自動運行惡意軟件？

**sungod000** · ＃1 09年6月19日， 08:12

嗨，我的電腦似乎有一些惡意軟件時，我發現他連我的叔叔USB密鑰。 Avast掃描發現了一些東西，但不能清除/刪除它。後衛掃描將凍結後約7分鐘。和MBAM全面掃描後，還凍結了約5分鐘，但快速掃描確定。以下是日誌：

Avast ：
18/06/2009上午11點07分三十七秒的註冊用戶3652 “的Win32 ：盛衰[隱] ”已發現的“ D ： \再造\的S - 1 - 5 - 21 - 1214440339 - 602162358 - 839522115 - 1003 \ Dd16 \ Outlook.pst \個人文件夾\熱門的個人文件夾\收件箱\ UPS的追踪號碼7124353990 \ UPS_INVOICE_978172.zip \ UPS_INVOICE_9781 72.exe “的文件。
18/06/2009上午11點06分59秒用戶3652註冊了“的Win32 ：盛衰[隱] ”已發現的“ D ： \再造\的S - 1 - 5 - 21 - 1214440339 - 602162358 - 839522115 - 1003 \ Dd16 \ Outlook.pst \個人文件夾\熱門的個人文件夾\刪除的郵件\ UPS的追踪號碼7124353990 \ UPS_INVOICE_978172.zip \ UPS_INVOICE_9781 72.exe “的文件。
18/06/2009上午11點06分59秒用戶3652註冊了“的Win32 ：盛衰[隱] ”已發現的“ D ： \再造\的S - 1 - 5 - 21 - 1214440339 - 602162358 - 839522115 - 1003 \ Dd16 \ Outlook.pst \個人文件夾\熱門的個人文件夾\刪除的郵件\ UPS的追踪號碼0762005263 \ invoice_8712.zip \ INVOICE_8712.exe “文件。
18/06/2009上午11時06分58秒用戶3652註冊了“的Win32 ： Agent的AAPS [ Trj ] ”已發現的“ D ： \再造\的S - 1 - 5 - 21 - 1214440339 - 602162358 - 839522115 - 1003 \ Dd16 \ Outlook.pst \個人文件夾\熱門的個人文件夾\刪除的郵件\ UPS的追踪號碼3508422599 \ ups_invoice.zip \ ups_invoice.exe “文件。
18/06/2009上午10點42分55秒用戶3652註冊了“的Win32 ：木馬根（其他） ”已發現的“ C ： \的Documents and Settings \用戶\本地設置\應用數據\微軟\的Outlook \ Outlookinfo @ fcagroup.com （的IMAP ） 00000005.pst \ info@fcagroup.com \熱門的個人文件夾\ [的Gmail ] \所有郵件\真的很酷照片\ pussy.zip \ pussy.exe “文件。
18/06/2009上午10時42分41秒用戶3652註冊了“的Win32 ：盛衰[隱] ”已發現的“ C ： \的Documents and Settings \用戶\本地設置\應用數據\微軟\的Outlook \ Outlookinfo @ fcagroup 。 com （的IMAP ） 00000005.pst \ info@fcagroup.com \熱門的個人文件夾\ [的Gmail ] \所有郵件\ UPS的：您的跟踪＃三千五百八十〇萬一千〇六十九點八三三萬\ PDF76512.zip \ PDF76512.exe “文件。
18/06/2009上午10時42分41秒用戶3652註冊了“的Win32 ：盛衰[隱] ”已發現的“ C ： \的Documents and Settings \用戶\本地設置\應用數據\微軟\的Outlook \ Outlookinfo @ fcagroup 。 com （的IMAP ） 00000005.pst \ info@fcagroup.com \熱門的個人文件夾\ [的Gmail ] \所有郵件\ UPS的：您的跟踪＃ 145132932471 \ PDF76512.zip \ PDF76512.exe “文件。
18/06/2009上午10時42分23秒用戶3652註冊了“的Win32 ：盛衰[隱] ”已發現的“ C ： \的Documents and Settings \用戶\本地設置\應用數據\微軟\的Outlook \ Outlookinfo @ fcagroup 。 com （的IMAP ） 00000005.pst \ info@fcagroup.com \熱門的個人文件夾\ [的Gmail ] \所有郵件\ UPS的：您的跟踪＃ 239293259082 \ EXL6512721.zip \ EXL6512721.exe “文件。
17/06/2009下午5點36分十八秒系統1328年註冊的“公司：自動- T的[ Wrm ] ”已發現的“ F ： \的Autorun.inf ”文件。

SUPERAntiSpyware掃描日誌
http://www.superantispyware.com

產生2009年6月19號在上午10時43分

應用版本： 1004年4月26日

核心規則數據庫版本： 3947
痕量規則數據庫版本： 1889

掃描類型：完整掃描
總掃描時間： 0時36分36秒

記憶掃描的項目： 631
內存威脅檢測： 0
註冊表項掃描： 6110
書記官處的威脅檢測： 0
文件項目掃描： 46796
檔案威脅檢測： 9

Adware.Tracking餅乾
ç ： \的Documents and Settings \用戶\曲奇\用戶@則為[ 1 ] 。文本
ç ： \的Documents and Settings \用戶\曲奇\用戶名@ revsci [ 2 ] 。文本
ç ： \的Documents and Settings \用戶\曲奇\用戶名@ tribalfusion [ 2 ] 。文本
ç ： \的Documents and Settings \用戶\曲奇\用戶@ realmedia [ 2 ] 。文本
ç ： \的Documents and Settings \用戶\曲奇\ user@microsoftwindows.112.2o 7 [ 1 ] 。文本
ç ： \的Documents and Settings \用戶\曲奇\ user@pandasoftware.112.2o7 [ 1 ] 。文本
ç ： \的Documents and Settings \用戶\曲奇\ user@adopt.euroclick [ 2 ] 。文本
ç ： \的Documents and Settings \用戶\曲奇\用戶名@ specificclick [ 2 ] 。文本
ç ： \的Documents and Settings \用戶\曲奇\用戶名@ 247realmedia [ 1 ] 。文本

