启动项和注册表找不到这个

1970按置顶那个贴子的操作步骤生成一个 Hijackthis 的分析报告贴上来。

F3 - REG:win.ini: run=C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\RunServices: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\RunServices: [services] C:\WINDOWS\services.exe
services.exe应该在system32目录下，这个一看就知道是个伪装的恶意文件。

O2 - BHO: URLMonitor Class - {3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92} - C:\WINDOWS\system32\hap.dll
O2 - BHO: DownloadValue Class - {616D4040-5712-4F0F-BCF1-5C6420A99E14} - C:\WINDOWS\system32\winhtp.dll
这两个是“很棒小秘书”的木马文件。

O2 - BHO: MMSAssist - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\system32\stdup.dll
O8 - Extra context menu item:   >> 彩信发送 << - res://C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL/mms.htm
O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
O9 - Extra 'Tools' menuitem: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
彩信通的广告文件，不停弹出广告网页的原因就是它导致的。

以上的注册表项全都要修复。


O2 - BHO: CAP Class - {B8CCDD47-38E4-4CD2-B7FA-3B4B690F74BD} - C:\WINDOWS\system32\dtap.dll
这个不知道是什么东西。从google上也查不出来。有谁知道请告诉一声。
—————————————————————————————————————————————

然后再来详细讲 一下如何彻底清除掉“很棒小秘书”和“彩信通”

先从控制面板的“添加/删除程序”里卸载“很棒小秘书”，
然后检查系统，以下这些文件都是“很棒小秘书”植入系统的，应当删除：
C:\WINDOWS\system32\winup.exe
C:\WINDOWS\system32\winhtp.dll
C:\WINDOWS\SoftwareDistribution\Download\……\update\spcustom.dll
c:\windows\system32\uninstall.exe
c:\windows\system32\henbagkiller.exe
C:\WINDOWS\system32\hap.dll
C:\WINDOWS\system32\hda.ini
C:\Program Files\henbang\整个文件夹
然后打开IE，选择“internet选项”——选择“程序”页，点击“管理加载项”——从打开的窗口中选中“UrlMonitor Class”，选择“禁用”。

以上是清理“很棒小秘书”的步骤。

接下来也是先从控制面板的“添加/删除程序”里卸载“彩信通”
然后打开控制面板，进入“管理工具”，点击“服务”找到 StdService，在这上面右键点击“属性”，把启动类型改成“禁止”，然后点击“应用”，点击“停止”，点击“确定”。
然后去找下列文件删除：
C:\WINDOWS\SYSTEM32\stdup.dll
C:\WINDOWS\system32\STDSVER.DLL
C:\WINDOWS\system32\stdcache\整个文件夹
再接下来搜索一遍注册表，把带有stdup字样的注册表键全部删除。“彩信通”就被清理干净了。


顺便说一句，最近中了“彩信通”的人不少哈。这个恶意程序隐藏得很深，而且光是用Hijackthis一类自动判断的工具无法彻底清理。上面这个清理步骤是最彻底的清理了。我估计论坛早晚要有人来问这个程序的事～

删不掉的文件用 killbox，在这个帖子里：http://www.doggiehome.com/read.php?tid=23945
选择“下次启动时删除”，执行后重启一遍电脑就可以了。

Quote:

下面是引用1970于2005-12-02 11:34发表的:
好象没改变?????????

“很棒小秘书”删掉了， “彩信通”和 C:\WINDOWS\services.exe 还没删干净。

这些项目仍需要用 Hijackthis 修复：
F3 - REG:win.ini: run=C:\WINDOWS\services.exe
O2 - BHO: MMSAssist - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - (没有文件)  
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\RunServices: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\RunServices: [services] C:\WINDOWS\services.exe
O8 - Extra context menu item:   >> 彩信发送 << - res://C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL/mms.htm
O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
O9 - Extra 'Tools' menuitem: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL

并检查相应的文件是不是也删除了。
C:\PROGRAM FILES\MMSASSIST\文件夹也应当删除。

C:\WINDOWS\system32\1xClient.dll是联想网络\802.1x客户端软件的进程，难怪看着眼生。这个客户端如果是联想发布的，应该不会包含广告程序。