点击，响闹及隐藏的iexplore.exe进程

临时性 · ＃1 2008年10月6号， 23:30

嗨，

任何有助于这一问题的许多apprecated 。的SAS ， SSD和反恶意软件似乎找不到什么以往我。以下是正在进行：

1 ）如果没有连接到我的调制解调器，不断点击来自我的电脑（我猜想，因为东西是尝试打开iexplorer.exe
2 ）偶尔beebing （一个不同于任何我听过）发出哔哔声3或4倍
3 ）如果连接到调制解调器， iexplorer.exe运行（虽然我从来没有使用Internet Explorer ），当我关闭这个过程中，开放的右后卫了。

非常感谢任何和所有帮助，这是HJT日志：

日志文件的了HijackThis v1.99.1
扫描储存于下午11时十五分50秒，在2008年10月6日
平台： Windows XP SP2的（使用WINNT 2600年1月5日）
MSIE ： SP2中的Internet Explorer v6.00 （ 6.00.2900.2180 ）

正在运行的进程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ Ati2evxx.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleMobileDeviceService.exe
ç ： \ PROGRA 〜 1 \ ESRI公司\许可证\ arcgis9x \ lmgrd.exe
ç ： \ Program Files文件\东芝\电源管理\ CeEPwrSvc.exe
ç ： \ Program Files文件\东芝\ ConfigFree \ CFSvcs.exe
ç ： \ Program Files文件\ Symantec_Client_Security \利用Symantec AntiVirus \ DefWatch.exe
ç ： \ Program Files文件\执行软件\ Diskeeper公司\ DkService.exe
ç ： \窗口\ System32 \ DVDRAMSV.exe
ç ： \ PROGRA 〜 1 \ ESRI公司\许可证\ arcgis9x \ ARCGIS.exe
ç ： \ Program Files文件\热点盾\斌\ openvpnas.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \ Program Files文件\ Symantec_Client_Security \利用Symantec AntiVirus \ Rtvscan.exe
ç ： \ Program Files文件\共同文件\ SafeNet公司哨兵\哨兵保护服务器的\ WINNT \ spnsrvnt.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗口\ system32 \ wscntfy.exe
ç ： \窗口\ system32 \ Ati2evxx.exe
ç ： \窗口\ Explorer.exe的
ç ： \窗口\ system32 \ wuauclt.exe
ç ： \ Program Files文件\ Apoint2K \ Apoint.exe
ç ： \ Program Files文件\东芝\电源管理\ CePMTray.exe
ç ： \ Program Files文件\东芝\触控板\ TPTray.exe
ç ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ SYMANT 〜 1 \ vptray.exe
ç ： \窗口\三星\ PanelMgr \ ssmmgr.exe
ç ： \窗口\ HCWemMON.exe
ç ： \ Program Files文件\ Apoint2K \ Apntex.exe
ç ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe
ç ： \ Program Files文件\的iTunes \ iTunesHelper.exe
ç ： \ Program Files文件\ SpyNoMore \ SNM.exe
ç ： \窗口\ system32 \ Ctfmon.exe会
ç ： \ Program Files文件\的Windows Media Player \ WMPNSCFG.exe
ç ： \ Program Files文件\ Spybot蠕虫-搜索和摧毁\ TeaTimer.exe
ç ： \ Program Files文件\从头\按钮管理器v1.836 \ inihid.exe
ç ： \ Program Files文件\虹软\ TotalMedia备份及记录\ uBBMonitor.exe
ç ： \ Program Files文件\苹果\斌\ iPodService.exe
ç ： \ Program Files文件\是Mozilla Firefox \ firefox.exe
ç ： \窗口\ system32 \ QH8jvpp4.exe
ç ： \ Program Files文件\真实\的RealPlayer \ RealPlay.exe
ç ： \ Program Files文件\了HijackThis \ HijackThis.exe