Malwarebytes '反惡意軟件1.38
數據庫版本： 2308年
2600年5月1號的Windows Service Pack 3中

19/06/2009上午十一時零一分44秒
mbam日誌- 2009 - 06 - 19 （ 11-01-44 ）。文本

掃描類型：快速掃描
物體掃描： 87063
間隔時間： 2分鐘（ s ）款，二十四秒（縣）

記憶過程感染： 0
內存感染： 0
受感染的註冊表項： 0
註冊表值感染： 0
註冊表數據項目感染： 0
文件夾感染： 0
文件感染： 0

記憶過程感染：
（沒有惡意項目檢測）

內存感染：
（沒有惡意項目檢測）

受感染的註冊表項：
（沒有惡意項目檢測）

註冊表值感染：
（沒有惡意項目檢測）

註冊表數據項目感染：
（沒有惡意項目檢測）

受感染的文件夾：
（沒有惡意項目檢測）

文件感染：
（沒有惡意項目檢測）

日誌文件的趨勢科技了HijackThis v2.0.2
掃描儲存於上午11時04分二十四秒，就19/06/2009
平台： Windows XP SP3的（使用WINNT 2600年1月5日）
MSIE ： Internet Explorer的v6.00 SP3的（ 6.00.2900.5512 ）
啟動模式：正常

正在運行的進程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Program Files文件\ Windows Defender的\ MsMpEng.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗口\ system32 \ ZoneLabs \ vsmon.exe
ç ： \ Program Files文件\ Alwil軟件\ Avast4 \ aswUpdSv.exe
ç ： \ Program Files文件\ Alwil軟件\ Avast4 \ ashServ.exe
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \窗口\ system32 \ cisvc.exe
ç ： \ Program Files文件\ Diskeeper公司公司\ Diskeeper公司\ DkService.exe
ç ： \ Program Files文件\ Hamachi \ hamachi.exe
ç ： \窗口\ system32 \ cidaemon.exe
ç ： \ Program Files文件\ Java的\ jre6 \斌\ jqs.exe
ç ： \ Program Files文件\共同文件\微軟共享\ VS7DEBUG \ MDM.EXE
ç ： \窗口\ system32 \ nvsvc32.exe
ç ： \窗口\ Explorer.exe的
ç ： \ Program Files文件\廣泛的軟件\ PSQL \斌\ w3dbsmgr.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ system32 \ SearchIndexer.exe
ç ： \窗口\ system32 \ fxssvc.exe
ç ： \ Program Files文件\ Alwil軟件\ Avast4 \ ashMaiSv.exe
ç ： \ Program Files文件\ Alwil軟件\ Avast4 \ ashWebSv.exe
ç ： \窗口\ RTHDCPL.EXE
ç ： \ PROGRA 〜 1 \ ALWILS 〜 1 \ Avast4 \ ashDisp.exe
ç ： \ Program Files文件\ Zone Labs的\的ZoneAlarm \ zlclient.exe
ç ： \窗口\三星\ PanelMgr \ SSMMgr.exe
ç ： \窗口\ Twain_32 \三星\ SCX4x28 \ Scan2pc.exe
ç ： \ Program Files文件\ Java的\ jre6 \斌\ jusched.exe
ç ： \窗口\ system32 \ Ctfmon.exe會
ç ： \窗口\ System32 \ svchost.exe
ç ： \ Program Files文件\ Skype的\電話\ Skype.exe
ç ： \ Program Files文件\ Windows桌面搜索\ WindowsSearch.exe
ç ： \ Program Files文件\ Hamachi \ hamachi.exe
ç ： \ Program Files文件\ 2BrightSparks \ SyncBack \ SyncBack.exe
ç ： \ Program Files文件\ Skype的\插件管理器\ skypePM.exe
ç ： \窗口\ system32 \ taskmgr.exe
ç ： \ Program Files文件\ SUPERAntiSpyware \ SUPERAntiSpyware.exe
ç ： \窗口\ system32 \記事本
ç ： \ Program Files文件\是Mozilla Firefox \ firefox.exe
ç ： \窗口\ system32 \ SearchProtocolHost.exe
ç ： \ Program Files文件\趨勢科技\了HijackThis \ sniper.exe

