[sungod000]

嗨，我的电脑似乎有一些恶意软件时，我发现我的叔叔连他的USB密钥。 Avast扫描发现了一些东西，但不能清除/删除它。后卫扫描将冻结后约7分钟。和MBAM全面扫描后，还冻结了约5分钟，但快速扫描确定。以下是日志：

Avast ：
18/06/2009上午11点07分三十七秒的注册用户3652 “的Win32 ：盛衰[隐] ”已发现的“ D ： \再造\的S - 1 - 5 - 21 - 1214440339 - 602162358 - 839522115 - 1003 \ Dd16 \ Outlook.pst \个人文件夹\热门的个人文件夹\收件箱\ UPS的追踪号码7124353990 \ UPS_INVOICE_978172.zip \ UPS_INVOICE_9781 72.exe “的文件。
18/06/2009上午11点06分59秒用户3652注册了“的Win32 ：盛衰[隐] ”已发现的“ D ： \再造\的S - 1 - 5 - 21 - 1214440339 - 602162358 - 839522115 - 1003 \ Dd16 \ Outlook.pst \个人文件夹\热门的个人文件夹\删除的邮件\ UPS的追踪号码7124353990 \ UPS_INVOICE_978172.zip \ UPS_INVOICE_9781 72.exe “的文件。
18/06/2009上午11点06分59秒用户3652注册了“的Win32 ：盛衰[隐] ”已发现的“ D ： \再造\的S - 1 - 5 - 21 - 1214440339 - 602162358 - 839522115 - 1003 \ Dd16 \ Outlook.pst \个人文件夹\热门的个人文件夹\删除的邮件\ UPS的追踪号码0762005263 \ invoice_8712.zip \ INVOICE_8712.exe “文件。
18/06/2009上午11时06分58秒用户3652注册了“的Win32 ： Agent的AAPS [ Trj ] ”已发现的“ D ： \再造\的S - 1 - 5 - 21 - 1214440339 - 602162358 - 839522115 - 1003 \ Dd16 \ Outlook.pst \个人文件夹\热门的个人文件夹\删除的邮件\ UPS的追踪号码3508422599 \ ups_invoice.zip \ ups_invoice.exe “文件。
18/06/2009上午10点42分55秒用户3652注册了“的Win32 ：木马根（其他） ”已发现的“ C ： \的Documents and Settings \用户\本地设置\应用数据\微软\的Outlook \ Outlookinfo @ fcagroup.com （的IMAP ） 00000005.pst \ info@fcagroup.com \热门的个人文件夹\ [的Gmail ] \所有邮件\真的很酷照片\ pussy.zip \ pussy.exe “文件。
18/06/2009上午10时42分41秒用户3652注册了“的Win32 ：盛衰[隐] ”已发现的“ C ： \的Documents and Settings \用户\本地设置\应用数据\微软\的Outlook \ Outlookinfo @ fcagroup 。 com （的IMAP ） 00000005.pst \ info@fcagroup.com \热门的个人文件夹\ [的Gmail ] \所有邮件\ UPS的：您的跟踪＃三千五百八十零万一千〇六十九点八三三万\ PDF76512.zip \ PDF76512.exe “文件。
18/06/2009上午10时42分41秒用户3652注册了“的Win32 ：盛衰[隐] ”已发现的“ C ： \的Documents and Settings \用户\本地设置\应用数据\微软\的Outlook \ Outlookinfo @ fcagroup 。 com （的IMAP ） 00000005.pst \ info@fcagroup.com \热门的个人文件夹\ [的Gmail ] \所有邮件\ UPS的：您的跟踪＃ 145132932471 \ PDF76512.zip \ PDF76512.exe “文件。
18/06/2009上午10时42分23秒用户3652注册了“的Win32 ：盛衰[隐] ”已发现的“ C ： \的Documents and Settings \用户\本地设置\应用数据\微软\的Outlook \ Outlookinfo @ fcagroup 。 com （的IMAP ） 00000005.pst \ info@fcagroup.com \热门的个人文件夹\ [的Gmail ] \所有邮件\ UPS的：您的跟踪＃ 239293259082 \ EXL6512721.zip \ EXL6512721.exe “文件。
17/06/2009下午5点36分十八秒系统1328年注册的“公司：自动- T的[ Wrm ] ”已发现的“ F ： \的Autorun.inf ”文件。




SUPERAntiSpyware扫描日志
http://www.superantispyware.com

产生2009年6月19号在上午10时43分

应用版本： 1004年4月26日

核心规则数据库版本： 3947
痕量规则数据库版本： 1889

扫描类型：完整扫描
总扫描时间： 0时36分36秒

记忆扫描的项目： 631
内存威胁检测： 0
注册表项扫描： 6110
书记官处的威胁检测： 0
文件项目扫描： 46796
档案威胁检测： 9

Adware.Tracking饼干
ç ： \的Documents and Settings \用户\曲奇\用户@则为[ 1 ] 。文本
ç ： \的Documents and Settings \用户\曲奇\用户名@ revsci [ 2 ] 。文本
ç ： \的Documents and Settings \用户\曲奇\用户名@ tribalfusion [ 2 ] 。文本
ç ： \的Documents and Settings \用户\曲奇\用户@ realmedia [ 2 ] 。文本
ç ： \的Documents and Settings \用户\曲奇\ user@microsoftwindows.112.2o 7 [ 1 ] 。文本
ç ： \的Documents and Settings \用户\曲奇\ user@pandasoftware.112.2o7 [ 1 ] 。文本
ç ： \的Documents and Settings \用户\曲奇\ user@adopt.euroclick [ 2 ] 。文本
ç ： \的Documents and Settings \用户\曲奇\用户名@ specificclick [ 2 ] 。文本
ç ： \的Documents and Settings \用户\曲奇\用户名@ 247realmedia [ 1 ] 。文本





