帮我分析下。系统中毒

hero123

网吧的机：
（一上机不弹广告。之类的。）
Logfile of HijackThis v1.99.0
Scan saved at 6:07:23, on 2006-9-4
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\Program Files\Tools\NoARP.exe
C:\WINDOWS\System32\Clsmn.exe
C:\Documents and Settings\Administrator\explorer.exe
C:\WINDOWS\system32\internat.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\conime.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Tools\Qqmenu\Qqmenu.exe
C:\WINDOWS\system32\13021.exe
C:\WINDOWS\system32\Skymmstp222.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\SVOHOST.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\inetsrv\csrss.exe
C:\WINDOWS\System32\svchost.exe
\Server\电影库\hijackthis\hijackthis.exe

F2 - REG:system.ini: Shell=Explorer.exe                                                                                                                                                                                                            svchost.exe
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v4.dll
O2 - BHO: MonitorURL Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\PROGRA~1\DESKAD~1\deskipn.dll
O2 - BHO: (no name) - {105E4D0C-5E21-41ED-90F9-013EEF271BD6} - C:\WINDOWS\system32\widgetdownload.dll
O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_4711.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - d:\qq\QQIEHelper.dll (file missing)
O2 - BHO: Router Layer - {5EB7CB50-E375-4718-B4C0-9AD12EFA2F84} - C:\WINDOWS\System32\aclayer.dll (file missing)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Sun Java2 - {C61A70F3-505E-4B90-916F-627A8706B4BC} - c:\WINDOWS\system32\COMBoHEvent.dll
O2 - BHO: BHelper Class - {F2E37336-BFDB-409B-8D0E-6F013C438B20} - C:\WINDOWS\System32\38ao6420.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: 实用搜索工具条V2.0 - {75D82598-4A3C-419e-99D2-3EB56D09CFD0} - C:\Program Files\UtilToolBar\utilbar.dll
O4 - HKLM\..\Run: [vSubst Z:] vSubst Z:  E:\游戏私服
O4 - HKLM\..\Run: [启动] C:\Program Files\Tools\启动.exe
O4 - HKLM\..\Run: [NoARP] C:\Program Files\Tools\NoARP.exe
O4 - HKLM\..\Run: [wxClient] C:\WINDOWS\System32\Clsmn.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMam] C:\WINDOWS\System32\SVOHOST.exe
O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\System32\spoolsv\spoolsv.exe -printer
O4 - HKLM\..\Run: [Desktop] C:\WINDOWS\System32\rundll32.exe "C:\Program Files\DeskAdTop\Run.dll" ,Rundll
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O4 - Startup: 壁纸更换器.lnk = ?
O4 - Startup: 快捷方式 到 internat.lnk = C:\WINDOWS\system32\internat.exe
O4 - Global Startup: IE-Bar.lnk = C:\Program Files\Common Files\IE-Bar\iebar.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - e:\netgames\platformer\浩方对战平台\gameclient.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{360BBEF1-FE3A-40FD-B3BB-77E61C17E2CC}: NameServer = 202.101.103.55,202.101.103.54
O17 - HKLM\System\CCS\Services\Tcpip\..\{37EEB568-8229-4568-9C40-2A60509D8B44}: NameServer = 202.101.103.55,202.101.103.54
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C1665FE-0F91-4471-9A28-16D74664BE89}: NameServer = 202.101.103.55,202.101.103.54
O17 - HKLM\System\CCS\Services\Tcpip\..\{76D6C40D-2D57-4739-BC66-0D904DBA4C4A}: NameServer = 202.101.103.55,202.101.103.54
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7FE439C-3B78-41B1-918D-B3273625A3FC}: NameServer = 202.101.103.55,202.101.103.54
O17 - HKLM\System\CCS\Services\Tcpip\..\{B12E1D86-250B-46FE-9267-C317434D823A}: NameServer = 202.101.103.55,202.101.103.54
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3E92481-07E8-4ED8-B763-482DE6DC3C65}: NameServer = 202.101.103.55,202.101.103.54
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECC058E8-AAA7-4819-AEB9-05B791CC0858}: NameServer = 202.101.103.55,202.101.103.54
O17 - HKLM\System\CCS\Services\Tcpip\..\{F54BDEC7-9DBD-454B-BABC-460DBEBF22A6}: NameServer = 202.101.103.55,202.101.103.54
O17 - HKLM\System\CCS\Services\Tcpip\..\{F73DAC4A-33BB-47F8-9B49-3EDCF99250DC}: NameServer = 202.101.103.55,202.101.103.54
O21 - SSODL: DelayRun - {5A6F2F95-3191-433B-8533-EB0B596A7BAC} - C:\WINDOWS\38ad6420.dll
O23 - Service: ChannelRg - Unknown - C:\Program Files\Common Files\GoldenSoft\ChannelRg.exe
O23 - Service: DF5Serv - Faronics Corporation - C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
O23 - Service: DFServEx - Unknown - C:\Program Files\HyperTechnologies\Deep Freeze\DfServEx.exe (file missing)
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: UPS - Unknown - C:\WINDOWS\System32\ups.exe (file missing)

hero123

这是中了什么病毒..?

6618

简单看了一下，这台机子中了N多的病毒，机子装了两个还原的软件，其中一个是还原精灵，是否中毒后才装的？先去卸掉还原软件，再用HIJACKTHIS直接修复下面的东东，注，中毒太多，估计能彻底清除干净。需多次杀毒，清除病毒后再安装还原软件。
C:\Documents and Settings\Administrator\explorer.exe
F2 - REG:system.ini: Shell=Explorer.exe  
O2 - BHO: MonitorURL Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\PROGRA~1\DESKAD~1\deskipn.dll
O4 - Global Startup: IE-Bar.lnk = C:\Program Files\Common Files\IE-Bar\iebar.exe
O4 - HKLM\..\Run: [SoundMam] C:\WINDOWS\System32\SVOHOST.exe
O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\System32\spoolsv\spoolsv.exe -printer
1、打开系统盘，假设C盘，看是否存在C:\\WINDOWS\\system32\\spoolsv文件夹，里面有个spoolsv.exe文件，有“傲讯浏览器辅助工具”的字样说明，正常的spoolsv.exe打印机缓冲池文件应该在C:\WINDOWS\system32目录下。
2，打开任务管理器，会发现spoolsv.exe进程，而且CPU占用率很高
O4 - HKLM\..\Run: [Desktop] C:\WINDOWS\System32\rundll32.exe "C:\Program Files\DeskAdTop\Run.dll" ,Rundll
O2 - BHO: Router Layer - {5EB7CB50-E375-4718-B4C0-9AD12EFA2F84} - C:\WINDOWS\System32\aclayer.dll (file missing)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
                                                                                                                                                
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll                                             svchost.exe

svohost - svohost.exe
  
进程文件：svohost 或者 svohost.exe
进程名称： Trojan-Proxy.Win32.Agent.if
  
描述：
svohost.exe是Trojan-Proxy.Win32.Agent.if木马相关程序，建议立即删除。


出品者： 未知N/A
属于： Trojan-Proxy.Win32.Agent.if

系统进程： 否
后台程序： 否

  安全等级 (0-5): 2
间谍软件： 否
广告软件： 否
病毒： 是
木马： 是

[ 本帖最后由 6618 于 2006-9-4 03:42 AM 编辑 ]

hero123

谢谢拉..感谢6618.....