R0 - HKLM \软件\微软\的Internet Explorer \主，初始页= www.google.ca
R0 - HKCU \软件\微软\的Internet Explorer \主，当地页=
R0 - HKLM \软件\微软\的Internet Explorer \主，当地页=
受体1 - HKCU \软件\微软\的Windows \ CurrentVersion \国际以太设置， ProxyServer = 64.34.113.100:80
受体1 - HKCU \软件\微软\的Windows \ CurrentVersion \国际以太设置， ProxyOverride = 127.0.0.1
氧- BHO ：的Adobe PDF Reader链接帮手- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\的Adobe \ Acrobat 7.0产品\的ActiveX \ AcroIEHelper.dll
氧- BHO ： Spybot蠕虫，特殊和差别待遇的IE浏览器保护- （ 53707962 - 6F74 - 2D53 - 2644 - 206D7942484F ） - ç ： \ Program Files文件\ Spybot蠕虫-搜索和摧毁\ SDHelper.dll
氧- BHO ： SSVHelper类- （ 761497BB - D6F0 - 462C - B6EB - D4DAF1D92D43 ） - ç ： \ Program Files文件\的Java \ jre1.5.0_06 \斌\ ssv.dll
物理学- HKLM \ .. \运行： [ Apoint ] ç ： \ Program Files文件\ Apoint2K \ Apoint.exe
物理学- HKLM \ .. \运行： [ CeEPOWER ] ç ： \ Program Files文件\东芝\电源管理\ CePMTray.exe
物理学- HKLM \ .. \运行： [ TPNF ] ç ： \ Program Files文件\东芝\触控板\ TPTray.exe
物理学- HKLM \ .. \运行： [ vptray ] ç ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ SYMANT 〜 1 \ vptray.exe
物理学- HKLM \ .. \运行： [三星PanelMgr ] ç ： \窗口\三星\ PanelMgr \ ssmmgr.exe /自动
物理学- HKLM \ .. \运行： [ emMON ] HCWemMON.exe
物理学- HKLM \ .. \运行： [ KernelFaultCheck ] ％ systemroot ％ \ system32 \ dumprep 0 - K报表
物理学- HKLM \ .. \运行： [ TkBellExe ]的“ C ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe ” - osboot
物理学- HKLM \ .. \运行： [ QuickTime的工作]的“ C ： \ Program Files文件\的QuickTime \ QTTask.exe ” - atboottime
物理学- HKLM \ .. \运行： [ iTunesHelper ]的“ C ： \ Program Files文件\的iTunes \ iTunesHelper.exe ”
物理学- HKLM \ .. \运行： [ AtiPTA ] atiptaxx.exe
物理学- HKLM \ .. \运行： [索马里民族运动] ç ： \ Program Files文件\ SpyNoMore \ SNM.exe /启动
物理学- HKCU \ .. \运行： [免费下载经理] ç ： \ Program Files文件\免费下载管理器\ fdm.exe -自动
物理学- HKCU \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会
物理学- HKCU \ .. \运行： [ WMPNSCFG ] ç ： \ Program Files文件\的Windows Media Player \ WMPNSCFG.exe
物理学- HKCU \ .. \运行： [ updateMgr ]的“ C ： \ Program Files文件\的Adobe \ Acrobat 7.0产品\阅读器\ AdobeUpdateManager.exe ” AcRdB7_0_9 -重启1
物理学- HKCU \ .. \运行： [ SpybotSD TeaTimer ] ç ： \ Program Files文件\ Spybot蠕虫-搜索和摧毁\ TeaTimer.exe
物理学-启动：的Adobe Media Player.lnk = ？
物理学-全球启动：巴顿经理v1.836.lnk = ？
物理学-全球启动： instiki.bat
物理学-全球启动：的Linksys EasyLink Advisor.lnk = C的： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\的Linksys EasyLink Advisor.exe
物理学-全球启动：说Time.lnk = C的： \ Program Files文件\说，时间\ SayTime.exe
物理学-全球启动： TotalMedia备份Monitor.lnk = C的： \ Program Files文件\虹软\ TotalMedia备份及记录\ uBBMonitor.exe
O8 -额外上下文菜单项目：汇出至Microsoft Excel -水库： / /炭： \ PROGRA 〜 1 \微〜 2 \ Office10 \ EXCEL.EXE/3000
O9 -额外的按钮：（无姓名） - （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.5.0_06 \斌\ ssv.dll
O9 -额外的'工具' menuitem ： Sun公司的Java控制台- （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.5.0_06 \斌\ ssv.dll
O9 -额外的按钮：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ REFIEBAR.DLL
O9 -额外的按钮：（无姓名） - （ DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ） - ç ： \ Program Files文件\ Spybot蠕虫-搜索和摧毁\ SDHelper.dll
O9 -额外的'工具' menuitem ： Spybot蠕虫-搜索＆＆毁配置- （ DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ） - ç ： \ Program Files文件\ Spybot蠕虫-搜索和摧毁\ SDHelper.dll
O9 -额外的按钮： Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O9 -额外的'工具' menuitem ： Windows Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O15 -信任IP范围： 206.161.125.149
O15 - ProtocolDefaults ： ' http '的协议是在我的电脑区，应上网区（ HKLM ）
O16 -柴油机微粒过滤器： ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 -柴油机微粒过滤器：（ 04E214E5 - 63AF - 4236 - 83C6 - A7ADCBF9BD02 ）（ HouseCall控制） - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 -柴油机微粒过滤器：（ 22E5D91F - 89E6 - 4405 - AD9C - 0AF27BA6F06B ）（ HidInputMonitorX控制） -文件： / / D组： \组件\ hidinputmonitorx.ocx
O16 -柴油机微粒过滤器：（ 4F63D44B - 6274 - 4D60 - 8AB1 - CAA7116B8AF3 ）（ A9Helper.A9 ） -文件： / / D组： \组件\ A9.ocx
O16 -柴油机微粒过滤器：（ 74D05D43 - 3236 - 11D4 - BDCD - 00C04F9A3B61 ）（ HouseCall控制） - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 -柴油机微粒过滤器：（ BAC01377 - 73DD - 4796 - 854D - 2A8997E3D68A ）（雅虎照片轻松上传工具类） - http://us.dl1.yimg.com/download.yaho...opper1_4us.cab
O16 -柴油机微粒过滤器：（ E7DBFB6C - 113A - 47CF - B278 - F5C6AF4DE1BD ） - http://download.abacast.com/download...basetup145.cab
ø20 - Winlogon通知：！ SASWinLogon - ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll
ø20 - Winlogon通知： NavLogon - ç ： \窗口\ System32 \ NavLogon.dll
ø20 - Winlogon通知： WgaLogon - ç ： \窗口\
O21 - SSODL ： WPDShServiceObj - （ AAA288BA - 9A4C - 45B0 - 95D7 - 94D524869DB5 ） - ç ： \窗口\ system32 \ WPDShServiceObj.dll
O23 -服务： Adobe公司长征服务-未知所有者- ç ： \ Program Files文件\共同文件\ Adobe系统共享\服务\ Adobelmsvc.exe
O23 -服务：苹果移动设备-苹果公司- ç ： \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleMobileDeviceService.exe
O23 -服务： ArcGIS的许可证管理器-未知所有者- ç ： \ PROGRA 〜 1 \ ESRI公司\许可证\ arcgis9x \ lmgrd.exe
O23 -服务：阿提热键轮询- ATI Technologies公司- ç ： \窗口\ system32 \ Ati2evxx.exe
O23 -服务： ATI的智能-未知所有者- ç ： \窗口\ system32 \ ati2sgag.exe
O23 -服务： CeEPwrSvc -竞争和电子公司- ç ： \ Program Files文件\东芝\电源管理\ CeEPwrSvc.exe
O23 -服务： ConfigFree服务（ CFSvcs ） -东芝公司- ç ： \ Program Files文件\东芝\ ConfigFree \ CFSvcs.exe
O23 -服务： DefWatch - Symantec公司- ç ： \ Program Files文件\ Symantec_Client_Security \利用Symantec AntiVirus \ DefWatch.exe
O23 -服务： Diskeeper公司-执行软件国际公司- ç ： \ Program Files文件\执行软件\ Diskeeper公司\ DkService.exe
O23 -服务：的DVD - RAM_Service -松下电器产业株式会社- ç ： \窗口\ System32 \ DVDRAMSV.exe
O23 -服务：热点盾服务（ HotspotShieldService ） -未知所有者- ç ： \ Program Files文件\热点盾\斌\ openvpnas.exe
O23 -服务： InstallDriver表经理（ IDriverT ） - Macrovision公司- ç ： \ Program Files文件\共同文件\ InstallShield \驱动程序\ 11 \英特尔32 \ IDriverT.exe
O23 -服务： iPod服务-苹果- ç ： \ Program Files文件\苹果\斌\ iPodService.exe
O23 -服务：赛门铁克防病毒客户端（ Norton AntiVirus的服务器） -赛门铁克公司- ç ： \ Program Files文件\ Symantec_Client_Security \利用Symantec AntiVirus \ Rtvscan.exe
O23 -服务：维甲酸驱动HPZ12 -惠普- ç ： \窗口\ system32 \ HPZipm12.exe
O23 -服务：哨兵保护服务器（ SentinelProtectionServer ） - SafeNet公司，公司- ç ： \ Program Files文件\共同文件\ SafeNet公司哨兵\哨兵保护服务器的\ WINNT \ spnsrvnt.exe

**evilfantasy** · ＃2 08年10月7日， 00:28

您运行的是一个过时的版本了HijackThis 。请安装新版本的了HijackThis ，但不运行它，直到后SDFix已完成它的进程。

下载趋势科技HijackThis.exe （ HJT ）到桌面上。

双击HJTInstall 。
点击安装按钮。
它会自动地在HJT ç ： \ Program Files文件\趋势科技\了HijackThis \ HijackThis.exe。
安装时，应打开了HijackThis适合您。
点击 做了系统扫描并保存日志文件 按钮
了HijackThis扫描，然后将记录在记事本中打开。
复制，然后粘贴的全部内容日志在您的帖子。
不要有没有什么了HijackThis修复。大多数它认为将是无害的，甚至需要。

----------

请打印这些说明，因为它们将需要后，互联网无法使用。

下载 SDFix的AndyManchesta 并储存到您的桌面。

当使用此工具，您必须使用 管理员帐户 或一个帐户， 行政权利

双击 SDFix.exe 这将解压缩文件为％ SystemDrive ％
（这是驱动器包含Windows目录，通常为C ： \ SDFix ）。
不使用它只是尚未。

重新启动您的计算机中安全模式使用 按F8 方法。为此，重新启动计算机，并在听取您的计算机响铃一次启动时（但在此之前的Windows图标出现）重复按F8键。的菜单，会出现几个选项。使用箭头键来浏览，并选择选项将运行Windows的“安全模式” 。