Malwarebytes '反恶意软件1.38
数据库版本： 2308年
2600年5月1号的Windows Service Pack 3中

19/06/2009上午十一时零一分44秒
mbam日志- 2009 - 06 - 19 （ 11-01-44 ） 。文本

扫描类型：快速扫描
物体扫描： 87063
间隔时间： 2分钟（ s ）款，二四秒（县）

记忆过程感染： 0
内存感染： 0
受感染的注册表项： 0
注册表值感染： 0
注册表数据项目感染： 0
文件夹感染： 0
文件感染： 0

记忆过程感染：
（没有恶意项目检测）

内存感染：
（没有恶意项目检测）

受感染的注册表项：
（没有恶意项目检测）

注册表值感染：
（没有恶意项目检测）

注册表数据项目感染：
（没有恶意项目检测）

受感染的文件夹：
（没有恶意项目检测）

文件感染：
（没有恶意项目检测）





日志文件的趋势科技了HijackThis v2.0.2
扫描储存于上午11时04分二十四秒，就19/06/2009
平台： Windows XP SP3的（使用WINNT 2600年1月5日）
MSIE ： Internet Explorer的v6.00 SP3的（ 6.00.2900.5512 ）
启动模式：正常

正在运行的进程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Program Files文件\ Windows Defender的\ MsMpEng.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗口\ system32 \ ZoneLabs \ vsmon.exe
ç ： \ Program Files文件\ Alwil软件\ Avast4 \ aswUpdSv.exe
ç ： \ Program Files文件\ Alwil软件\ Avast4 \ ashServ.exe
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \窗口\ system32 \ cisvc.exe
ç ： \ Program Files文件\ Diskeeper公司公司\ Diskeeper公司\ DkService.exe
ç ： \ Program Files文件\ Hamachi \ hamachi.exe
ç ： \窗口\ system32 \ cidaemon.exe
ç ： \ Program Files文件\ Java的\ jre6 \斌\ jqs.exe
ç ： \ Program Files文件\共同文件\微软共享\ VS7DEBUG \ MDM.EXE
ç ： \窗口\ system32 \ nvsvc32.exe
ç ： \窗口\ Explorer.exe的
ç ： \ Program Files文件\广泛的软件\ PSQL \斌\ w3dbsmgr.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ system32 \ SearchIndexer.exe
ç ： \窗口\ system32 \ fxssvc.exe
ç ： \ Program Files文件\ Alwil软件\ Avast4 \ ashMaiSv.exe
ç ： \ Program Files文件\ Alwil软件\ Avast4 \ ashWebSv.exe
ç ： \窗口\ RTHDCPL.EXE
ç ： \ PROGRA 〜 1 \ ALWILS 〜 1 \ Avast4 \ ashDisp.exe
ç ： \ Program Files文件\ Zone Labs的\的ZoneAlarm \ zlclient.exe
ç ： \窗口\三星\ PanelMgr \ SSMMgr.exe
ç ： \窗口\ Twain_32 \三星\ SCX4x28 \ Scan2pc.exe
ç ： \ Program Files文件\ Java的\ jre6 \斌\ jusched.exe
ç ： \窗口\ system32 \ Ctfmon.exe会
ç ： \窗口\ System32 \ svchost.exe
ç ： \ Program Files文件\ Skype的\电话\ Skype.exe
ç ： \ Program Files文件\ Windows桌面搜索\ WindowsSearch.exe
ç ： \ Program Files文件\ Hamachi \ hamachi.exe
ç ： \ Program Files文件\ 2BrightSparks \ SyncBack \ SyncBack.exe
ç ： \ Program Files文件\ Skype的\插件管理器\ skypePM.exe
ç ： \窗口\ system32 \ taskmgr.exe
ç ： \ Program Files文件\ SUPERAntiSpyware \ SUPERAntiSpyware.exe
ç ： \窗口\ system32 \记事本
ç ： \ Program Files文件\是Mozilla Firefox \ firefox.exe
ç ： \窗口\ system32 \ SearchProtocolHost.exe
ç ： \ Program Files文件\趋势科技\了HijackThis \ sniper.exe