R0 - HKCU \軟件\微軟\的Internet Explorer \主，初始頁= http://www.dhl.ca/ca/wfHomeLoggedIn.aspx
F2代-註冊：的System.ini ： UserInit = C的： \窗口\ system32 \ userinit.exe ， userinit的。 exe
01 -主辦單位： 66.98.148.65 auto.search.msn.com
01 -主辦單位： 66.98.148.65 auto.search.msn.es
氧- BHO ： Spybot蠕蟲，特殊和差別待遇的IE瀏覽器保護- （ 53707962 - 6F74 - 2D53 - 2644 - 206D7942484F ） - ç ： \ PROGRA 〜 1 \ Spybot蠕蟲〜 1 \ SDHelper.dll
氧- BHO ： Java （商標）插件2 SSV助手- （ DBC80044 - A445 - 435b - BC74 - 9C25C1C588A9 ） - ç ： \ Program Files文件\ Java的\ jre6 \斌\ jp2ssv.dll
氧- BHO ： JQSIEStartDetectorImpl - （ E7E6F031 - 17CE - 4C07 - BC86 - EABFE594F69C ） - ç ： \ Program Files文件\ Java的\ jre6 \庫\部署\實驗台\即\ jqs_plugin.dll
物理學- HKLM \ .. \運行： [ NvCplDaemon ] RUNDLL32.EXE ç ： \窗口\ system32 \ NvCpl.dll ， NvStartup
物理學- HKLM \ .. \運行： [ RTHDCPL ] RTHDCPL.EXE
物理學- HKLM \ .. \運行： [ Alcmtr ] ALCMTR.EXE
物理學- HKLM \ .. \運行： [ DiskeeperSystray ]的“ C ： \ Program Files文件\ Diskeeper公司公司\ Diskeeper公司\ DkIcon.exe ”
物理學- HKLM \ .. \運行： [ avast ！ ] ç ： \ PROGRA 〜 1 \ ALWILS 〜 1 \ Avast4 \ ashDisp.exe
物理學- HKLM \ .. \運行： [ Windows Defender會]的“ C ： \ Program Files文件\的Windows Defender \ MSASCui.exe ”隱藏
物理學- HKLM \ .. \運行： [ ZoneAlarm的客戶]的“ C ： \ Program Files文件\ Zone Labs的\的ZoneAlarm \ zlclient.exe ”
物理學- HKLM \ .. \運行： [三星PanelMgr ] ç ： \窗口\三星\ PanelMgr \ SSMMgr.exe /自動
物理學- HKLM \ .. \運行： [ 4x28 Scan2PC ]的“ C ： \窗口\ Twain_32 \三星\ SCX4x28 \ Scan2pc.e氙”
物理學- HKLM \ .. \運行： [ SunJavaUpdateSched ]的“ C ： \ Program Files文件\ Java的\ jre6 \斌\ jusched.exe ”
物理學- HKLM \ .. \的RunOnce ： [ Malwarebytes '反惡意軟件] ç ： \ Program Files文件\ Malwarebytes '反惡意軟件\ mbamgui.exe /安裝/沉默
物理學- HKCU \ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會
物理學- HKCU \ .. \運行： [ Skype公司]的“ C ： \ Program Files文件\ Skype的\電話\ Skype.exe ” / nosplash /最小
物理學- HKUS \的S - 1 - 5 - 19 \ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會（用戶本地服務' ）
物理學- HKUS \的S - 1 - 5 - 20 \ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會（用戶的網絡服務' ）
物理學- HKUS \的S - 1 - 5 - 18 \ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會（用戶'系統' ）
物理學- HKUS \ 。缺省\ .. \運行： [ Ctfmon.exe會] ç ： \窗口\ system32 \ Ctfmon.exe會（用戶默認用戶' ）
物理學-啟動： hamachi.lnk = C的： \ Program Files文件\ Hamachi \ hamachi.exe
物理學-啟動：捷徑地圖Drive.lnk = C的： \的Documents and Settings \用戶\桌面\地圖Drive.bat
物理學-啟動： SyncBack.lnk = C的： \ Program Files文件\ 2BrightSparks \ SyncBack \ SyncBack.exe
物理學-全球啟動：視窗Search.lnk = C的： \ Program Files文件\ Windows桌面搜索\ WindowsSearch.exe
O8 -額外上下文菜單項目：匯出至Microsoft Excel -水庫： / /炭： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ EXCEL.EXE/3000
O8 -額外上下文菜單項目：網絡捕獲- ç ： \ Program Files文件\ SmarThru辦公室\ WebCapture.dll
O9 -額外的按鈕：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ REFIEBAR.DLL
O9 -額外的按鈕：（無姓名） - （ DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ） - ç ： \ PROGRA 〜 1 \ Spybot蠕蟲〜 1 \ SDHelper.dll
O9 -額外的'工具' menuitem ： Spybot蠕蟲-搜索和摧毀配置- （ DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ） - ç ： \ PROGRA 〜 1 \ Spybot蠕蟲〜 1 \ SDHelper.dll
O9 -額外的按鈕：（無姓名） - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\網絡診斷\ xpnetdiag.exe
O9 -額外的'工具' menuitem ： @ xpsp3res.dll ， -20001 - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\網絡診斷\ xpnetdiag.exe
O9 -額外的按鈕： Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\傳送\ msmsgs.exe
O9 -額外的'工具' menuitem ： Windows Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\傳送\ msmsgs.exe
O16 -柴油機微粒過濾器：（ 56762DEC - 6B0D - 4AB4 - A8AD - 989993B5D08B ） - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 -柴油機微粒過濾器：（ 6414512B - B978 - 451D - A0D8 - FCFDF33E833C ）（ WUWebControl類） - http://www.update.microsoft.com/wind...?1203273577140
O18 -協議： skype4com - （ FFC8B962 - 9B40 - 4DFF - 9458 - 1830C7DD7F5D ） - ç ： \ PROGRA 〜 1 \常見〜 1 \ Skype的\ SKYPE4 〜 1.DLL
ø20 - Winlogon通知：！ SASWinLogon - ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll
O23 -服務： Adobe公司長征服務-未知所有者- ç ： \ Program Files文件\共同文件\ Adobe系統共享\服務\ Adobelmsvc.exe
O23 -服務： avast ！ iAVS4管制局（ aswUpdSv ） - ALWIL軟件- ç ： \ Program Files文件\ Alwil軟件\ Avast4 \ aswUpdSv.exe
O23 -服務： avast ！防病毒- ALWIL軟件- ç ： \ Program Files文件\ Alwil軟件\ Avast4 \ ashServ.exe
O23 -服務： avast ！郵件掃描- ALWIL軟件- ç ： \ Program Files文件\ Alwil軟件\ Avast4 \ ashMaiSv.exe
O23 -服務： avast ！網絡掃描- ALWIL軟件- ç ： \ Program Files文件\ Alwil軟件\ Avast4 \ ashWebSv.exe
O23 -服務： Diskeeper公司- Diskeeper公司公司- ç ： \ Program Files文件\ Diskeeper公司公司\ Diskeeper公司\ DkService.exe
O23 -服務： Hamachi服務（ HamachiService ） - LogMeIn公司- ç ： \ Program Files文件\ Hamachi \ hamachi.exe
O23 -服務： Java快速入門（ JavaQuickStarterService ） - Sun Microsystems公司- ç ： \ Program Files文件\ Java的\ jre6 \斌\ jqs.exe
O23 -服務： NVIDIA顯示驅動程序服務（ NVSvc ） - NVIDIA公司- ç ： \窗口\ system32 \ nvsvc32.exe
O23 -服務：普適PSQL工作組引擎（ psqlWGE ） -廣泛的軟件公司- ç ： \ Program Files文件\廣泛的軟件\ PSQL \斌\ w3dbsmgr.exe
O23 -服務： TrueVector互聯網監視器（ vsmon ） - Check Point軟件技術有限公司- ç ： \窗口\ system32 \ ZoneLabs \ vsmon.exe