打开SDFix文件夹并双击 RunThis.bat 启动脚本。

类型 Ÿ 开始清理进程。
这将消除任何木马服务或注册表项发现提示您按任意键重新启动。
按任意键 它将重新启动电脑。
当电脑重新启动后，将再次运行Fixtool和完成删除过程然后显示完成，按任意键结束脚本和加载您的桌面图标。
一旦桌面图标加载SDFix报告将在屏幕上打开并保存到文件夹中的SDFix Report.txt。
的内容复制并粘贴的结果文件 Report.txt 在您下次答复随着一个新的 HijackThis日志。

临时性 · ＃3 08年10月7日， 02:15

感谢您的帮助，

这是一个讨厌的一个！这个问题目前仍在进行中，虽然我的电脑上了约20分钟的喘息后，运行SDFix 。

SDFix和了HijackThis日志如下：

并再次许多感谢

统计处菲克斯萨：

SDFix ：版本1.230
民营业主在周一2008年10月6日在下午11时59分

微软Windows XP [版本2600年5月1号]
运行中： C ： \ SDFix

检查服务 ：

名字：
tdssserv

路径：
\ systemroot \ system32 \驱动程序\ TDSSserv.sys

tdssserv -删除

恢复默认安全值
恢复默认Hosts文件

重新开机

检查文件 ：

木马找到的档案：

ç ： \窗口\ SYSTEM32 \ CQVJNG.EXE -删除
ç ： \窗口\ SYSTEM32 \ FTPUPD.EXE -删除
ç ： \窗口\ SYSTEM32 \ NTBLTF.EXE -删除
ç ： \窗口\ SYSTEM32 \ PUOGNR.EXE -删除

删除临时文件

广告检查 ：

最后检查 ：

catchme 0.3.1361.2 W2K/XP/Vista - rootkit的/隐形恶意探测器Gmer ， http://www.gmer.net
2008年10月7号的rootkit扫描零点20分58秒
2600年5月1号的Windows Service Pack 2中的NTFS

扫描隐藏的进程...

扫描隐藏的服务及系统Hive ...

[ HKEY_LOCAL_MACHINE \系统\ CurrentControlSet \ Servic中心\ d346prt \ CFG桩\ 0Jf40 ]

扫描隐藏的注册表项...

[ HKEY_LOCAL_MACHINE \软件\微软\的Windows \当前entVersion \卸载\ （ 56CA5D3B - 3002 - 4E7B - 90FE - 071D8FDF3814 ） ]
“ DisplayName的” = “ DAEMON工具”

扫描隐藏的文件...

扫描顺利完成
隐藏的进程： 0
隐匿服务： 0
隐藏的文件： 0

其余服务 ：

授权应用主要出口：

[ HKEY_LOCAL_MACHINE \系统\ currentcontrolset \ servic中心\ sharedaccess \参数\ firewallpolicy \标准配置文件\ authorizedapplications \列表]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” = “ ％ windir ％ \ \系统m32 \ \ sessmgr.exe ： * ：启用： @ xpsp2res.dll ， -22019 ”
的“ C ： \ \ Program Files文件\ \的Internet Explorer \ \ iexplore.exe ” =的“ C ： \ \ Program Files文件\ \的Internet Explorer \ \ iexplore.exe ： * ：禁用： Internet Explorer的”
的“ C ： \ \ Program Files文件\ \ BitTornado \ \ btdownloadgui.exe ” =的“ C ： \ \ Program Files文件\ \ BitTornado \ \ btdownloadgui.exe ： * ：启用： btd ownloadgui ”
的“ C ： \ \ Program Files文件\ \ LimeWire \ \ LimeWire.exe ” =的“ C ： \ \ Program Files文件\ \ LimeWire \ \ LimeWire.exe ： * ：启用： LimeWire ”
的“ C ： \ \ Program Files文件\ \的MSN Messenger \ \ msnmsgr.exe ” =的“ C ： \ \ Program Files文件\ \的MSN Messenger \ \ msnmsgr.exe ： * ：启用： MSN Messenger 6.2的”
的“ C ： \ \ Program Files文件\ \传送\ \ msmsgs.exe ” =的“ C ： \ \ Program Files文件\ \传送\ \ msmsgs.exe ： * ：启用： Windows Messenger的”
的“ C ： \ \ Program Files文件\ \ GameHouse \ \ TextTwist \ \ TextTwist.exe ” =的“ C ： \ \ P编程文件\ \ GameHouse \ \ TextTwist \ \ TextTwist.exe ： * ： Enabl性别：超级TextTwist ”
的“ C ： \ \ Program Files文件\ \ Hexacto运动会\ \柠檬水大亨\ \ Lemonade.exe ” =的“ C ： \ \ Program Files文件\ \ Hexacto运动会\ \柠檬水大亨\ \ Lemonade.exe ： * ：禁用：柠檬水”
的“ C ： \ \ Program Files文件\ \ Mozilla Firefox浏览器\ \ firefox.exe ” =的“ C ： \ \ Program Files文件\ \ Mozilla Firefox浏览器\ \ firefox.exe ： * ：启用：火狐”
的“ C ： \ \ Program Files文件\ \全球星\ \时代赛欧二\ \ privateer.exe ” =的“ C ： \ \ Program Files文件\ \全球星\ \时代赛欧二\ \ privateer.exe ： * ：启用：私掠者“
的“ C ： \ \ Program Files文件\ \的Windows Media Player \ \ wmplayer.exe ” =的“ C ： \ \ Program Files文件\ \的Windows Media Player \ \ wmplayer.exe ： * ：禁用： Windows媒体播放器”
的“ C ： \ \ Program Files文件\ \皇马\ \的RealPlayer \ \ realplay.exe ” =的“ C ： \ \ Progra米文件\ \皇马\ \的RealPlayer \ \ realplay.exe ： * ：启用：再alPlayer ”
的“ C ： \ \ Program Files文件\ \雅达利- Infogrames \ \文明III黄金版\ \ Civ3PTW \ \ Civilization3x.exe ” =的“ C ： \ \ Program Files文件\ \雅达利- Infogrames \ \文明III黄金版\ \ Civ3PTW \ \ Civilization3x.exe ： * ：启用：文明ilization3X “
的“ C ： \ \ Program Files文件\ \的BitTorrent \ \ bittorrent.exe ” =的“ C ： \ \ Program Files文件\ \的BitTorrent \ \ bittorrent.exe ： * ：启用： BitTor租金”
的“ C ： \ \ Program Files文件\ \安装Kerio \ \个人防火墙\ \ PERSFW.exe ” =的“ C ： \ \ Program Files文件\ \安装Kerio \ \个人防火墙\ \ PERSFW.exe ： * ：启用： Kerio个人防火墙引擎”
的“ C ： \ \ Program Files文件\ \ TVUPlayer \ \ TVUPlayer.exe ” =的“ C ： \ \ Program Files文件\ \ TVUPlayer \ \ TVUPlayer.exe ： * ：启用：电大Player的组成部分”
的“ C ： \ \ Program Files文件\ \ SopCast \ \ SopCast.exe ” =的“ C ： \ \ Program Files文件\ \ SopCast \ \ SopCast.exe ： * ：启用： SopCast ”
的“ C ： \ \的Documents and Settings \ \业主\ \应用程序数据\ \ SopCast \ \高级\ \ SopAdver.exe ” =的“ C ： \ \的Documents and Settings \ \业主\ \应用程序数据\ \ SopCast \ \高级\ \ SopAdver.exe ： * ：启用： SopAdve住宅“
的“ C ： \ \ Program Files文件\ \ QuickTime的\ \ QuickTimePlayer.exe ” =的“ C ： \ \ Progra米文件\ \ QuickTime的\ \ QuickTimePlayer.exe ： * ：启用：曲ickTime球员”
的“ C ： \ \ Program Files文件\ \ Veoh网络\ \ Veoh \ \ VeohClient.exe ” =的“ C ： \ \ Program Files文件\ \ Veoh网络\ \ Veoh \ \ VeohClient.exe ： * ：启用： Veoh客户”
的“ C ： \ \的Documents and Settings \ \业主\ \本地设置\的\ Temp \ \ Charon.exe ” =的“ C ： \ \的Documents and Settings \ \业主\ \本地设置\的\ Temp \ \ Charon.exe ： * ：启用：戎-代理检查/扫描程序。 “
的“ C ： \ \红宝石\ \斌\ \ ruby.exe ” =的“ C ： \ \红宝石\ \斌\ \ ruby.exe ： * ：启用：红宝石翻译”
的“ C ： \ \ Program Files文件\ \ Azureus \ \ Azureus.exe ” =的“ C ： \ \ Program Files文件\ \ Azureus \ \ Azureus.exe ： * ：启用： Azureus （ 2 ） ”
的“ C ： \ \ Program Files文件\ \ VideoLAN \ \编码\ \ vlc.exe ” =的“ C ： \ \ Program Files文件\ \ VideoLAN \ \编码\ \ vlc.exe ： * ：启用：编码的媒体播放器”
的“ C ： \ \ Program Files文件\ \谷歌\ \谷歌对话\ \ googletalk.exe ” =的“ C ： \ \ Program Files文件\ \谷歌\ \谷歌对话\ \ googletalk.exe ： * ：启用：谷歌对话”
的“ C ： \ \ Program Files文件\ \ SopCast \ \高级\ \ SopAdver.exe ” =的“ C ： \ \ Program Files文件\ \ SopCast \ \高级\ \ SopAdver.exe ： * ：启用： SopCas吨逆向”
的“ C ： \ \的Documents and Settings \ \业主\ \应用程序数据\ \ PowerChallenge \ \ PowerSoccer \ \ PowerSoccer.exe ” =的“ C ： \ \的Documents and Settings \ \业主\ \应用程序数据\ \ PowerChallenge \ \ PowerSoccer \ \ PowerSoccer.exe ： * ：启用： PowerSoccer “
的“ C ： \ \的Documents and Settings \ \仁\ \应用程序数据\ \ PowerChallenge \ \ PowerSoccer \ \ PowerSoccer.exe ” =的“ C ： \ \的Documents and Settings \ \仁\ \应用程序数据\ \ PowerChallenge \ \ PowerSoccer \ \ PowerSoccer.exe ： * ：启用： PowerSoccer “
的“ C ： \ \ Program Files文件\ \共同文件\ \ SafeNet公司哨兵\ \哨兵保护服务器\的\ WINNT \ \ spnsrvnt.exe ” =的“ C ： \ \ Program Files文件\ \共同文件\ \ SafeNet公司哨兵\ \哨兵保护服务器\的\ WINNT \ \ spnsrvnt.exe ： * ：禁用：哨兵保护服务器“
的“ C ： \ \ Program Files文件\ \冰球2008年\ \ nhl2008.exe ” =的“ C ： \ \ Program Files文件\ \冰球2008年\ \ nhl2008.exe ： * ：启用： nhl2008 ”
的“ C ： \ \ Program Files文件\ \的iTunes \ \ iTunes.exe ” =的“ C ： \ \ Program Files文件\ \的iTunes \ \ iTunes.exe ： * ：启用： iTunes的”
的“ C ： \ \ Program Files文件\ \游戏\ \职业进化足球2008年美国\ \ PES2008.exe ” =的“ C ： \ \ Program Files文件\ \游戏\ \职业进化足球2008年美国\ \ PES2008.exe ： * ：启用：职业进化足球2008 “
的“ C ： \ \窗口\ \ system32 \ \驱动程序\ \ svchost.exe ” =的“ C ： \ \窗口\ \ system32 \ \驱动程序\ \ svchost.exe ： * ：禁用D组：的Svchost ”