R0 - HKCU \软件\微软\的Internet Explorer \主，初始页= http://www.dhl.ca/ca/wfHomeLoggedIn.aspx
F2代-注册：的System.ini ： UserInit = C的： \窗口\ system32 \ userinit.exe ， userinit的。 exe
01 -主办单位： 66.98.148.65 auto.search.msn.com
01 -主办单位： 66.98.148.65 auto.search.msn.es
氧- BHO ： Spybot蠕虫，特殊和差别待遇的IE浏览器保护- （ 53707962 - 6F74 - 2D53 - 2644 - 206D7942484F ） - ç ： \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll
氧- BHO ： Java （商标）插件2 SSV助手- （ DBC80044 - A445 - 435b - BC74 - 9C25C1C588A9 ） - ç ： \ Program Files文件\ Java的\ jre6 \斌\ jp2ssv.dll
氧- BHO ： JQSIEStartDetectorImpl - （ E7E6F031 - 17CE - 4C07 - BC86 - EABFE594F69C ） - ç ： \ Program Files文件\ Java的\ jre6 \库\部署\实验台\即\ jqs_plugin.dll
物理学- HKLM \ .. \运行： [ NvCplDaemon ] RUNDLL32.EXE ç ： \窗口\ system32 \ NvCpl.dll ， NvStartup
物理学- HKLM \ .. \运行： [ RTHDCPL ] RTHDCPL.EXE
物理学- HKLM \ .. \运行： [ Alcmtr ] ALCMTR.EXE
物理学- HKLM \ .. \运行： [ DiskeeperSystray ]的“ C ： \ Program Files文件\ Diskeeper公司公司\ Diskeeper公司\ DkIcon.exe ”
物理学- HKLM \ .. \运行： [ avast ！ ] ç ： \ PROGRA 〜 1 \ ALWILS 〜 1 \ Avast4 \ ashDisp.exe
物理学- HKLM \ .. \运行： [ Windows Defender会]的“ C ： \ Program Files文件\的Windows Defender \ MSASCui.exe ”隐藏
物理学- HKLM \ .. \运行： [ ZoneAlarm的客户]的“ C ： \ Program Files文件\ Zone Labs的\的ZoneAlarm \ zlclient.exe ”
物理学- HKLM \ .. \运行： [三星PanelMgr ] ç ： \窗口\三星\ PanelMgr \ SSMMgr.exe /自动
物理学- HKLM \ .. \运行： [ 4x28 Scan2PC ]的“ C ： \窗口\ Twain_32 \三星\ SCX4x28 \ Scan2pc.e氙”
物理学- HKLM \ .. \运行： [ SunJavaUpdateSched ]的“ C ： \ Program Files文件\ Java的\ jre6 \斌\ jusched.exe ”
物理学- HKLM \ .. \的RunOnce ： [ Malwarebytes '反恶意软件] ç ： \ Program Files文件\ Malwarebytes '反恶意软件\ mbamgui.exe /安装/沉默
物理学- HKCU \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会
物理学- HKCU \ .. \运行： [ Skype公司]的“ C ： \ Program Files文件\ Skype的\电话\ Skype.exe ” / nosplash /最小
物理学- HKUS \的S - 1 - 5 - 19 \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户本地服务' ）
物理学- HKUS \的S - 1 - 5 - 20 \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户的网络服务' ）
物理学- HKUS \的S - 1 - 5 - 18 \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户'系统' ）
物理学- HKUS \ 。缺省\ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户默认用户' ）
物理学-启动： hamachi.lnk = C的： \ Program Files文件\ Hamachi \ hamachi.exe
物理学-启动：捷径地图Drive.lnk = C的： \的Documents and Settings \用户\桌面\地图Drive.bat
物理学-启动： SyncBack.lnk = C的： \ Program Files文件\ 2BrightSparks \ SyncBack \ SyncBack.exe
物理学-全球启动：视窗Search.lnk = C的： \ Program Files文件\ Windows桌面搜索\ WindowsSearch.exe
O8 -额外上下文菜单项目：汇出至Microsoft Excel -水库： / /炭： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ EXCEL.EXE/3000
O8 -额外上下文菜单项目：网络捕获- ç ： \ Program Files文件\ SmarThru办公室\ WebCapture.dll
O9 -额外的按钮：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ REFIEBAR.DLL
O9 -额外的按钮： （无姓名） - （ DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ） - ç ： \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll
O9 -额外的'工具' menuitem ： Spybot蠕虫-搜索和摧毁配置- （ DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ） - ç ： \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll
O9 -额外的按钮： （无姓名） - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\网络诊断\ xpnetdiag.exe
O9 -额外的'工具' menuitem ： @ xpsp3res.dll ， -20001 - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\网络诊断\ xpnetdiag.exe
O9 -额外的按钮： Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O9 -额外的'工具' menuitem ： Windows Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O16 -柴油机微粒过滤器： （ 56762DEC - 6B0D - 4AB4 - A8AD - 989993B5D08B ） - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 -柴油机微粒过滤器： （ 6414512B - B978 - 451D - A0D8 - FCFDF33E833C ） （ WUWebControl类） - http://www.update.microsoft.com/wind...?1203273577140
O18 -协议： skype4com - （ FFC8B962 - 9B40 - 4DFF - 9458 - 1830C7DD7F5D ） - ç ： \ PROGRA 〜 1 \常见〜 1 \ Skype的\ SKYPE4 〜 1.DLL
ø20 - Winlogon通知： ！ SASWinLogon - ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll
O23 -服务： Adobe公司长征服务-未知所有者- ç ： \ Program Files文件\共同文件\ Adobe系统共享\服务\ Adobelmsvc.exe
O23 -服务： avast ！ iAVS4管制局（ aswUpdSv ） - ALWIL软件- ç ： \ Program Files文件\ Alwil软件\ Avast4 \ aswUpdSv.exe
O23 -服务： avast ！防病毒- ALWIL软件- ç ： \ Program Files文件\ Alwil软件\ Avast4 \ ashServ.exe
O23 -服务： avast ！邮件扫描- ALWIL软件- ç ： \ Program Files文件\ Alwil软件\ Avast4 \ ashMaiSv.exe
O23 -服务： avast ！网络扫描- ALWIL软件- ç ： \ Program Files文件\ Alwil软件\ Avast4 \ ashWebSv.exe
O23 -服务： Diskeeper公司- Diskeeper公司公司- ç ： \ Program Files文件\ Diskeeper公司公司\ Diskeeper公司\ DkService.exe
O23 -服务： Hamachi服务（ HamachiService ） - LogMeIn公司- ç ： \ Program Files文件\ Hamachi \ hamachi.exe
O23 -服务： Java快速入门（ JavaQuickStarterService ） - Sun Microsystems公司- ç ： \ Program Files文件\ Java的\ jre6 \斌\ jqs.exe
O23 -服务： NVIDIA显示驱动程序服务（ NVSvc ） - NVIDIA公司- ç ： \窗口\ system32 \ nvsvc32.exe
O23 -服务：普适PSQL工作组引擎（ psqlWGE ） -广泛的软件公司- ç ： \ Program Files文件\广泛的软件\ PSQL \斌\ w3dbsmgr.exe
O23 -服务： TrueVector互联网监视器（ vsmon ） - Check Point软件技术有限公司- ç ： \窗口\ system32 \ ZoneLabs \ vsmon.exe