-
文件結尾- 7353字節

**sjb007** · ＃2 2009年6月20號， 06:58

你好，歡迎有計算機汁

我史蒂夫，我會幫助您thoughout此修復程序。

在開始的修補程序，請閱讀此文章完全。如果有什麼，你不明白，懇請您的問題，再進行操作。但重要的是，你千萬不要錯過了一步。請執行一切以正確的順序/序列。

我們將首先ComboFix.exe 。請訪問此網頁下載鏈接，並指示，運行該工具：

http://www.bleepingcomputer.com/comb...o-use-combofix

確保您已停用所有反病毒和反惡意軟件程序，使他們不干擾運行ComboFix 。

請註明 ç ： \ ComboFix.txt 在您下次答复作進一步審查。

**sungod000** · ＃3 2009年6月22日， 07:38

嘿，感謝您的幫助。以下是日誌中：

ComboFix 09-06-21.01 -用戶22/06/2009 10:29.1 - NTFSx86
Microsoft Windows XP Professional的5.1.2600.3.1252.1.1033.18.2046.1511 [格林尼治標準時間-4:00 ]
運行中： C ： \的Documents and Settings \用戶\桌面\ ComboFix.exe
影音： avast ！防病毒1335年4月8日[定位090621-0 ] *論訪問掃描禁用* （更新）（ 7591DB91 - 41F0 - 48A3 - B128 - 1A293FD8233D ）
防火牆： ZoneAlarm的防火牆*殘疾人* （ 829BDA32 - 94B3 - 44F4 - 8446 - F8FCFF809F8B ）
。

(((((((((((((((((((((((((((((((((((((((其他缺失))))))))) ))))))))))))))))))))))))))))))))))))))))
。

ç ： \窗戶\ system32 \ winsusrm.dll

。
(((((((((((((((((((((((((創建的文件從2009年5月22日至2009年6月22日))))))))))) ))))))))))))))))))))
。

2009年6月19號15點34分。 2009年6月19號15點34 -------- d -----瓦特碳： \ Program Files文件\微軟ActiveSync
2009年6月19號14:07 。 2009年6月19號14:07 -------- d -----的W - ç ： \的Documents and Settings \用戶\應用數據\ Malwarebytes
2009年6月19號14:07 。 2009年6月17號15:27 38160 ----胡碳： \窗戶\ system32 \驅動程序\ mbamswissarmy.sys
2009年6月19號14:07 。 2009年6月19號14:07 -------- d -----瓦特碳： \ Program Files文件\ Malwarebytes '反惡意軟件
2009年6月19號14:07 。 2009年6月19號14:07 -------- d -----瓦特碳： \文件和設置\所有用戶\應用數據\ Malwarebytes
2009年6月19號14:07 。 2009年6月17號15:27 19096 ----胡碳： \窗戶\ system32 \驅動程序\ mbam.sys
2009年6月19號13:58 。 2009年6月19號13:58 117760 ----胡碳： \文件和設置\用戶\應用數據\ SUPERAntiSpyware.com \ SUPERAntiSpyware \ SDDLLS \ UIREPAIR.DLL
2009年6月19號13點57分。 2009年6月19號13點57 -------- d -----瓦特碳： \文件和設置\所有用戶\應用數據\ SUPERAntiSpyware.com
2009年6月19號13點57分。 2009年6月19號13點57 -------- d -----瓦特碳： \ Program Files文件\ SUPERAntiSpyware
2009年6月19號13點57分。 2009年6月19號13點57 -------- d -----的W - ç ： \的Documents and Settings \用戶\應用數據\ SUPERAntiSpyware.com
2009年6月19號13點57分。 2009年6月19號13點57 -------- d -----瓦特碳： \ Program Files文件\共同文件\智者安裝嚮導
09年6月10日17:39 。 09年6月10日17:39 152576 ----胡碳： \文件和設置\用戶\應用數據\孫\的Java \ jre1.6.0_14 \ lzma.dll
09年6月10日00:53 。 09年6月10日00:53 -------- d -----瓦特碳： \文件和設置\所有用戶\應用數據\溝道軟件
2009年5月29日11:46 。 2008年4月14日09:42 26624 ----胡碳： \文件和設置\ LocalService \應用數據\微軟\ UPnP裝置主機\ upnphost \ udhisapi.dll