[ HKEY_LOCAL_MACHINE \系统\ currentcontrolset \ servic中心\ sharedaccess \参数\ firewallpolicy \ domainpr ofile \ authorizedapplications \列表]
“ ％ windir ％ \ \ system32 \ \ sessmgr.exe ” = “ ％ windir ％ \ \系统m32 \ \ sessmgr.exe ： * ：启用： @ xpsp2res.dll ， -22019 ”
的“ C ： \ \ Program Files文件\ \的MSN Messenger \ \ msnmsgr.exe ” =的“ C ： \ \ Program Files文件\ \的MSN Messenger \ \ msnmsgr.exe ： * ：启用： MSN Messenger 6.2的”

其余档案 ：

文件备份： - ç ： \ SDFix \备份\ backups.zip

文件隐藏属性 ：

星期三2004年10月13号1694208 ..上海。 ---有“ C ： \ Program Files文件\传送\ msmsgs.exe ”
星期一09月15日2008年一百五十六点二九六万---答：高血压的“ C ： \ Program Files文件\ Spybot蠕虫-搜索和摧毁\ SDHelper.dll ”
星期一2008年7月7日---一百四十二点九八四万答：高血压的“ C ： \ Program Files文件\ Spybot蠕虫-搜索和消灭\ SDUpdate.exe ”
星期一2008年7月7日--- 4891472答：高血压的“ C ： \ Program Files文件\ Spybot蠕虫-搜索和消灭\ SpybotSD.exe ”
星期二09月16日2008年--- 1833296答：高血压的“ C ： \ Program Files文件\ Spybot蠕虫-搜索和摧毁\ TeaTimer.exe ”
星期五2006年1月27日4348 A.SH. ---有“ C ： \文件和设置\所有用户\的DRM \ DRMv1.bak ”
星期六2008年6月14号50688 ...阁下---有“ C ： \的Documents and Settings \仁\桌面\ 〜 WRL0001.tmp ”
星期六2008年6月14号50176 ...阁下---有“ C ： \的Documents and Settings \仁\桌面\ 〜 WRL1778.tmp ”
星期一2008年3月3日176128答：高血压---有“ C ： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\ Interop.NetworkCore.dll ”
星期一2008年3月3日--- 36864答：高血压的“ C ： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\ LelaAccount.dll ”
星期一2008年3月3日200704答：高血压---有“ C ： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\ LelaNetwork.dll ”
星期一2008年3月3日143360答：高血压---有“ C ： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\ LelaNetworkLib.dll ”
星期一2008年3月3日--- 20,480答：高血压的“ C ： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\ LelaPrint.dll ”
星期一2008年3月3日176128答：高血压---有“ C ： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\ LelaResource.dll ”
星期一2008年3月3日151552答：高血压---有“ C ： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\ LelaServices.dll ”
星期一2008年3月3日110592答：高血压---有“ C ： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\的Linksys EasyLink Advisor.exe ”
星期一2008年3月3日--- 18879808答：高血压的“ C ： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\ LinksysUpdaterSetup.exe ”
星期一2008年3月3日270336答：高血压---有“ C ： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\ log4net.dll ”
星期一2008年3月3日--- 8353080答：高血压的“ C ： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\ PlatformSetup.exe ”
星期一2007年4月23日0 A.SH. ---有“ C ： \文件和设置\所有用户\的DRM \缓存\ Indiv01.tmp ”
星期四2007年8月16号0 A.SH. ---有“ C ： \文件和设置\所有用户\的DRM \缓存\ Indiv02.tmp ”
星期四2007年8月16号0 A.SH. ---有“ C ： \文件和设置\所有用户\的DRM \缓存\ Indiv03.tmp ”
星期六07年10月20号0 A.SH. ---有“ C ： \文件和设置\所有用户\的DRM \缓存\ Indiv04.tmp ”
Sun公司2007年10月21号87552 ...阁下---有“ C ： \的Documents and Settings \仁\桌面\分析师oct2007 \ 〜 WRL0029.tmp ”
Sun公司2007年10月21号85504 ...阁下---有“ C ： \的Documents and Settings \仁\桌面\分析师oct2007 \ 〜 WRL0207.tmp ”
Sun公司2007年10月21号88576 ...阁下---有“ C ： \的Documents and Settings \仁\桌面\分析师oct2007 \ 〜 WRL0362.tmp ”
Sun公司2007年10月21号88576 ...阁下---有“ C ： \的Documents and Settings \仁\桌面\分析师oct2007 \ 〜 WRL1369.tmp ”
Sun公司2007年10月21号81920 ...阁下---有“ C ： \的Documents and Settings \仁\桌面\分析师oct2007 \ 〜 WRL1945.tmp ”
Sun公司2007年10月21号84992 ...阁下---有“ C ： \的Documents and Settings \仁\桌面\分析师oct2007 \ 〜 WRL2108.tmp ”
Sun公司2007年10月21号88576 ...阁下---有“ C ： \的Documents and Settings \仁\桌面\分析师oct2007 \ 〜 WRL2659.tmp ”
Sun公司2007年10月21号87552 ...阁下---有“ C ： \的Documents and Settings \仁\桌面\分析师oct2007 \ 〜 WRL2779.tmp ”
Sun公司2007年10月21号86016 ...阁下---有“ C ： \的Documents and Settings \仁\桌面\分析师oct2007 \ 〜 WRL2918.tmp ”
星期六2007年6月9日3.328万...阁下---有“ C ： \的Documents and Settings \仁\本地设置的\ Temp \ 〜 WRL1284.tmp ”
周二05年12月27日33280 ...阁下---有“ C ： \的Documents and Settings \仁\我的文档\ seasmoke \ 〜 WRL0003.tmp ”
周二05年12月27日33792 ...阁下---有“ C ： \的Documents and Settings \仁\我的文档\ seasmoke \ 〜 WRL0774.tmp ”
周二05年12月27日34816 ...阁下---有“ C ： \的Documents and Settings \仁\我的文档\ seasmoke \ 〜 WRL0804.tmp ”
周二05年12月27日33792 ...阁下---有“ C ： \的Documents and Settings \仁\我的文档\ seasmoke \ 〜 WRL1393.tmp ”
周二05年12月27日36864 ...阁下---有“ C ： \的Documents and Settings \仁\我的文档\ seasmoke \ 〜 WRL1707.tmp ”
周二05年12月27日33280 ...阁下---有“ C ： \的Documents and Settings \仁\我的文档\ seasmoke \ 〜 WRL2134.tmp ”
周二05年12月27日35840 ...阁下---有“ C ： \的Documents and Settings \仁\我的文档\ seasmoke \ 〜 WRL2768.tmp ”
周二05年12月27日33280 ...阁下---有“ C ： \的Documents and Settings \仁\我的文档\ seasmoke \ 〜 WRL3330.tmp ”
周二05年12月27日36352 ...阁下---有“ C ： \的Documents and Settings \仁\我的文档\ seasmoke \ 〜 WRL3500.tmp ”
星期一2005年1月3日25088 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\我的扫描\ 〜 WRL2003.tmp ”
星期一2005年1月3日25088 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\我的扫描\ 〜 WRL3264.tmp ”
星期一2006年4月17号40960 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ 〜 WRL2617.tmp ”
星期一9月25日2006年38400 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ 〜 WRL2726.tmp ”
Sun公司09月24日2006年30,720 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ 〜 WRL3228.tmp ”
Sun公司06年4月16日38912 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ 〜 WRL3396.tmp ”
星期一2008年3月3日--- 81,920答：高血压的“ C ： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\河\ LelaResource.resources.dll ”
星期一2008年3月3日--- 69632答：高血压的“ C ： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\大\ LelaResource.resources.dll ”
星期一2008年3月3日--- 73728答：高血压的“ C ： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\日\ LelaResource.resources.dll ”
星期一2008年3月3日--- 94208答：高血压的“ C ： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\厄尔尼诺\ LelaResource.resources.dll ”
星期一2008年3月3日--- 77824答：高血压的“ C ： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\恩美\ LelaAccount.resources.dll ”
星期一2008年3月3日446464答：高血压---有“ C ： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\恩美\ LelaNetwork.resources.dll ”
星期一2008年3月3日答：高血压---一千一百四十○点七三六万的“ C ： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\恩美\ LelaResource.resources.dll ”
星期一2008年3月3日--- 1916928答：高血压的“ C ： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\恩美\的Linksys EasyLink Advisor.resources.dll ”