-
文件结尾- 7353字节

[sjb007]

你好，欢迎有计算机汁

我史蒂夫，我会帮助您thoughout此修复程序。

在开始的修补程序，请阅读此文章完全。如果有什么，你不明白，恳请您的问题，再进行操作。但重要的是，你千万不要错过了一步。请执行一切以正确的顺序/序列。

我们将首先ComboFix.exe 。请访问此网页下载链接，并指示，运行该工具：

http://www.bleepingcomputer.com/comb...o-use-combofix

确保您已停用所有反病毒和反恶意软件程序，使他们不干扰运行ComboFix 。

请注明 ç ： \ ComboFix.txt 在您下次答复作进一步审查。

[sungod000]

嘿，感谢您的帮助。以下是日志中：

ComboFix 09-06-21.01 -用户22/06/2009 10:29.1 - NTFSx86
Microsoft Windows XP Professional的5.1.2600.3.1252.1.1033.18.2046.1511 [格林尼治标准时间-4:00 ]
运行中： C ： \的Documents and Settings \用户\桌面\ ComboFix.exe
影音： avast ！防病毒1335年4月8日[定位090621-0 ] *论访问扫描禁用* （更新） （ 7591DB91 - 41F0 - 48A3 - B128 - 1A293FD8233D ）
防火墙： ZoneAlarm的防火墙*残疾人* （ 829BDA32 - 94B3 - 44F4 - 8446 - F8FCFF809F8B ）
。

(((((((((((((((((((((((((((((((((((((((其他缺失))))))))) ))))))))))))))))))))))))))))))))))))))))
。

ç ： \窗户\ system32 \ winsusrm.dll

。
(((((((((((((((((((((((((创建的文件从2009年5月22日至2009年6月22日))))))))))) ))))))))))))))))))))
。

2009年6月19号15点34分。 2009年6月19号15点34 -------- d -----瓦特碳： \ Program Files文件\微软ActiveSync
2009年6月19号14:07 。 2009年6月19号14:07 -------- d -----的W - ç ： \的Documents and Settings \用户\应用数据\ Malwarebytes
2009年6月19号14:07 。 2009年6月17号15:27 38160 ----胡碳： \窗户\ system32 \驱动程序\ mbamswissarmy.sys
2009年6月19号14:07 。 2009年6月19号14:07 -------- d -----瓦特碳： \ Program Files文件\ Malwarebytes '反恶意软件
2009年6月19号14:07 。 2009年6月19号14:07 -------- d -----瓦特碳： \文件和设置\所有用户\应用数据\ Malwarebytes
2009年6月19号14:07 。 2009年6月17号15:27 19096 ----胡碳： \窗户\ system32 \驱动程序\ mbam.sys
2009年6月19号13:58 。 2009年6月19号13:58 117760 ----胡碳： \文件和设置\用户\应用数据\ SUPERAntiSpyware.com \ SUPERAntiSpyware \ SDDLLS \ UIREPAIR.DLL
2009年6月19号13点57分。 2009年6月19号13点57 -------- d -----瓦特碳： \文件和设置\所有用户\应用数据\ SUPERAntiSpyware.com
2009年6月19号13点57分。 2009年6月19号13点57 -------- d -----瓦特碳： \ Program Files文件\ SUPERAntiSpyware
2009年6月19号13点57分。 2009年6月19号13点57 -------- d -----的W - ç ： \的Documents and Settings \用户\应用数据\ SUPERAntiSpyware.com
2009年6月19号13点57分。 2009年6月19号13点57 -------- d -----瓦特碳： \ Program Files文件\共同文件\智者安装向导
09年6月10日17:39 。 09年6月10日17:39 152576 ----胡碳： \文件和设置\用户\应用数据\孙\的Java \ jre1.6.0_14 \ lzma.dll
09年6月10日00:53 。 09年6月10日00:53 -------- d -----瓦特碳： \文件和设置\所有用户\应用数据\沟道软件
2009年5月29日11:46 。 2008年4月14日09:42 26624 ----胡碳： \文件和设置\ LocalService \应用数据\微软\ UPnP装置主机\ upnphost \ udhisapi.dll