。
(((((((((((((((((((((((((((((((((((((((( Find3M報告)))))))) )))))))))))))))))))))))))))))))))))))))))) ））
。
2009年6月22日14時22分。 2009年4月28日15點○三-------- d -----的W - ç ： \的Documents and Settings \用戶\應用數據\ Skype公司
2009年6月22日13時56分。 2008年2月17號21:01 -------- d -----的W - ç ： \的Documents and Settings \用戶\應用數據\ Hamachi
2009年6月22日12:02 。 2009年4月28日15時18 -------- d -----的W - ç ： \的Documents and Settings \用戶\應用數據\ skypePM
2009年6月19號13點35分。 2008年2月17號22:39 -------- d -----瓦特碳： \文件和設置\所有用戶\應用數據\ Spybot蠕蟲-搜索和摧毀
2009年6月18日19:10 。 2008年6月19號15:20 31703397 ----胡碳： \窗戶\互聯網日誌\ tvDebug.zip
2009年6月12號07:08 。 2008年12月3日14點46 -------- d -----瓦特碳： \ Program Files文件\ Windows桌面搜索
09年6月10日17:39 。 2009年3月26日15時12分-------- d -----瓦特碳： \ Program Files文件\爪哇
09年6月10日16時58分。 08年12月30號17點22 -------- d -----的W - ç ： \的Documents and Settings \用戶\應用數據\ FileZilla
09年5月30號21:05 。 2008年8月28日17:15 -------- d -----瓦特碳： \ Program Files文件\旺角PowerTools
2009年5月25日04:24 。 2008年5月27日03:18 350208 ----胡碳： \窗戶\ system32 \ mssph.dll
2009年5月21日15時33分。 08年12月6日16:44 410984 ----胡碳： \窗戶\ system32 \ deploytk.dll
2009年5月12號19:12 。 2008年2月17號18:05 26144 ----胡碳： \窗戶\ system32 \ spupdsvc.exe
2009年5月7日15點32分。 2004年8月3日16時56分345600 ----胡碳： \窗戶\ system32 \ localspl.dll
2009年5月1日16時37分。 2009年2月7日19時53 -------- d -----的W - ç ： \的Documents and Settings \用戶\應用數據\ Unyte
2009年4月29日04:46 。 2004年8月3日16時56分666624 ----胡碳： \窗戶\ system32 \ wininet.dll
2009年4月29日04:46 。 2004年8月3日16時56分81920 ----胡碳： \窗戶\ system32 \ ieencode.dll
2009年4月28日15點18分。 2009年4月28日15點18分56 ---公頃鎢碳： \窗戶\ system32 \ ezsidmv.dat
2009年4月28日15:02 。 2009年4月28日15:02 -------- d -----瓦特碳： \ Program Files文件\共同文件\ Skype公司
2009年4月28日15:02 。 2009年4月28日15:02 -------- d -----的R - ç ： \ Program Files文件\ Skype公司
2009年4月28日15:02 。 2009年4月28日15:02 -------- d -----瓦特碳： \文件和設置\所有用戶\應用數據\ Skype公司
2009年4月17日12時26分。 2004年8月3日15點17 1847168 ----胡碳： \窗戶\ system32 \ Win32k.sys中
2009年4月15日14:51 。 2004年8月3日16時56分585216 ----胡碳： \窗戶\ system32 \ rpcrt4.dll
2009年4月9日02:09 。 2009年4月9日02:04 664 ----胡碳： \窗戶\ system32 \ d3d9caps.dat
2009年4月1日21時57分。 2008年2月17號22:30 4212 ---公頃鎢碳： \窗戶\ system32 \ zllictbl.dat
2009年4月1日21時21分。 2009年4月1日21時21 152576 ----胡碳： \文件和設置\用戶\應用數據\孫\的Java \ jre1.6.0_13 \ lzma.dll
2009年3月31日21:41 。 2009年3月31日21:41 0 ----胡碳： \窗戶\ system32 \ WSSPOOL.TMP
2009年3月26日15時11分。 2009年3月26日15時11分152576 ----胡碳： \文件和設置\用戶\應用數據\孫\的Java \ jre1.6.0_12 \ lzma.dll
2008年6月23日22:36 。 2008年6月23日22:36 0 ----胡碳： \ Program Files文件\ gditst
2008年5月22日20時04分。 2008年5月22日20:04 190 ----胡碳： \ Program Files文件\共同文件\ psasetup.log
。

(((((((((((((((((((((((((((((((((((((註冊裝載點)))))))))) ))))))))))))))))))))))))))))))))))))))))
。
。
*注意*空白條目與合法默認項不會顯示
REGEDIT4

[ HKEY_CURRENT_USER \軟件\微軟\的Windows \曲線ntVersion \運行]
“ Ctfmon.exe會” =的“ C ： \窗戶\ system32 \ Ctfmon.exe會” [ 08年4月14日15360 ]
“ Skype公司” =的“ C ： \ Program Files文件\ Skype的\電話\ Skype.exe ” [ 2009年4月21日24264488 ]

