遵循专题Windows操作系统的

**Axegrinder** · ＃1 2008年2月14日，09:50

据碳，我可能有病毒。

日志文件的趋势科技了HijackThis v2.0.2
扫描储存于16时49分26秒，就14/02/2008
平台： Windows XP SP2的（使用WINNT 2600年1月5日）
MSIE ： Internet Explorer的v7.00 （ 7.00.6000.16608 ）
启动模式：正常
正在运行的进程：
ç ： \窗口\ System32 \ smss.exe
ç ： \窗口\ system32 \ winlogon.exe
ç ： \窗口\ system32 \ Services.exe的
ç ： \窗口\ system32 \ Lsass.exe中
ç ： \窗口\ system32 \ svchost.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \窗口\ system32 \ spoolsv.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgamsvr.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgupsvc.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgemc.exe
ç ： \ Program Files文件\谷歌\共同\谷歌更新\ GoogleUpdaterService.exe
ç ： \窗口\ system32 \ nvsvc32.exe
ç ： \窗口\ system32 \ svchost.exe
ç ： \ Program Files文件\ Linksys的无线- G USB无线网络监视器\ WLService.exe
ç ： \ Program Files文件\ Linksys的无线- G USB无线网络监视器\ WUSB54GSv2.exe
ç ： \窗口\ Explorer.exe的
ç ： \窗口\ RTHDCPL.EXE
ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ jusched.exe
ç ： \窗口\ tsnp2std.exe
ç ： \窗口\ vsnp2std.exe
ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgcc.exe
ç ： \窗口\ system32 \ RUNDLL32.EXE
ç ： \ Program Files文件\的MSN Messenger \ MsnMsgr.Exe
ç ： \窗口\ system32 \ Ctfmon.exe会
ç ： \ Program Files文件\谷歌\谷歌更新\ GoogleUpdater.exe
ç ： \ Program Files文件\ MessengerDiscovery \ MessengerDiscovery Live.exe
ç ： \窗口\ System32 \ svchost.exe
ç ： \ Program Files文件\ MSN Messenger的\ usnsvc.exe
ç ： \ Program Files文件\的Internet Explorer \ iexplore.exe
ç ： \ Program Files文件\共同文件\微软共享\的Windows Live \ WLLoginProxy.exe
ç ： \ Program Files文件\趋势科技\了HijackThis \ sniper.exe