。
(((((((((((((((((((((((((((((((((((((((( Find3M报告)))))))) )))))))))))))))))))))))))))))))))))))))))) ） ）
。
2009年6月22日14时22分。 2009年4月28日15点○三-------- d -----的W - ç ： \的Documents and Settings \用户\应用数据\ Skype公司
2009年6月22日13时56分。 2008年2月17号21:01 -------- d -----的W - ç ： \的Documents and Settings \用户\应用数据\ Hamachi
2009年6月22日12:02 。 2009年4月28日15时18 -------- d -----的W - ç ： \的Documents and Settings \用户\应用数据\ skypePM
2009年6月19号13点35分。 2008年2月17号22:39 -------- d -----瓦特碳： \文件和设置\所有用户\应用数据\ Spybot蠕虫-搜索和摧毁
2009年6月18日19:10 。 2008年6月19号15:20 31703397 ----胡碳： \窗户\互联网日志\ tvDebug.zip
2009年6月12号07:08 。 2008年12月3日14点46 -------- d -----瓦特碳： \ Program Files文件\ Windows桌面搜索
09年6月10日17:39 。 2009年3月26日15时12分-------- d -----瓦特碳： \ Program Files文件\爪哇
09年6月10日16时58分。 08年12月30号17点22 -------- d -----的W - ç ： \的Documents and Settings \用户\应用数据\ FileZilla
09年5月30号21:05 。 2008年8月28日17:15 -------- d -----瓦特碳： \ Program Files文件\旺角PowerTools
2009年5月25日04:24 。 2008年5月27日03:18 350208 ----胡碳： \窗户\ system32 \ mssph.dll
2009年5月21日15时33分。 08年12月6日16:44 410984 ----胡碳： \窗户\ system32 \ deploytk.dll
2009年5月12号19:12 。 2008年2月17号18:05 26144 ----胡碳： \窗户\ system32 \ spupdsvc.exe
2009年5月7日15点32分。 2004年8月3日16时56分345600 ----胡碳： \窗户\ system32 \ localspl.dll
2009年5月1日16时37分。 2009年2月7日19时53 -------- d -----的W - ç ： \的Documents and Settings \用户\应用数据\ Unyte
2009年4月29日04:46 。 2004年8月3日16时56分666624 ----胡碳： \窗户\ system32 \ wininet.dll
2009年4月29日04:46 。 2004年8月3日16时56分81920 ----胡碳： \窗户\ system32 \ ieencode.dll
2009年4月28日15点18分。 2009年4月28日15点18分56 ---公顷钨碳： \窗户\ system32 \ ezsidmv.dat
2009年4月28日15:02 。 2009年4月28日15:02 -------- d -----瓦特碳： \ Program Files文件\共同文件\ Skype公司
2009年4月28日15:02 。 2009年4月28日15:02 -------- d -----的R - ç ： \ Program Files文件\ Skype公司
2009年4月28日15:02 。 2009年4月28日15:02 -------- d -----瓦特碳： \文件和设置\所有用户\应用数据\ Skype公司
2009年4月17日12时26分。 2004年8月3日15点17 1847168 ----胡碳： \窗户\ system32 \ Win32k.sys中
2009年4月15日14:51 。 2004年8月3日16时56分585216 ----胡碳： \窗户\ system32 \ rpcrt4.dll
2009年4月9日02:09 。 2009年4月9日02:04 664 ----胡碳： \窗户\ system32 \ d3d9caps.dat
2009年4月1日21时57分。 2008年2月17号22:30 4212 ---公顷钨碳： \窗户\ system32 \ zllictbl.dat
2009年4月1日21时21分。 2009年4月1日21时21 152576 ----胡碳： \文件和设置\用户\应用数据\孙\的Java \ jre1.6.0_13 \ lzma.dll
2009年3月31日21:41 。 2009年3月31日21:41 0 ----胡碳： \窗户\ system32 \ WSSPOOL.TMP
2009年3月26日15时11分。 2009年3月26日15时11分152576 ----胡碳： \文件和设置\用户\应用数据\孙\的Java \ jre1.6.0_12 \ lzma.dll
2008年6月23日22:36 。 2008年6月23日22:36 0 ----胡碳： \ Program Files文件\ gditst
2008年5月22日20时04分。 2008年5月22日20:04 190 ----胡碳： \ Program Files文件\共同文件\ psasetup.log
。

(((((((((((((((((((((((((((((((((((((注册装载点)))))))))) ))))))))))))))))))))))))))))))))))))))))
。
。
*注意*空白条目与合法默认项不会显示
REGEDIT4

[ HKEY_CURRENT_USER \软件\微软\的Windows \曲线ntVersion \运行]
“ Ctfmon.exe会” =的“ C ： \窗户\ system32 \ Ctfmon.exe会” [ 08年4月14日15360 ]
“ Skype公司” =的“ C ： \ Program Files文件\ Skype的\电话\ Skype.exe ” [ 2009年4月21日24264488 ]

[ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \运行]
“ NvCplDaemon ” =的“ C ： \窗户\ system32 \ NvCpl.dll ” [ 2007年9月17号8491008 ]
“ DiskeeperSystray ” =的“ C ： \ Program Files文件\ Diskeeper公司公司\ Diskeeper公司\ DkIcon.exe ” [ 2006年10月4日16.384万]
“ avast ！ ” =的“ C ： \ progra 〜 1 \ ALWILS 〜 1 \ Avast4 \ ashDisp的。 exe ” [ 2009年2月5日8.1万]
“防火墙客户端” =的“ C ： \ Program Files文件\ Zone Labs的\的ZoneAlarm \ zlclient.exe ” [ 2009年2月16号981384 ]
“三星PanelMgr ” =的“ C ： \窗户\三星\ PanelMgr \ SSMMgr.exe ” [ 2008年7月31日536576 ]
“ 4x28 Scan2PC ” =的“ C ： \窗户\ Twain_32 \三星\ SCX4x28 \扫描2pc.exe ” [ 2008年9月29日495616 ]
“ SunJavaUpdateSched ” =的“ C ： \ Program Files文件\爪哇\ jre6 \斌\ jusched.exe ” [ 2009年5月21日148888 ]
“ RTHDCPL ” = “ RTHDCPL.EXE ” - ç ： \窗户\ RTHDCPL.exe [ 2007年4月26日16132608 ]

[ HKEY_USERS \ 。缺省\软件\微软\的Windows \姜黄素rentVersion \运行]
“ Ctfmon.exe会” =的“ C ： \窗户\ system32 \ Ctfmon.exe会” [ 08年4月14日15360 ]

ç ： \的Documents and Settings \用户\开始菜单\程序\启动\
hamachi.lnk - ç ： \ Program Files文件\ Hamachi \ hamachi.exe [ 2008年2月17号625952 ]
捷径地图Drive.lnk - ç ： \的Documents and Settings \用户\桌面\地图Drive.bat [ 08年7月30号42 ]
SyncBack.lnk - ç ： \ Program Files文件\ 2BrightSparks \ SyncBack \ SyncBack.exe [ 08年11月15号2936064 ]

ç ： \文件和设置\所有用户\开始菜单\程序\启动\
视窗Search.lnk - ç ： \ Program Files文件\ Windows桌面搜索\ WindowsSearch.exe [ 2008年5月26日123904 ]

[ hkey_local_machine \软件\微软\窗户\当前entversion \探险\ ShellExecuteHooks ]
“ （ 56F9679E - 7826 - 4C84 - 81F3 - 532071A8BCC5 ） ” =的“ C ： \ Program Files文件\ Windows桌面搜索\ MSNLNamespaceMgr.dll ” [ 2009年5月25日304128 ]
“ （ 5AE067D3 - 9AFB - 48E0 - 853A - EBB7F4A000DA ） ” =的“ C ： \ Program Files文件\ SUPERAntiSpyware \ SASSEH.DLL ” [ 2008年5月13日77824 ]

[ HKEY_LOCAL_MACHINE \软件\微软\ Windows NT的\ currentversion \ winlogon \通知\ ！ SASWinLogon ]
2008年12月22号16:05 356352 ----胡碳： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll

[ HKEY_LOCAL_MACHINE \系统\ CurrentControlSet \控制\ SafeBoot \最小\ WinDefend ]
@ = “服务”

[ HKEY_LOCAL_MACHINE \软件\微软\安全中心\监测\ ZoneLabsFirewall ]
“ DisableMonitoring ” =的DWORD ： 00000001

[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile ]
“ EnableFirewall ” = 0 （ 0x0 ）

[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ AuthorizedApplications \名单]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” =
“ ％ windir ％ \ \网络诊断\ \ xpnetdiag.exe ” =
的“ C ： \ \窗口\ \ system32 \ \ fxsclnt.exe ” =
的“ C ： \ \ Program Files文件\ \广泛的软件\ \ PSQL \ \斌\ \ w3dbsmgr.exe ” =
的“ C ： \ \窗口\ \ twain_32 \ \三星\ \ ScanMgr.exe ” =
的“ C ： \ \窗口\ \ twain_32 \ \三星\ \ SCX4x28 \ \ Scan2Pc的。 exe ” =
的“ C ： \ \窗口\ \ twain_32 \ \三星\ \ SCX4x28 \ \ Sscan2io的。 exe ” =
的“ C ： \ \ Program Files文件\ \ Skype的\ \电话\ \ Skype.exe ” =

[ HKLM \ 〜 \服务\ sharedaccess \参数\ firewallpo licy \ standardprofile \ GloballyOpenPorts \名单]
“ 3389 ： TCP连接” = 3389 ： TCP连接： @ xpsp2res.dll ， -22009

受体1 aswSP ; avast ！自我保护; ç ： \窗户\ system32 \驱动程序\ aswSP.sys [ 2008年7月4日上午10时44 114768 ]
受体1 SASDIFSV ; SASDIFSV ; ç ： \ Program Files文件\ SUPERAntiSpyware \ sasdifsv.sys [ 26/05/2009上午10时05 9968 ]
受体1 SASKUTIL ; SASKUTIL ; ç ： \ Program Files文件\ SUPERAntiSpyware \ SASKUTIL.SYS [ 26/05/2009上午10时05 72944 ]
R2的aswFsBlk ; aswFsBlk ; ç ： \窗户\ system32 \驱动程序\ aswF sBlk.sys [ 2008年7月4日上午10时44分20560 ]
R2的HamachiService ; Hamachi服务; ç ： \ Program Files文件\ Hamachi \ hamachi.exe [ 17/02/2008下午5点01分625952 ]
R2的psqlWGE ;普适PSQL工作组发动机; ç ： \ Program Files文件\广泛的软件\ PSQL \斌\ w3dbsmgr.exe [ 2008年6月6日下午1点03 435488 ]
R2的WinDefend ; Windows Defender的; ç ： \ Program Files文件\ Windows Defender的\ MsMpEng.exe [ 2006年3月11号下午8点19分13592 ]
R3的SASENUM ; SASENUM ; ç ： \ Program Files文件\ SUPERAntiSpyware \ SASENUM.SYS [ 26/05/2009上午10点05 7408 ]
一KPSYSDRV ; KPSYSDRV ; ç ： \窗户\ system32 \驱动程序\ Kpsy sdrv.sys [ 23/06/2008下午6时36分17016 ]
二BulkUsb ;创惟USB控制器新台币5.0 ; ç ： \窗户\ system32 \驱动程序\ usbprn.sys [ 23/06/2008下午6时27分7552 ]
二SSPORT ; SSPORT ; \ ？ ？ \ ç ： \窗户\ system32 \驱动程序\深水 RT.sys - “ ç ： \窗户\ system32 \驱动程序\ SSPORT.sys [ ？ ]
三Moarer ; Moarer ;的[ x ]