[ HKEY_LOCAL_MACHINE \軟件\微軟\的Windows \當前entVersion \運行]
“ NvCplDaemon ” =的“ C ： \窗戶\ system32 \ NvCpl.dll ” [ 2007年9月17號8491008 ]
“ DiskeeperSystray ” =的“ C ： \ Program Files文件\ Diskeeper公司公司\ Diskeeper公司\ DkIcon.exe ” [ 2006年10月4日16.384萬]
“ avast ！ ” =的“ C ： \ progra 〜 1 \ ALWILS 〜 1 \ Avast4 \ ashDisp的。 exe ” [ 2009年2月5日8.1萬]
“防火牆客戶端” =的“ C ： \ Program Files文件\ Zone Labs的\的ZoneAlarm \ zlclient.exe ” [ 2009年2月16號981384 ]
“三星PanelMgr ” =的“ C ： \窗戶\三星\ PanelMgr \ SSMMgr.exe ” [ 2008年7月31日536576 ]
“ 4x28 Scan2PC ” =的“ C ： \窗戶\ Twain_32 \三星\ SCX4x28 \掃描2pc.exe ” [ 2008年9月29日495616 ]
“ SunJavaUpdateSched ” =的“ C ： \ Program Files文件\爪哇\ jre6 \斌\ jusched.exe ” [ 2009年5月21日148888 ]
“ RTHDCPL ” = “ RTHDCPL.EXE ” - ç ： \窗戶\ RTHDCPL.exe [ 2007年4月26日16132608 ]

[ HKEY_USERS \ 。缺省\軟件\微軟\的Windows \薑黃素rentVersion \運行]
“ Ctfmon.exe會” =的“ C ： \窗戶\ system32 \ Ctfmon.exe會” [ 08年4月14日15360 ]

ç ： \的Documents and Settings \用戶\開始菜單\程序\啟動\
hamachi.lnk - ç ： \ Program Files文件\ Hamachi \ hamachi.exe [ 2008年2月17號625952 ]
捷徑地圖Drive.lnk - ç ： \的Documents and Settings \用戶\桌面\地圖Drive.bat [ 08年7月30號42 ]
SyncBack.lnk - ç ： \ Program Files文件\ 2BrightSparks \ SyncBack \ SyncBack.exe [ 08年11月15號2936064 ]

ç ： \文件和設置\所有用戶\開始菜單\程序\啟動\
視窗Search.lnk - ç ： \ Program Files文件\ Windows桌面搜索\ WindowsSearch.exe [ 2008年5月26日123904 ]

[ hkey_local_machine \軟件\微軟\窗戶\當前entversion \探險\ ShellExecuteHooks ]
“ （ 56F9679E - 7826 - 4C84 - 81F3 - 532071A8BCC5 ） ” =的“ C ： \ Program Files文件\ Windows桌面搜索\ MSNLNamespaceMgr.dll ” [ 2009年5月25日304128 ]
“ （ 5AE067D3 - 9AFB - 48E0 - 853A - EBB7F4A000DA ） ” =的“ C ： \ Program Files文件\ SUPERAntiSpyware \ SASSEH.DLL ” [ 2008年5月13日77824 ]

[ HKEY_LOCAL_MACHINE \軟件\微軟\ Windows NT的\ currentversion \ winlogon \通知\ ！ SASWinLogon ]
2008年12月22號16:05 356352 ----胡碳： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll

[ HKEY_LOCAL_MACHINE \系統\ CurrentControlSet \控制\ SafeBoot \最小\ WinDefend ]
@ = “服務”

[ HKEY_LOCAL_MACHINE \軟件\微軟\安全中心\監測\ ZoneLabsFirewall ]
“ DisableMonitoring ” =的DWORD ： 00000001

[ HKLM \ 〜 \服務\ sharedaccess \參數\ firewallpo licy \ standardprofile ]
“ EnableFirewall ” = 0 （ 0x0 ）

[ HKLM \ 〜 \服務\ sharedaccess \參數\ firewallpo licy \ standardprofile \ AuthorizedApplications \名單]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” =
“ ％ windir ％ \ \網絡診斷\ \ xpnetdiag.exe ” =
的“ C ： \ \窗口\ \ system32 \ \ fxsclnt.exe ” =
的“ C ： \ \ Program Files文件\ \廣泛的軟件\ \ PSQL \ \斌\ \ w3dbsmgr.exe ” =
的“ C ： \ \窗口\ \ twain_32 \ \三星\ \ ScanMgr.exe ” =
的“ C ： \ \窗口\ \ twain_32 \ \三星\ \ SCX4x28 \ \ Scan2Pc的。 exe ” =
的“ C ： \ \窗口\ \ twain_32 \ \三星\ \ SCX4x28 \ \ Sscan2io的。 exe ” =
的“ C ： \ \ Program Files文件\ \ Skype的\ \電話\ \ Skype.exe ” =

[ HKLM \ 〜 \服務\ sharedaccess \參數\ firewallpo licy \ standardprofile \ GloballyOpenPorts \名單]
“ 3389 ： TCP連接” = 3389 ： TCP連接： @ xpsp2res.dll ， -22009