星期二2008年3月25日26112 ...阁下---有“ C ： \文件和设置\所有用户\文件\快乐之家资讯\ 2008年\ 〜 WRL0454.tmp ”
星期四2008年3月27日22016 ...阁下---有“ C ： \文件和设置\所有用户\文件\快乐之家资讯\ 2008年\ 〜 WRL1118.tmp ”
星期五2006年4月7日3595264 ...阁下---有“ C ： \的Documents and Settings \业主\应用数据\微软\的Word \ 〜 WRL2168.tmp ”
星期五2006年4月7日3593728 ...阁下---有“ C ： \的Documents and Settings \业主\应用数据\微软\的Word \ 〜 WRL2962.tmp ”
星期三2006年4月5日4252160 ...阁下---有“ C ： \的Documents and Settings \业主\应用数据\微软\的Word \ 〜 WRL3217.tmp ”
星期五2006年1月27日4348 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\我的音乐\许可证备份\ drmv1key.bak ”
星期六30答： 2006年09月20日。阁下---有“ C ： \的Documents and Settings \业主\我的文档\我的音乐\许可证备份\ drmv1lic.bak ”
星期五2006年1月27日400 A.SH. ---有“ C ： \的Documents and Settings \业主\我的文档\我的音乐\许可证备份\ drmv2key.bak ”
星期一09月18日2006年32256 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\生物206B \ 〜 WRL0004.tmp ”
星期二2006年10月31日114688 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\生物206B \ 〜 WRL1340.tmp ”
Sun公司9月17日2006年30,720 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\生物206B \ 〜 WRL2439.tmp ”
星期一09月18日2006年32256 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\生物206B \ 〜 WRL3767.tmp ”
星期三9月21日答： 2005年26624 。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ 120化学实验室\ 〜 WRL0005.tmp ”
星期六2005年11月26号27136答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ 120化学实验室\ 〜 WRL3662.tmp ”
星期一2005年6月13号30208答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\工程150 \ 〜 WRL0386.tmp ”
Sun公司2005年6月5日25088答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\工程150 \ 〜 WRL0788.tmp ”
Sun公司2005年6月5日25,600答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\工程150 \ 〜 WRL0794.tmp ”
星期一2005年6月13号30208答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\工程150 \ 〜 WRL1533.tmp ”
星期三2005年6月1日24064答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\工程150 \ 〜 WRL1817.tmp ”
星期一2005年6月13号31232答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\工程150 \ 〜 WRL2720.tmp ”
星期二2005年6月14号35840答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\工程150 \ 〜 WRL2966.tmp ”
星期二2005年6月14号36864答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\工程150 \ 〜 WRL3073.tmp ”
星期四2005年6月9日28160答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\工程150 \ 〜 WRL3453.tmp ”
星期四2006年2月2日382464答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL0003.tmp ”
星期五2006年4月7日3594240 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL0004.tmp ”
星期三2006年4月5日4243968 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL0010.tmp ”
星期三2006年4月5日四百二十五点四七二万...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL0303.tmp ”
星期六2006年2月4日928256答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL0501.tmp ”
Sun公司2006年2月5日591360答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL0928.tmp ”
星期三2006年4月5日四百二十五点四七二万...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL1029.tmp ”
星期三2006年4月5日24064 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL1104.tmp ”
星期六2006年2月4日384000答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL1259.tmp ”
星期三2006年4月5日4243456 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL1375.tmp ”
星期三2006年4月5日4244992 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL1969.tmp ”
星期四2006年4月6日710656 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL2066.tmp ”
星期五2006年3月31日35840 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL2175.tmp ”
星期二2006年3月28日185856 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL2368.tmp ”
星期五2006年3月31日65024 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL2573.tmp ”
星期二2006年4月4日4242944 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL2686.tmp ”
Sun公司2006年2月5日891904答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL2700.tmp ”
星期六2006年2月4日507392答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL2881.tmp ”
星期三2006年4月5日4244480 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL2992.tmp ”
星期三2006年4月5日24576 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL3160.tmp ”
星期三2006年4月5日4242432 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL3277.tmp ”
星期六2006年2月4日928768答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL3387.tmp ”
星期三2006年4月5日4251648 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL3591.tmp ”
星期六2006年2月4日383488答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL3770.tmp ”
星期三2006年4月5日4243456 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL3900.tmp ”
星期三2006年4月5日4243456 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL3905.tmp ”
星期六2006年2月4日382976答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ ENVR 253 \ 〜 WRL4065.tmp ”
星期四2006年3月23日27648 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ Envrionmental \ 〜 WRL3569.tmp ”
星期六2006年11月25号20,480 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\地理220 \ 〜 WRL1016.tmp ”
星期一2006年12月4号27648 ...阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\地理220 \ 〜 WRL2705.tmp ”
Sun公司2005年3月6日56832答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\物理11 \ 〜 WRL3235.tmp ”
Sun公司2005年2月20号36864答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\物理11 \ 〜 WRL3307.tmp ”
Sun公司2005年11月13号27648答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ 120化学实验室\化学理论\ 〜 WRL0952.tmp ”
Sun公司2005年11月13号27648答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ 120化学实验室\化学理论\ 〜 WRL1162.tmp ”
Sun公司2005年11月13号26112答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ 120化学实验室\化学理论\ 〜 WRL1539.tmp ”
Sun公司2005年11月13号24,576答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ 120化学实验室\化学理论\ 〜 WRL1964.tmp ”
Sun公司2005年11月13号27136答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ 120化学实验室\化学理论\ 〜 WRL2068.tmp ”
Sun公司2005年11月13号28,672答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ 120化学实验室\化学理论\ 〜 WRL3230.tmp ”
Sun公司2005年11月13号27648答：。阁下---有“ C ： \的Documents and Settings \业主\我的文档\学校\ 120化学实验室\化学理论\ 〜 WRL3512.tmp ”