---其他服务/司机记忆---

* NewlyCreated * - SASDIFSV
* NewlyCreated * - SASENUM
* NewlyCreated * - SASKUTIL
。
内容'计划任务的文件夹

2009年6月22日ç ： \窗户\任务\议员预定Scan.job
- ç ： \ Program Files文件\ Windows Defender的\ MpCmdRun.exe会[ 06年11月4日00:20 ]

2009年6月22日ç ： \窗户\任务\ SyncBack Outlook.job
- ç ： \ Program Files文件\ 2BrightSparks \ SyncBack \ SyncBack.exe [ 2008年11月15号16:19 ]
。
。
补充扫描------- -------
。
uStart页= hxxp ： / / www.dhl.ca /加拿大/ wfHomeLoggedIn.aspx
即：汇出至Microsoft Excel - ç ： \ progra 〜 1 \微〜 2 \ OFFICE11 \ EXCEL.EXE/3000
即：网络捕获- ç ： \ Program Files文件\ SmarThru办公室\ WebCapture.dll
法国法郎- ProfilePath -
。

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer ， http://www.gmer.net
2009年6月22日10时31分的rootkit扫描
2600年5月1号的Windows Service Pack 3中的NTFS

扫描隐藏的进程...

扫描隐藏的自动启动项...

扫描隐藏的文件...

扫描顺利完成
隐藏的文件： 0

************************************************** ************************
。
--------------------- ---------------------锁定注册表项

[ HKEY_LOCAL_MACHINE \软件\广泛的软件\ PSQL ]
@拒绝： ） （大家）
@ = “ ”
。
完成时间： 2009年6月22日10:32
ComboFix -隔离- files.txt 2009年6月22日14:32

预运行： 32245211136字节免费
后运行： 32239325184字节免费

视窗- KB310994 - SP2的亲BootDisk - ENU.exe
[的Boot Loader ]
超时= 2
默认=多（ 0 ）磁盘（ 0 ） rdisk （ 0 ）分区（ 1 ） \窗县
[操作系统]
ç ： \ cmdcons \ BOOTSECT.DAT = “ Microsoft Windows故障恢复控制台” / cmdcons
多（ 0 ）磁盘（ 0 ） rdisk （ 0 ）分区（ 1 ） \窗口= “微软的Windows XP Professional ” / noexecute =选择启用/ fastdetect

164 --- EOF分析--- 2009年6月18号19:28

[sjb007]

你好有

在这后我想下次你运行一个在线病毒扫描，首先让删除一些垃圾....

请下载 管理局清洁 由Atribune 。
这一计划是用于XP和Windows 2000只

双击 亚欧信托基金， Cleaner.exe 运行该程序。
根据 主要的 选择： 全选
点击 空选 按钮。

如果您使用Firefox浏览器
点击 火狐 顶部和选择： 全选
点击 空选 按钮。
注意： 如果您想保留您保存密码，请点击 否 在提示符。

如果您使用的Opera浏览器
点击 歌剧 顶部和选择： 全选
点击 空选 按钮。
注意： 如果您想保留您保存密码，请点击 否 在提示符。

点击 退出 在主菜单中关闭该程序。
为了 技术支持，双击e - mail地址位于底部的每个菜单。

建立一个互联网连接和执行联机扫描 Internet Explorer的 在 卡巴斯基在线扫描。

** Vista用户-右键点击IE浏览器/ Firefox的图标，并以管理员身份运行

点击 接受，当提示下载并安装程序文件和数据库的恶意软件的定义。

• 点击 跑 在安全提示。
• 该计划将开始下载和安装，也将更新数据库。
• 请耐心等待，因为这可能需要几分钟时间。
• 一旦完成更新，请点击 我的电脑 根据 绿色 扫描酒吧左边开始扫描。
• 一旦扫描完成，它会显示如果你的系统已经被感染。它不提供一个选项，清洁/消毒。我们只需要它的报告。
• 做 不 感到震惊的是你在报告中看到。许多认为有可能被隔离。
• 点击 查看扫描报告 在底部。
• 点击 保存报告作为...按钮。
• 点击 另存为 文字按钮，将文件保存到桌面，以便您可以将它张贴在您下次答复。

这动画将引导您完成这一过程：


**注**

优化扫描时间和产生一个更明智的报告进行审查：
关闭所有打开的程序
关闭实时扫描任何现有的防病毒程序，而执行线上扫描。您可以从互联网上断开一旦您开始扫描。

注意： Internet Explorer 7的用户：如果您在任何时候都无法查看的接受按钮的许可证，点击放大工具位于右下角的IE窗口，并设置缩放到75 ％ 。一旦许可证接受，重置为100 ％ 。