受體1 aswSP ; avast ！自我保護; ç ： \窗戶\ system32 \驅動程序\ aswSP.sys [ 2008年7月4日上午10時44 114768 ]
受體1 SASDIFSV ; SASDIFSV ; ç ： \ Program Files文件\ SUPERAntiSpyware \ sasdifsv.sys [ 26/05/2009上午10時05 9968 ]
受體1 SASKUTIL ; SASKUTIL ; ç ： \ Program Files文件\ SUPERAntiSpyware \ SASKUTIL.SYS [ 26/05/2009上午10時05 72944 ]
R2的aswFsBlk ; aswFsBlk ; ç ： \窗戶\ system32 \驅動程序\ aswF sBlk.sys [ 2008年7月4日上午10時44分20560 ]
R2的HamachiService ; Hamachi服務; ç ： \ Program Files文件\ Hamachi \ hamachi.exe [ 17/02/2008下午5點01分625952 ]
R2的psqlWGE ;普適PSQL工作組發動機; ç ： \ Program Files文件\廣泛的軟件\ PSQL \斌\ w3dbsmgr.exe [ 2008年6月6日下午1點03 435488 ]
R2的WinDefend ; Windows Defender的; ç ： \ Program Files文件\ Windows Defender的\ MsMpEng.exe [ 2006年3月11號下午8點19分13592 ]
R3的SASENUM ; SASENUM ; ç ： \ Program Files文件\ SUPERAntiSpyware \ SASENUM.SYS [ 26/05/2009上午10點05 7408 ]
一KPSYSDRV ; KPSYSDRV ; ç ： \窗戶\ system32 \驅動程序\ Kpsy sdrv.sys [ 23/06/2008下午6時36分17016 ]
二BulkUsb ;創惟USB控制器新台幣5.0 ; ç ： \窗戶\ system32 \驅動程序\ usbprn.sys [ 23/06/2008下午6時27分7552 ]
二SSPORT ; SSPORT ; \ ？？ \ ç ： \窗戶\ system32 \驅動程序\深水 RT.sys - “ ç ： \窗戶\ system32 \驅動程序\ SSPORT.sys [ ？ ]
三Moarer ; Moarer ;的[ x ]

---其他服務/司機記憶---

* NewlyCreated * - SASDIFSV
* NewlyCreated * - SASENUM
* NewlyCreated * - SASKUTIL
。
內容'計劃任務的文件夾

2009年6月22日ç ： \窗戶\任務\議員預定Scan.job
- ç ： \ Program Files文件\ Windows Defender的\ MpCmdRun.exe會[ 06年11月4日00:20 ]

2009年6月22日ç ： \窗戶\任務\ SyncBack Outlook.job
- ç ： \ Program Files文件\ 2BrightSparks \ SyncBack \ SyncBack.exe [ 2008年11月15號16:19 ]
。
。
補充掃描------- -------
。
uStart頁= hxxp ： / / www.dhl.ca /加拿大/ wfHomeLoggedIn.aspx
即：匯出至Microsoft Excel - ç ： \ progra 〜 1 \微〜 2 \ OFFICE11 \ EXCEL.EXE/3000
即：網絡捕獲- ç ： \ Program Files文件\ SmarThru辦公室\ WebCapture.dll
法國法郎- ProfilePath -
。

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit的/隱形惡意探測器Gmer ， http://www.gmer.net
2009年6月22日10時31分的rootkit掃描
2600年5月1號的Windows Service Pack 3中的NTFS

掃描隱藏的進程...

掃描隱藏的自動啟動項...

掃描隱藏的文件...

掃描順利完成
隱藏的文件： 0

************************************************** ************************
。
--------------------- ---------------------鎖定註冊表項

[ HKEY_LOCAL_MACHINE \軟件\廣泛的軟件\ PSQL ]
@拒絕：）（大家）
@ = “ ”
。
完成時間： 2009年6月22日10:32
ComboFix -隔離- files.txt 2009年6月22日14:32

預運行： 32245211136字節免費
後運行： 32239325184字節免費

視窗- KB310994 - SP2的親BootDisk - ENU.exe
[的Boot Loader ]
超時= 2
默認=多（ 0 ）磁盤（ 0 ） rdisk （ 0 ）分區（ 1 ） \窗縣
[操作系統]
ç ： \ cmdcons \ BOOTSECT.DAT = “ Microsoft Windows故障恢復控制台” / cmdcons
多（ 0 ）磁盤（ 0 ） rdisk （ 0 ）分區（ 1 ） \窗口= “微軟的Windows XP Professional ” / noexecute =選擇啟用/ fastdetect

164 --- EOF分析--- 2009年6月18號19:28

**sjb007** · ＃4 2009年6月22日， 09:38

你好有

在這後我想下次你運行一個在線病毒掃描，首先讓刪除一些垃圾....

請下載 管理局清潔 由Atribune 。
這一計劃是用於XP和Windows 2000只

雙擊 亞歐信託基金， Cleaner.exe 運行該程序。
根據 主要的 選擇：全選
點擊空選按鈕。

如果您使用Firefox瀏覽器
點擊火狐頂部和選擇：全選
點擊空選按鈕。
注意： 如果您想保留您保存密碼，請點擊否在提示符。

如果您使用的Opera瀏覽器
點擊歌劇頂部和選擇：全選
點擊空選按鈕。
注意： 如果您想保留您保存密碼，請點擊否在提示符。

點擊退出在主菜單中關閉該程序。
為了 技術支持，雙擊e - mail地址位於底部的每個菜單。

建立一個互聯網連接和執行聯機掃描 Internet Explorer的 在 卡巴斯基在線掃描。

** Vista用戶-右鍵點擊IE瀏覽器/ Firefox的圖標，並以管理員身份運行

點擊接受，當提示下載並安裝程序文件和數據庫的惡意軟件的定義。

點擊跑在安全提示。
該計劃將開始下載和安裝，也將更新數據庫。
請耐心等待，因為這可能需要幾分鐘時間。
一旦完成更新，請點擊 我的電腦 根據綠色掃描酒吧左邊開始掃描。
一旦掃描完成，它會顯示如果你的系統已經被感染。它不提供一個選項，清潔/消毒。我們只需要它的報告。
做不感到震驚的是你在報告中看到。許多認為有可能被隔離。
點擊 查看掃描報告 在底部。
點擊 保存報告作為...按鈕。
點擊 另存為 文字按鈕，將文件保存到桌面，以便您可以將它張貼在您下次答复。