结束了！

劫持这一点：

日志文件的趋势科技了HijackThis v2.0.2
扫描储存于上午二点十二分20秒，在2008年10月7号
平台： Windows XP SP2的（使用WINNT 2600年1月5日）
MSIE ： SP2中的Internet Explorer v6.00 （ 6.00.2900.2180 ）
启动模式：正常

正在运行的进程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ Ati2evxx.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleMobileDeviceService.exe
ç ： \ PROGRA 〜 1 \ ESRI公司\许可证\ arcgis9x \ lmgrd.exe
ç ： \ Program Files文件\东芝\电源管理\ CeEPwrSvc.exe
ç ： \ Program Files文件\东芝\ ConfigFree \ CFSvcs.exe
ç ： \ Program Files文件\ Symantec_Client_Security \利用Symantec AntiVirus \ DefWatch.exe
ç ： \ Program Files文件\执行软件\ Diskeeper公司\ DkService.exe
ç ： \ PROGRA 〜 1 \ ESRI公司\许可证\ arcgis9x \ ARCGIS.exe
ç ： \窗口\ System32 \ DVDRAMSV.exe
ç ： \ Program Files文件\热点盾\斌\ openvpnas.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \ Program Files文件\ Symantec_Client_Security \利用Symantec AntiVirus \ Rtvscan.exe
ç ： \ Program Files文件\共同文件\ SafeNet公司哨兵\哨兵保护服务器的\ WINNT \ spnsrvnt.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗口\ system32 \ wscntfy.exe
ç ： \窗口\ system32 \ Ati2evxx.exe
ç ： \窗口\ Explorer.exe的
ç ： \窗口\ system32 \ wuauclt.exe
ç ： \ Program Files文件\ Apoint2K \ Apoint.exe
ç ： \ Program Files文件\东芝\电源管理\ CePMTray.exe
ç ： \ Program Files文件\东芝\触控板\ TPTray.exe
ç ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ SYMANT 〜 1 \ vptray.exe
ç ： \ Program Files文件\ Apoint2K \ Apntex.exe
ç ： \窗口\三星\ PanelMgr \ ssmmgr.exe
ç ： \窗口\ HCWemMON.exe
ç ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe
ç ： \ Program Files文件\的iTunes \ iTunesHelper.exe
ç ： \ Program Files文件\ SpyNoMore \ SNM.exe
ç ： \窗口\ system32 \ Ctfmon.exe会
ç ： \ Program Files文件\苹果\斌\ iPodService.exe
ç ： \ Program Files文件\的Windows Media Player \ WMPNSCFG.exe
ç ： \ Program Files文件\ Spybot蠕虫-搜索和摧毁\ TeaTimer.exe
ç ： \ Program Files文件\从头\按钮管理器v1.836 \ inihid.exe
ç ： \ Program Files文件\虹软\ TotalMedia备份及记录\ uBBMonitor.exe
ç ： \ Program Files文件\是Mozilla Firefox \ firefox.exe
ç ： \窗口\ system32 \ QH8jvpp4.exe
ç ： \ PROGRA 〜 1 \压缩软件\ winzip32.exe
ç ： \的Documents and Settings \业主\本地设置的\ Temp \ HijackThis.exe
ç ： \ Program Files文件\ Windows NT的\配件\ WORDPAD.EXE