R0 - HKCU \软件\微软\的Internet Explorer \主，初始页= http://www.google.co.uk/
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
受体1 - HKLM \软件\微软\的Internet Explorer \主， Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
受体1 - HKLM \软件\微软\的Internet Explorer \主，搜索页面= http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \软件\微软\的Internet Explorer \主，初始页= http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \软件\微软\窗口\ CurrentVersion \廉政教育科研网设置，代理服务器= webcache.virginmedia.com：3128
氧- BHO ：的Adobe PDF Reader链接帮手- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\共同文件\的Adobe \杂技\的ActiveX \ AcroIEHelper.dll
氧- BHO ： Spybot蠕虫，特殊和差别待遇的IE浏览器保护- （ 53707962 - 6F74 - 2D53 - 2644 - 206D7942484F ） - ç ： \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll
氧- BHO ： SSVHelper类- （ 761497BB - D6F0 - 462C - B6EB - D4DAF1D92D43 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ ssv.dll
氧- BHO ：的Windows Live登录助手- （ 9030D464 - 4C02 - 4ABF - 8ECC - 5164760863C6 ） - ç ： \ Program Files文件\共同文件\微软共享\的Windows Live \ WindowsLiveLogin.dll
氧- BHO ：谷歌工具栏助手- （ AA58ED58 - 01DD - 4d91 - 8333 - CF10577473F7 ） - ç ： \ Program Files文件\谷歌\ googletoolbar1.dll
氧- BHO ：谷歌工具栏的通知BHO - （ AF69DE43 - 7D58 - 4638 - B6FA - CE66B5AD205D ） - ç ： \ Program Files文件\谷歌\ GoogleToolbarNotifier \ 2.1.1119.1736 \县wg.dll
臭氧-工具栏：与谷歌- （ 2318C2B1 - 4965 - 11d4 - 9B18 - 009027A5CD4F ） - ç ： \ Program Files文件\谷歌\ googletoolbar1.dll
物理学- HKLM \ .. \运行： [ NvCplDaemon ] RUNDLL32.EXE ç ： \窗口\ system32 \ NvCpl.dll ， NvStartup
物理学- HKLM \ .. \运行： [ nwiz ] nwiz.exe /安装
物理学- HKLM \ .. \运行： [ RTHDCPL ] RTHDCPL.EXE
物理学- HKLM \ .. \运行： [ Alcmtr ] ALCMTR.EXE
物理学- HKLM \ .. \运行： [ SunJavaUpdateSched ]的“ C ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ jusched.exe ”
物理学- HKLM \ .. \运行： [ tsnp2std ] ç ： \窗口\ tsnp2std.exe
物理学- HKLM \ .. \运行： [ snp2std ] ç ： \窗口\ vsnp2std.exe
物理学- HKLM \ .. \运行： [ QuickTime的工作]的“ C ： \ Program Files文件\的QuickTime \ qttask.exe ” - atboottime
物理学- HKLM \ .. \运行： [ NeroFilterCheck ] ç ： \窗口\ system32 \ NeroCheck.exe
物理学- HKLM \ .. \运行： [ AVG7_CC ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgcc.exe /起动
物理学- HKLM \ .. \运行： [ NvMediaCenter ] RUNDLL32.EXE ç ： \窗口\ system32 \ NvMcTray.dll ， NvTaskbarInit
物理学- HKLM \ .. \运行： [ Adobe Reader软件调速器]的“ C ： \ Program Files文件\ Adobe公司\阅读器8.0 \阅读器\ Reader_sl.exe ”
物理学- HKCU \ .. \运行： [ MsnMsgr ]的“ C ： \ Program Files文件\的MSN Messenger \ MsnMsgr.Exe ” /背景
物理学- HKCU \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会
物理学- HKCU \ .. \运行： [工作分组] ç ： \ Program Files文件\谷歌\ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe
物理学- HKUS \的S - 1 - 5 - 19 \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户本地服务' ）
物理学- HKUS \的S - 1 - 5 - 19 \ .. \运行： [ AVG7_Run ] ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgw.exe /的RunOnce （用户本地服务' ）
物理学- HKUS \的S - 1 - 5 - 20 \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户的网络服务' ）
物理学- HKUS \的S - 1 - 5 - 18 \ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户'系统' ）
物理学- HKUS \ 。缺省\ .. \运行： [ Ctfmon.exe会] ç ： \窗口\ system32 \ Ctfmon.exe会（用户默认用户' ）
物理学-全球启动：谷歌Updater.lnk = C的： \ Program Files文件\谷歌\谷歌更新\ GoogleUpdater.exe
物理学-全球启动：微软Office.lnk = C的： \ Program Files文件\微软Office \办公室\ OSA9.EXE
O9 -额外的按钮：（无姓名） - （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ ssv.dll
O9 -额外的'工具' menuitem ： Sun公司的Java控制台- （ 08B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 ） - ç ： \ Program Files文件\的Java \ jre1.6.0_03 \斌\ ssv.dll
ø9 -额外的按钮：伙伴谈话- （4EAFEF58 - EEFA - 4116 - 983D - 03B49BCBFFFE） -荤：\ Program Files文件\伙伴谈话信使\ Paltalk.exe
O9 -额外的按钮：（无姓名） - （ DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ） - ç ： \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll
O9 -额外的'工具' menuitem ： Spybot蠕虫-搜索和摧毁配置- （ DFB852A3 - 47F8 - 48C4 - A200 - 58CAB36FD2A2 ） - ç ： \ PROGRA 〜 1 \ Spybot蠕虫〜 1 \ SDHelper.dll
O9 -额外的按钮：（无姓名） - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\网络诊断\ xpnetdiag.exe
O9 -额外的'工具' menuitem ： @ xpsp3res.dll ， -20001 - （ e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 ） - ç ： \窗口\网络诊断\ xpnetdiag.exe
O9 -额外的按钮： Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O9 -额外的'工具' menuitem ： Windows Messenger的- （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） - ç ： \ Program Files文件\传送\ msmsgs.exe
O16 -柴油机微粒过滤器：（ 0E5F0222 - 96B9 - 11D3 - 8997 - 00104BD12D94 ）（ PCPitstop实用工具） - http://pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 -柴油机微粒过滤器：（ 48DD0448 - 9209 - 4F81 - 9F6D - D83562940134 ）（供应载控制） - http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 -柴油机微粒过滤器：（ A90A5822 - F108 - 45AD - 8482 - 9BC8B12DD539 ）（关键cpcScan ） - http://www.crucial.com/controls/cpcScanner.cab
O16 -柴油机微粒过滤器：（ C3F79A2B - B9B4 - 4A66 - B012 - 3EE46475B072 ）（ MessengerStatsClient类） - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 -柴油机微粒过滤器：（ DF780F87 - FF2B - 4DF8 - 92D0 - 73DB16A1543A ）（ PopCapLoader对象） - http://www.shockwave.com/content/bej...loader_v10.cab
O16 -柴油机微粒过滤器：（ E8F628B5 - 259A - 4734 - 97EE - BA914D7BE941 ）（驱动程序代理ActiveX控件） - http://driveragent.com/files/driveragent.cab
O16 -柴油机微粒过滤器：（ F5A7706B - B9C0 - 4C89 - A715 - 7A0C6B05DD48 ）（扫雷旗级） - http://messenger.zone.msn.com/binary...r.cab56986.cab
017 - HKLM \系统\ CCS的\服务\ Tcpip \ .. \（5DE0FB69 - 1D9B - 48DC - 83CC - D71DA02E6BAB）：域名服务器= 208.67.222.222,208.67.220.220
O23 -服务： AVG7警报管理器服务器（ Avg7Alrt ） - GRISOFT ，氧化锶- ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 -服务： AVG7更新服务（ Avg7UpdSvc ） - GRISOFT ，氧化锶- ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 -服务：的AVG电子邮件扫描（ AVGEMS ） - GRISOFT ，氧化锶- ç ： \ PROGRA 〜 1 \ Grisoft \ AVG7 \ avgemc.exe
O23 -服务：谷歌更新器服务（ gusvc ） -谷歌- ç ： \ Program Files文件\谷歌\共同\谷歌更新\ GoogleUpdaterService.exe
O23 -服务： NVIDIA显示驱动程序服务（ NVSvc ） - NVIDIA公司- ç ： \窗口\ system32 \ nvsvc32.exe
O23 -服务： WUSB54GSv2SVC - GEMTEKS - ç ： \ Program Files文件\ Linksys的无线- G USB无线网络监视器\ WLService.exe
-
文件结束- 7776字节