邮回的结果来Kasperksy ，还就如何更新我的东西正在运行

[sungod000]

http://www.dhl.ca/ca/wfHomeLoggedIn.aspx 受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 受体1 - HKLM \软件\微软\的Internet Explorer \主，搜索页面= http://go.microsoft.com/fwlink/?LinkId=54896 http://www.eset.eu/buxus/docs/OnlineScanner.cab O16 -柴油机微粒过滤器： （ 6414512B - B978 - 451D - A0D8 - FCFDF33E833C ） （ WUWebControl类） - http://www.update.microsoft.com/wind...?1203273577140 O18 -协议： skype4com - （ FFC8B962 - 9B40 - 4DFF - 9458 - 1830C7DD7F5D ） - ç ： \ PROGRA 〜 1 \常见〜 1 \ Skype的\ SKYPE4 〜 1.DLL ø20 - Winlogon通知： ！ SASWinLogon - ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll O23 -服务： Adobe公司长征服务-未知所有者- ç ： \ Program Files文件\共同文件\ Adobe系统共享\服务\ Adobelmsvc.exe O23 -服务： avast ！ iAVS4管制局（ aswUpdSv ） - ALWIL软件- ç ： \ Program Files文件\ Alwil软件\ Avast4 \ aswUpdSv.exe O23 -服务： avast ！防病毒- ALWIL软件- ç ： \ Program Files文件\ Alwil软件\ Avast4 \ ashServ.exe O23 -服务： avast ！邮件扫描- ALWIL软件- ç ： \ Program Files文件\ Alwil软件\ Avast4 \ ashMaiSv.exe O23 -服务： avast ！网络扫描- ALWIL软件- ç ： \ Program Files文件\ Alwil软件\ Avast4 \ ashWebSv.exe O23 -服务： Diskeeper公司- Diskeeper公司公司- ç ： \ Program Files文件\ Diskeeper公司公司\ Diskeeper公司\ DkService.exe O23 -服务： Hamachi服务（ HamachiService ） - LogMeIn公司- ç ： \ Program Files文件\ Hamachi \ hamachi.exe O23 -服务： Java快速入门（ JavaQuickStarterService ） - Sun Microsystems公司- ç ： \ Program Files文件\ Java的\ jre6 \斌\ jqs.exe O23 -服务： NVIDIA显示驱动程序服务（ NVSvc ） - NVIDIA公司- ç ： \窗口\ system32 \ nvsvc32.exe O23 -服务：普适PSQL工作组引擎（ psqlWGE ） -广泛的软件公司- ç ： \ Program Files文件\广泛的软件\ PSQL \斌\ w3dbsmgr.exe O23 -服务： TrueVector互联网监视器（ vsmon ） - Check Point软件技术有限公司- ç ： \窗口\ system32 \ ZoneLabs \ vsmon.exe -完的文件- 7090字节

[sjb007]

您好

我们真的需要运行一个完整的系统扫描的驱动器上，以确保没有剩余。

有一件事我注意到的是，在线扫描上升的钓鱼式欺诈攻击电子邮件。它并没有告诉我们到底是哪一个是但它告诉我们，这是在您的收件箱。网络钓鱼诈骗企图引诱您把您的详细信息到网站，使罪犯能够获得信息，并使用它为自己造福。欲了解更多有关钓鱼阅读此文章 这里。电子邮件中的问题可能看起来像来自您自己的银行或其他金融机构，甚至会进行标识被盗从原来的网站。从未登录到任何银行的网站或任何其他网站的链接的电子邮件。总是主页，登录他们的。我会建议您清空已删除的项目文件夹旁边的任何其他可疑的电子邮件。

可以尝试完整扫描使用不同的扫描仪。

执行联机扫描 熊猫ActiveScan

• 点击 扫描你的电脑现在
• 一个“弹出”窗口会出现，或者一个新的标签会开启。
• 点击 注册
• 选择你最喜欢，但我们建议的免费注册。
• 点击 注册
• 输入您的e - mail地址，并创建一个密码。
• 选择“我不想接受任何类型的信息“ 。 （除非您希望收到此类信息）
• 点击 发送
• 确认登记，并继续输入您的用户名和密码，然后点击 输入
• 选择完整扫描，然后点击 现在扫描
• 等待组件加载和安装。不要关闭此窗口或转到另一个网页，而这是下载。您可以继续使用互联网的开放另一个窗口在您的浏览器。
• 如果发现任何恶意软件可以消毒，在消毒按钮将启用。点击 消毒
• 请忽略要约收购计划。点击 出口
  
• 出口的记录，并储存到您的桌面。
• 请张贴的内容，该记录您的回复。

*关闭实时扫描任何现有的防病毒程序，而执行线上扫描。

Avast用户注意：

请不要继续进行在线扫描熊猫如果您收到警报。这是一个假阳性的 Avast 因为熊猫卫士防病毒不加密的病毒数据库。

因为某些原因， HJT登入您提交不可读，而不是我要你个不同类型的日志

请下载 直接数字频率合成器 并储存到您的桌面。

• 禁用任何脚本拦截保护
• 双击dds.scr运行该工具。
• 完成后， DDS.txt将打开。
• 点击 是 在下次提示 任择扫描。
• 这两份报告保存到您的桌面。

邮政都记录在您下次答复

还包括大熊猫扫描结果，并让我更新您的系统状态