R0 - HKLM \软件\微软\的Internet Explorer \主，初始页= www.google.ca
R0 - HKCU \软件\微软\的Internet Explorer \主，当地页=
R0 - HKLM \软件\微软\的Internet Explorer \主，当地页=
受体1 - HKCU \软件\微软\的Windows \ CurrentVersion \国际以太设置， ProxyServer = 64.34.113.100:80
受体1 - HKCU \软件\微软\的Windows \ CurrentVersion \国际以太设置， ProxyOverride = 127.0.0.1
氧- BHO ：的Adobe PDF Reader链接帮手- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\的Adobe \ Acrobat 7.0产品\的ActiveX \ AcroIEHelper.dll
氧- BHO ： Spybot蠕虫，特殊和差别待遇的IE浏览器保护- （ 53707962 - 6F74 - 2D53 - 2644 - 206D7942484F ） - ç ： \ Program Files文件\ Spybot蠕虫-搜索和摧毁\ SDHelper.dll
氧- BHO ： SSVHelper类- （ 761497BB - D6F0 - 462C - B6EB - D4DAF1D92D43 ） - ç ： \ Program Files文件\的Java \ jre1.5.0_06 \斌\ ssv.dll
物理学- HKLM \ .. \运行： [ Apoint ] ç ： \ Program Files文件\ Apoint2K \ Apoint.exe
物理学- HKLM \ .. \运行： [ CeEPOWER ] ç ： \ Program Files文件\东芝\电源管理\ CePMTray.exe
物理学- HKLM \ .. \运行： [ TPNF ] ç ： \ Program Files文件\东芝\触控板\ TPTray.exe
物理学- HKLM \ .. \运行： [ vptray ] ç ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ SYMANT 〜 1 \ vptray.exe
物理学- HKLM \ .. \运行： [三星PanelMgr ] ç ： \窗口\三星\ PanelMgr \ ssmmgr.exe /自动
物理学- HKLM \ .. \运行： [ emMON ] HCWemMON.exe
物理学- HKLM \ .. \运行： [ TkBellExe ]的“ C ： \ Program Files文件\共同文件\皇马\ Update_OB \ realsched.exe ” - osboot
物理学- HKLM \ .. \运行： [ QuickTime的工作]的“ C ： \ Program Files文件\的QuickTime \ QTTask.exe ” - atboottime
物理学- HKLM \ .. \运行： [ iTunesHelper ]的“ C ： \ Program Files文件\的iTunes \ iTunesHelper.exe ”
物理学- HKLM \ .. \运行： [ AtiPTA ] atiptaxx.exe
物理学- HKLM \ .. \运行： [索马里民族运动] ç ： \ Program Files文件\ SpyNoMore \ SNM.exe /启动
物理学- HKCU \ .. \运行： [免费下载经理] ç ： \ Program Files文件\免费下载管理器\ fdm.exe -自动
物理学- HKCU \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会
物理学- HKCU \ .. \运行： [ WMPNSCFG ] ç ： \ Program Files文件\的Windows Media Player \ WMPNSCFG.exe
物理学- HKCU \ .. \运行： [ updateMgr ]的“ C ： \ Program Files文件\的Adobe \ Acrobat 7.0产品\阅读器\ AdobeUpdateManager.exe ” AcRdB7_0_9 -重启1
物理学- HKCU \ .. \运行： [ SpybotSD TeaTimer ] ç ： \ Program Files文件\ Spybot蠕虫-搜索和摧毁\ TeaTimer.exe
物理学- HKUS \的S - 1 - 5 - 18 \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户'系统' ）
物理学- HKUS \ 。缺省\ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户默认用户' ）
物理学-启动：的Adobe Media Player.lnk = ？
物理学-全球启动：巴顿经理v1.836.lnk = ？
物理学-全球启动： instiki.bat
物理学-全球启动：的Linksys EasyLink Advisor.lnk = C的： \ Program Files文件\ Linksys的\的Linksys EasyLink顾问\的Linksys EasyLink Advisor.exe
物理学-全球启动：说Time.lnk = C的： \ Program Files文件\说，时间\ SayTime.exe
物理学-全球启动： TotalMedia备份Monitor.lnk = C的： \ Program Files文件\虹软\ TotalMedia备份及记录\ uBBMonitor.exe
O8 -额外上下文菜单项目：汇出至Microsoft Excel -水库： / /炭： \ PROGRA 〜 1 \微〜 2 \ Office10 \ EXCEL.EXE/3000
O9 -额外的按钮：（无姓名） - （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.5.0_06 \斌\ ssv.dll
O9 -额外的'工具' menuitem ： Sun公司的Java控制台- （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.5.0_06 \斌\ ssv.dll
O9 -额外的按钮：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ REFIEBAR.DLL
O9 -额外的按钮：（无姓名） - （ DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ） - ç ： \ Program Files文件\ Spybot蠕虫-搜索和摧毁\ SDHelper.dll
O9 -额外的'工具' menuitem ： Spybot蠕虫-搜索＆＆毁配置- （ DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ） - ç ： \ Program Files文件\ Spybot蠕虫-搜索和摧毁\ SDHelper.dll
O9 -额外的按钮： Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O9 -额外的'工具' menuitem ： Windows Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O10 -未知的文件在Winsock的路径中： C ： \窗户\ system32 \ nwprovau.dll
O15 -信任IP范围： 206.161.125.149
O15 - ProtocolDefaults ： ' http '的协议是在我的电脑区，应上网区（ HKLM ）
O16 -柴油机微粒过滤器： ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 -柴油机微粒过滤器：（ 04E214E5 - 63AF - 4236 - 83C6 - A7ADCBF9BD02 ）（ HouseCall控制） - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 -柴油机微粒过滤器：（ 22E5D91F - 89E6 - 4405 - AD9C - 0AF27BA6F06B ）（ HidInputMonitorX控制） -文件： / / D组： \组件\ hidinputmonitorx.ocx
O16 -柴油机微粒过滤器：（ 4F63D44B - 6274 - 4D60 - 8AB1 - CAA7116B8AF3 ）（ A9Helper.A9 ） -文件： / / D组： \组件\ A9.ocx
O16 -柴油机微粒过滤器：（ 74D05D43 - 3236 - 11D4 - BDCD - 00C04F9A3B61 ）（ HouseCall控制） - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 -柴油机微粒过滤器：（ BAC01377 - 73DD - 4796 - 854D - 2A8997E3D68A ）（雅虎照片轻松上传工具类） - http://us.dl1.yimg.com/download.yaho...opper1_4us.cab
O16 -柴油机微粒过滤器：（ E7DBFB6C - 113A - 47CF - B278 - F5C6AF4DE1BD ） - http://download.abacast.com/download...basetup145.cab
ø20 - Winlogon通知：！ SASWinLogon - ç ： \ Program Files文件\ SUPERAntiSpyware \ SASWINLO.dll
O23 -服务： Adobe公司长征服务-未知所有者- ç ： \ Program Files文件\共同文件\ Adobe系统共享\服务\ Adobelmsvc.exe
O23 -服务：苹果移动设备-苹果公司- ç ： \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleMobileDeviceService.exe
O23 -服务： ArcGIS的许可证管理器-未知所有者- ç ： \ PROGRA 〜 1 \ ESRI公司\许可证\ arcgis9x \ lmgrd.exe
O23 -服务：阿提热键轮询- ATI Technologies公司- ç ： \窗口\ system32 \ Ati2evxx.exe
O23 -服务： ATI的智能-未知所有者- ç ： \窗口\ system32 \ ati2sgag.exe
O23 -服务： CeEPwrSvc -竞争和电子公司- ç ： \ Program Files文件\东芝\电源管理\ CeEPwrSvc.exe
O23 -服务： ConfigFree服务（ CFSvcs ） -东芝公司- ç ： \ Program Files文件\东芝\ ConfigFree \ CFSvcs.exe
O23 -服务： DefWatch - Symantec公司- ç ： \ Program Files文件\ Symantec_Client_Security \利用Symantec AntiVirus \ DefWatch.exe
O23 -服务： Diskeeper公司-执行软件国际公司- ç ： \ Program Files文件\执行软件\ Diskeeper公司\ DkService.exe
O23 -服务：的DVD - RAM_Service -松下电器产业株式会社- ç ： \窗口\ System32 \ DVDRAMSV.exe
O23 -服务：热点盾服务（ HotspotShieldService ） -未知所有者- ç ： \ Program Files文件\热点盾\斌\ openvpnas.exe
O23 -服务： InstallDriver表经理（ IDriverT ） - Macrovision公司- ç ： \ Program Files文件\共同文件\ InstallShield \驱动程序\ 11 \英特尔32 \ IDriverT.exe
O23 -服务： iPod服务-苹果- ç ： \ Program Files文件\苹果\斌\ iPodService.exe
O23 -服务：赛门铁克防病毒客户端（ Norton AntiVirus的服务器） -赛门铁克公司- ç ： \ Program Files文件\ Symantec_Client_Security \利用Symantec AntiVirus \ Rtvscan.exe
O23 -服务：维甲酸驱动HPZ12 -惠普- ç ： \窗口\ system32 \ HPZipm12.exe
O23 -服务：哨兵保护服务器（ SentinelProtectionServer ） - SafeNet公司，公司- ç ： \ Program Files文件\共同文件\ SafeNet公司哨兵\哨兵保护服务器的\ WINNT \ spnsrvnt.exe

