to
山水居士 wrote:
> 破网站还没搞定。 www.ttjj.com 还是自动修改我的首页
> 我在注册表里面把start page 给删了,只要再打开IE就又给改回去。
在gpedit.msc中设为禁止更改主页


> Logfile of HijackThis v1.99.1
没用过

> Scan saved at 18:03:38, on 2005-06-22


> Platform: Windows XP SP2 (WinNT 5.01.2600)

我没有用过sp2,尽力而为了

> MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
>

你的版本是?
我的是6.0.2800.1106.xpsp2.050301-1526
可能因为我是sp1的缘故吧。
这个月打补丁没?


> Running processes:
> C:\WINDOWS\System32\smss.exe

Session Manager,the first user-mode process created in the system
> C:\WINDOWS\system32\winlogon.exe
The Winlogon configuration uses the standard Windows logon process that ships
with Windows XP Professional.
这个大家都很熟悉,我想就不用多说了

> C:\WINDOWS\system32\lsass.exe


> C:\WINDOWS\system32\services.exe
以services.exe方式运行的服务。


> C:\WINDOWS\system32\svchost.exe
> C:\WINDOWS\System32\svchost.exe

> C:\WINDOWS\System32\svchost.exe
以svchost.exe方式运行的服务。

以上这三个就是所谓的介于黑白两道之间的中间派。因为它们把自己的名称隐藏起来了。
单凭肉眼是看不出来的。这也是往往最终怀疑的焦点。解决方法是
去微软的网站下载一个windows xp debug tools package,里面有一个tlist.exe
运行tlist.exe,你可以得到类似于以下的输出
0 System Process
4 System
160 smss.exe
216 csrss.exe Title:
208 winlogon.exe Title: NetDDE Agent
268 services.exe Svcs: Eventlog,PlugPlay
280 lsass.exe Svcs: Netlogon,PolicyAgent,ProtectedStorage,SamSs
416 svchost.exe Svcs: RpcSs
444 svchost.exe Svcs:
AudioSrv,CryptSvc,Dhcp,EventSystem,FastUserSwitching,CompatibilityServices,helpsvc,Irmon,lanmanserver,lanmanworkstation,Netman,Nla,Schedule,SENS,ShellHWDetection,srservice,TapiSrv,TermService,ThemeService,uploadmgr,W32Time,winmgmt,WmdmPmSp
504 svchost.exe Svcs: Dnscache
372 svchost.exe Svcs: LmHosts,Messenger,RemoteRegistry,SSDPSRV,WebClient
616 spoolsv.exe Svcs: Spooler
680 inojobsv.exe Svcs: InocuLAN Anti-Virus Server
700 emsvc.exe Svcs: EMSVC
912 fxssvc.exe Svcs: Fax
192 explorer.exe Title: Program Manager
1076 svchost.exe Svcs: stisvc
于是他们就都出来了。


> C:\WINDOWS\Explorer.EXE
Windows Graphics Shell

> C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
> C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

> C:\Program Files\Symantec AntiVirus\DefWatch.exe

> C:\Program Files\Symantec AntiVirus\Rtvscan.exe

来自诺顿的东西,不用怀疑。

> C:\WINDOWS\system32\spoolsv.exe
Print Spooler service

> C:\WINDOWS\system32\drivers\CDAC11BA.EXE

不知道这是你的什么驱动,找到它,右键点属性,看公司名称。

> C:\WINDOWS\system32\WFXSVC.EXE
未知

> C:\WINDOWS\system32\Fast.exe
未知

> D:\Program Files\Symantec\WinFax\WFXMOD32.EXE

不明

> C:\Program Files\Microsoft Hardware\Mouse\point32.exe

鼠标驱动

> C:\Program Files\D-Tools\daemon.exe

虚拟光驱

> C:\Program Files\Common Files\Symantec Shared\ccApp.exe

诺顿

> C:\PROGRA~1\SYMANT~1\VPTray.exe
诺顿

> C:\WINDOWS\system32\wfxsnt40.exe
不明

> C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

应该是你的惠普打印机的驱动

> C:\Program Files\QuickTime\qttask.exe

QuickTime

> C:\WINDOWS\VM_STI.EXE
不明

> C:\WINDOWS\system32\CTHELPER.EXE
不明

> C:\WINDOWS\system32\ctfmon.exe
输入法?

> C:\Program Files\MSN Messenger\MsnMsgr.Exe

msn messager

> C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

没用过,不知道

> C:\Program Files\Microsoft Chinese Date & Time\ICalClk.exe

不知道,没用过

> D:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

没用过,不知道

> D:\Program Files\Symantec\WinFax\WFXCTL32.EXE

不明

> C:\WINDOWS\System32\svchost.exe
已说过

> C:\WINDOWS\system32\wuauclt.exe
windows update

> C:\Program Files\Outlook Express\msimn.exe

oe

> C:\Documents and Settings\Gary Dou\Desktop\HijackThis.exe

杀!没的商量

>
> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
> - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

尽管它不是病毒,但是它害得我的IE/explorer频繁死掉,我深恶痛绝!

> O2 - BHO: CNav Class - {1954558D-BD14-420A-BC38-7F41F7A1DDBB} -
> C:\WINDOWS\system32\NAVIGA~1.DLL

诺顿

> O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} -
> e:\Program Files\Tencent\QQ2004II\QQIEHelper.dll

TMD!
看见QQ就不爽!
流氓!