這動畫將引導您完成這一過程：

**注**

優化掃描時間和產生一個更明智的報告進行審查：
關閉所有打開的程序
關閉實時掃描任何現有的防病毒程序，而執行線上掃描。您可以從互聯網上斷開一旦您開始掃描。

注意： Internet Explorer 7的用戶：如果您在任何時候都無法查看的接受按鈕的許可證，點擊放大工具位於右下角的IE窗口，並設置縮放到75 ％。一旦許可證接受，重置為100 ％。

郵回的結果來Kasperksy ，還就如何更新我的東西正在運行

**sungod000** · ＃5 2009年6月23日， 08:40

http://www.dhl.ca/ca/wfHomeLoggedIn.aspx 受體1 - HKLM \軟件\微軟\的Internet Explorer \主， Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 受體1 - HKLM \軟件\微軟\的Internet Explorer \主， Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 受體1 - HKLM \軟件\微軟\的Internet Explorer \主，搜索頁面= http://go.microsoft.com/fwlink/?LinkId=54896 http://www.eset.eu/buxus/docs/OnlineScanner.cab O16 -柴油機微粒過濾器：（ 6414512B - B978 - 451D - A0D8 - FCFDF33E833C ）（ WUWebControl類） - http://www.update.microsoft.com/wind...?1203273577140 O18 -協議： skype4com - （ FFC8B962 - 9B40 - 4DFF - 9458 - 1830C7DD7F5D ） - ç ： \ PROGRA 〜 1 \常見〜 1 \ Skype的\ SKYPE4 〜 1.DLL ø20 - Winlogon通知：！ SASWinLogon - ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll O23 -服務： Adobe公司長征服務-未知所有者- ç ： \ Program Files文件\共同文件\ Adobe系統共享\服務\ Adobelmsvc.exe O23 -服務： avast ！ iAVS4管制局（ aswUpdSv ） - ALWIL軟件- ç ： \ Program Files文件\ Alwil軟件\ Avast4 \ aswUpdSv.exe O23 -服務： avast ！防病毒- ALWIL軟件- ç ： \ Program Files文件\ Alwil軟件\ Avast4 \ ashServ.exe O23 -服務： avast ！郵件掃描- ALWIL軟件- ç ： \ Program Files文件\ Alwil軟件\ Avast4 \ ashMaiSv.exe O23 -服務： avast ！網絡掃描- ALWIL軟件- ç ： \ Program Files文件\ Alwil軟件\ Avast4 \ ashWebSv.exe O23 -服務： Diskeeper公司- Diskeeper公司公司- ç ： \ Program Files文件\ Diskeeper公司公司\ Diskeeper公司\ DkService.exe O23 -服務： Hamachi服務（ HamachiService ） - LogMeIn公司- ç ： \ Program Files文件\ Hamachi \ hamachi.exe O23 -服務： Java快速入門（ JavaQuickStarterService ） - Sun Microsystems公司- ç ： \ Program Files文件\ Java的\ jre6 \斌\ jqs.exe O23 -服務： NVIDIA顯示驅動程序服務（ NVSvc ） - NVIDIA公司- ç ： \窗口\ system32 \ nvsvc32.exe O23 -服務：普適PSQL工作組引擎（ psqlWGE ） -廣泛的軟件公司- ç ： \ Program Files文件\廣泛的軟件\ PSQL \斌\ w3dbsmgr.exe O23 -服務： TrueVector互聯網監視器（ vsmon ） - Check Point軟件技術有限公司- ç ： \窗口\ system32 \ ZoneLabs \ vsmon.exe -完的文件- 7090字節

**sjb007** · ＃6 2009年6月23日， 12:14

您好

我們真的需要運行一個完整的系統掃描的驅動器上，以確保沒有剩餘。

有一件事我注意到的是，在線掃描上升的釣魚式欺詐攻擊電子郵件。它並沒有告訴我們到底是哪一個是但它告訴我們，這是在您的收件箱。網絡釣魚詐騙企圖引誘您把您的詳細信息到網站，使罪犯能夠獲得信息，並使用它為自己造福。欲了解更多有關釣魚閱讀此文章這裡。電子郵件中的問題可能看起來像來自您自己的銀行或其他金融機構，甚至會進行標識被盜從原來的網站。從未登錄到任何銀行的網站或任何其他網站的鏈接的電子郵件。總是主頁，登錄他們的。我會建議您清空已刪除的項目文件夾旁邊的任何其他可疑的電子郵件。

可以嘗試完整掃描使用不同的掃描儀。

執行聯機掃描 熊貓ActiveScan

點擊 掃描你的電腦現在
一個“彈出”窗口會出現，或者一個新的標籤會開啟。
點擊註冊
選擇你最喜歡，但我們建議的免費註冊。
點擊註冊
輸入您的e - mail地址，並創建一個密碼。
選擇“我不想接受任何類型的信息“ 。（除非您希望收到此類信息）
點擊發送
確認登記，並繼續輸入您的用戶名和密碼，然後點擊輸入
選擇完整掃描，然後點擊 現在掃描
等待組件加載和安裝。不要關閉此窗口或轉到另一個網頁，而這是下載。您可以繼續使用互聯網的開放另一個窗口在您的瀏覽器。
如果發現任何惡意軟件可以消毒，在消毒按鈕將啟用。點擊消毒
請忽略要約收購計劃。點擊出口
出口的記錄，並儲存到您的桌面。
請張貼的內容，該記錄您的回复。

*關閉實時掃描任何現有的防病毒程序，而執行線上掃描。

Avast用戶注意：

請不要繼續進行在線掃描熊貓如果您收到警報。這是一個假陽性的 Avast 因為熊貓衛士防病毒不加密的病毒數據庫。

因為某些原因， HJT登入您提交不可讀，而不是我要你個不同類型的日誌

請下載 直接數字頻率合成器 並儲存到您的桌面。