-
文件结尾- 9148字节

**evilfantasy** · ＃4 08年10月7日， 09:48

禁用Spybot蠕虫的TeaTimer

虽然TeaTimer是一款出色的工具，以防止间谍软件，它也可以干扰了HijackThis修复。请停用TeaTimer现在直到你是干净的。

1 。右键单击Spybot蠕虫在系统托盘中（看起来像一个日历的挂锁标志）。选择 Spybot蠕虫出口的特殊和差别驻地
2 。跑 Spybot蠕虫特殊和差别待遇
3 。转到 模式菜单，并确保 高级模式 已被选中。
4 。左侧，选择工具 “ 驻地
取消 驻地TeaTimer 和行任何提示和 重新启动 您的计算机。

注：如果TeaTimer给你一个警告之后，有些做了修改，使这个不是阻止。

如果TeaTimer不会关闭然后卸载Spybot蠕虫之前，我们做清洁工作。

----------

打开HijackThis并选择 这样做只有一个系统扫描。

广场旁边选中复选标记以下条目：（如果有）

O15 -信任IP范围： 206.161.125.149
O15 - ProtocolDefaults ： ' http '的协议是在我的电脑区，应上网区（ HKLM ）

重要提示： 关闭所有打开的窗口除了HijackThis并然后单击 菲克斯萨检查。

一旦完成，退出了HijackThis 。

----------

下载ComboFix由潜艇从以下链接。请务必将它保存到顶部的桌面。

链接＃ 1
链接＃ 2

**注：重要的是，它是直接保存到桌面

关闭所有打开Web浏览器。（火狐时， Internet Explorer等），开始之前ComboFix 。

暂时 丧失能力 你的 防病毒和任何 反间谍 实时保护前执行扫描。点击此链接看到一个列表的安全计划，应该被禁用，以及如何禁用。

双击combofix.exe ＆按照提示操作。
当完成时，将产生ComboFix日志您。
邮政的 ComboFix日志 在您下次答复。

重要提示： 不要mouseclick ComboFix的窗口同时运行。这可能会导致它摊档。

记得要重新启用您的防病毒和反间谍保护时ComboFix完成。

临时性 · ＃5 08年10月7日， 18:34

由于英法你岩石，

该日志是巨大combofix所以附Zip文件：
combofixlog.zip

**evilfantasy** · ＃6 08年10月7日， 18:44

[ * ]点击阶段那么运行[ * ]现在类型 Combofix / ü 在runbox [ * ]请确保有一个空间之间Combofix和/ ü [ * ] ，然后按下输入。

----------

下载 OTMoveIt2的OldTimer 并储存到您的桌面。

注：如果您正在运行在Vista上，右键单击并选择OTMoveIt2.exe 以管理员身份运行。

1 。 双击 OTMoveIt2.exe 运行它。
2 。 复制线codebox如下。

码：

[杀死总管] ç ： \窗口\ system32 \ xVB47F7a.exe ç ： \ DOCUME 〜 1 \业主\当地人〜 1的\ Temp \ RGI5.tmp EmptyTemp [启动资源管理器]

3 。 返回OTMoveIt2 ，右击在 粘贴列表文件/文件夹移动 窗口（下黄色栏中），并选择粘贴
4 。 单击红色 Moveit ！ 按钮。
5 。复制的结果窗口（根据绿色栏中），并贴在您下次答复。
6 。 关闭 OTMoveIt2

注意：：如果一个文件或文件夹无法移动立即可能会要求您重新启动计算机，以便完成搬迁过程。如果要求重新启动，选择是。如果没有，重新启动反正。

----------

后的OTMoveIt2日志。

1 。双击 OTMoveIt2.exe 启动它。
Vista用户点击右键并选择以管理员身份运行
2 。点击清理！按钮。
3 。 OTMoveIt2将下载的名单来自互联网，如果您的防火墙或其他防卫计划提醒您，请允许它访问。
4 。点击是在下次提示符（名单下载，你首先要清理过程？）

当完成时，退出了OTMoveIt2

----------

运行CCleaner 。

----------

运行此在线扫描。

这种扫描仪需要Internet Explorer

使用 ESET 32在线扫描

1 。勾选 是的，我接受有关的使用条款。
2 。点击开始
3 。当记者问，请允许ActiveX控件安装
4 。点击开始
5 。请确保选择 删除发现威胁 并选择 扫描不需要的应用 检查标记。
6 。点击扫描
7 。等待扫描完成
8 。使用记事本打开日志文件位于 ç ： \ Program Files文件\ EsetOnlineScanner \ log.txt
9 。添加那个 ç ： \ Program Files文件\ EsetOnlineScanner \ log.txt 登录到您的下一个答复。

类似的主题
线	线程入门	论坛	答复	最后发表
病毒： iexplore.exe作为系统进程	mkjuan	病毒，间谍软件和安全	14	08年11月7日 00:14
计算机不能正常工作，它的响闹！	PyroTails	一般硬件聊天	8	2008年09月15日 13:08
奇怪的响闹噪音	sam182666	一般硬件聊天	6	2008年4月26日 12时23分
问题弹出和iexplore运行过程	1carly1	病毒，间谍软件和安全	3	2008年2月15号 10:36
在开机时响闹	nuteck	处理器，主板和内存	11	2008年1月21日 05:55