**evilfantasy** · ＃2 2008年2月14日，10:02

有关Winlogon.exe中的Windows错误？

Winlogon.exe中是一个过程属于Windows登陆管理器。它处理系统上的登录和注销手续。这个计划是非常重要的稳定和安全的计算机上运行，不应该被终止。

我没有看到任何记录，但你应该运行的双重检查SuperantiSpyware。

**Axegrinder** · ＃3 2008年2月14日，10:38

井的SAS didn't发现任何重大只是跟踪Cookie很多。

**evilfantasy** · ＃4 2008年2月14日，10:41

你知道我随时可以深入挖掘。

Winlogon.exe中是explioted恶意软件，因此我们可以看一看。

请下载Combofix由潜艇从以下链接。
（尝试所有这三个如果必要的话）

重要的！ Combofix.exe 必须保存到跑的桌面。

关闭所有打开Web浏览器。（火狐时， Internet Explorer等），开始之前Combofix 。
重要的！ 暂时 丧失能力 你的 防病毒， 脚本拦截 和任何 反间谍 实时保护前执行扫描。
- 点击 此链接 看到一个列表的安全计划，应该被禁用，以及如何禁用。
- 如果您没有列出来，你不知道如何禁用它，请要求。
警告： Combofix断开您的计算机从互联网上。连接自动恢复完成前Combofix运行。
双击combofix.exe ＆按照提示操作。
- 从键盘选择 1 并按下输入
完成时，它将产生一个日志你。
邮报记录在您下次答复。

警告： 不要mouseclick combofix的窗口同时运行。 这可能会导致它摊档

如果Combofix经营困难而终止过早，连接可以手动恢复重新启动计算机。
重要提示：记得要重新启用您的防病毒和反间谍之前重新到互联网。

----------

下一步后
Combofix日志

**Axegrinder** · ＃5 2008年2月14日，14时21分

哎呀。

我做错事

熊与我

**evilfantasy** · ＃6 2008年2月14日，14:35

您安装ComboFix是错误的。它必须保存到桌面上。
请这样做。
转到开始>“运行>”复制并粘贴ComboFix是在框中，单击/ ü确定。
下载的ComboFix是直接在桌面上安装故障恢复控制台。

现在，建议您安装Windows故障恢复控制台。 Windows故障恢复控制台，您就可以启动一个特殊的恢复模式，使我们能够帮助您在您的计算机有问题后，试图消除恶意软件。

去微软的网站在这里 - “ http://support.microsoft.com/kb/310994

选择下载的适合您操作系统

下载该文件及保存，因为它是原名，旁边ComboFix.exe 。

现在关闭所有打开的窗口和程序。
拖曳安装套件到ComboFix.exe拖放。
按照提示开始ComboFix和出现提示时，同意最终用户许可协议安装Microsoft故障恢复控制台。
完成后，日志命名 CF_RC.txt 将打开。
请张贴的内容，该记录在您下次答复。

由于Bleeping电脑指南。

另外，我不认为这是恶意软件。

**Axegrinder** · ＃7 2008年2月14日，15时06分

这一次？

视窗- KB310994 - SP2的家庭BootDisk - ENU.exe
[的Boot Loader ]
超时= 2
默认=多（ 0 ）磁盘（ 0 ） rdisk （ 0 ）分区（ 1 ） \窗县
[操作系统]
多（ 0 ）磁盘（ 0 ） rdisk （ 0 ）分区（ 1 ） \窗口= “微软使用Windows XP Home Edition ” / noexecute =选择启用/ fastdetect
ç ： \ CMDCONS \ BOOTSECT.DAT = “ Microsoft Windows故障恢复控制台” / cmdcons

**evilfantasy** · ＃8 2008年2月14日，15:10

多数民众赞成它。您现在有故障恢复控制台安装。