> O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE
> /Spoil /RemAdvDef /Migration32

日语输入法,建议关闭

> O4 - HKLM\..\Run: [PHIME2002ASync]
> C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

输入法

> O4 - HKLM\..\Run: [PHIME2002A]
> C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

输入法

> O4 - HKLM\..\Run: [POINTER] point32.exe

鼠标驱动

> O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program
> Files\D-Tools\daemon.exe" -lang 1033

虚拟光驱

> O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
> Shared\ccApp.exe"

诺顿

> O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe

诺顿

> O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe

传真机的驱动?

> O4 - HKLM\..\Run: [HPDJ Taskbar Utility]
> C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

HP打印机的驱动?

> O4 - HKLM\..\Run: [QuickTime Task] "C:\Program
> Files\QuickTime\qttask.exe" -atboottime

quicktime

> O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE AVSTAR AC-630

不明,怀疑

> O4 - HKLM\..\Run: [AudioHQ] C:\Program
> Files\Creative\SBLive\AudioHQ\AHQTB.EXE

创新声卡的驱动?

> O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

winDVD的托盘?

> O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

高度怀疑对象

> O4 - HKLM\..\Run: [Jet Detection] "C:\Program
> Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

创新声卡的驱动?

> O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

输入法

> O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN
> Messenger\MsnMsgr.Exe" /background

msn

> O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft
> ActiveSync\WCESCOMM.EXE"

没用过

> O4 - HKCU\..\Run: [MSCalsClocks] C:\Program Files\Microsoft Chinese
> Date & Time\ICalClk.exe

没用过

> O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
> Office\Office10\OSA.EXE

???
我的机子上怎么没有这个?
OSA是?

晕??
还有这么多?不写了。

肚朝前

unread,
Jun 22, 2005, 9:12:09 AM6/22/05
to
On Wed, 22 Jun 2005 20:03:18 +0800, 山水居士 <bliz...@cnuninet.com> wrote:
--

>explorer.exe不知道?我昏


>cdac11ba.exe是个版权保护软件,据说是安装autocad带进来的
>wfxsvc.exe winfax
>fast.exe 忘了,好像是系统的

这个没见过

>wfxmod32.exe 还是winfax
>vptray.exe nav企业版
>wfxsnt40.exe 还是winfax
>vm_sti.exe 摄像头驱动
>cthelper.exe 应该是creative声卡驱动的东西
>wuauclt.exe 呃,这个哪里出来的,一直没在意。看看去

自动升级程序
>


--
世界上最远的地方不是天涯海角,而是网通连电信!

阿耨多罗三藐三菩提

unread,
Jun 22, 2005, 7:17:56 PM6/22/05
to

> wuauclt.exe 呃,这个哪里出来的,一直没在意。看看去

好像是Windows自动更新的程序


流星99

unread,
Jun 23, 2005, 9:29:27 AM6/23/05
to
实在是没心思去折腾那么长长的记录了.......

给你一个偷懒的办法,你要是愿意可以试试:

用开始--运行,如果是WIN2K的话,是regedt32.exe,如果是XP/2003的话,是regedit.exe,
然后定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main,选中Main文件夹,
做一些必要的修改(比如去掉原有的那个Start Page),然后对于WIN2K来说,
点击菜单“安全”下的“权限”,对于XP/2003来说,点击“编辑”菜单下的“权限”,
在弹出的对话框里,去掉最下边的“允许将来自父系的可继承权限传播给该对象”前的钩,
在弹出的警告框里点击删除,然后点击添加按钮,选中EveryOne,点击添加,
然后确定,回到刚才那个权限对话框,这时上边的框里就只有一个EveryOne了,
选中这个EveryOne,在下边的权限那里除了“读取”后边的“允许”打钩外,
其余的钩全部去掉,确定即可。
依此类推,再定位到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,
选中Main文件夹,照上面的过程办理。

这个办法是利用注册表的权限,阻止程序修改IE的选项(实际上,这样操作过了以后,
即使你自己在IE选项里修改了主页等项目以后,也是无法保存的--保存后再打开,
你会发现一切依然是修改前的状态),类似的,如果你愿意的话,还可以修改Run等键值的权限。

需要注意的是,在WIN2K里只有32位的注册表编辑器regedt32.exe可以修改注册表权限,
在WINXP/2003里只要regedit.exe就可以了,在修改权限时,你自己的用户权限必须是管理员,
而且一旦做了上述权限设置以后,除了运行在ring 0级权限的程序以外,
任何程序都无法修改上述的项目了(即使是注册表编辑器也不行),如果你自己需要修改的话,
需要先在注册表编辑器里恢复原先的权限设置,然后才可以编辑。

BTW:我这样设置过以后,就再也没给任何人或者程序修改过IE的首页(包括我自己,哈哈)。

在 Wed, 22 Jun 2005 23:52:14 +0800 时, 山水居士 <bliz...@cnuninet.com> 写了:
--

>靠……不许偷懒快点写作业……
>
>
>西元【Wed, 22 Jun 2005 21:28:08 +0800】,【流星99】 在【Re:
>各位帮忙帮忙……】里大放厥詞:
>--
>
>>偶是看到这大段的非中文就头晕,现在天又热,呵呵,看看别人能不能帮你吧,抱歉了~~
>>
>>在 Wed, 22 Jun 2005 18:18:56 +0800 时, 山水居士 <bliz...@cnuninet.com> 写了:
>

我是流星,虽然一闪而过,

思斯

unread,
Jul 1, 2005, 7:07:24 AM7/1/05
to
好像是Windows Update~

在 Wed, 22 Jun 2005 20:03:18 +0800 时, 山水居士 <bliz...@cnuninet.com> 在抽泣:
--

>wuauclt.exe 呃,这个哪里出来的,一直没在意。看看去

-----
伟大的米兰城有两只伟大的球队,一只是AC Milan,另一支是AC Milan青年队。

0 new messages