[nitingaur]

ログファイルのトレンドマイクロのHijackThisをv2.0.2
午後12時01分37秒のスキャンでは、 2008年9月21日に保存
プラットフォーム： Windows XP SP2を（ WinNTの2600年5月1日）
MSIE ： Internet Explorerのv6.00 SP2を（ 6.00.2900.2180 ）
ブートモード：ノーマル
実行中のプロセス：
はC ： \はWindows \ System32 \ smss.exe
はC ： \はWindows \ System32 \ Csrss.exeは
はC ： \はWindows \ System32 \のWinlogon.exe
はC ： \はWindows \ System32 \ Services.exeの
はC ： \はWindows \ System32 \ Lsass.exeの
はC ： \はWindows \ System32 \ ibmpmsvc.exe
はC ： \はWindows \ System32 \ Svchost.exeの
はC ： \はWindows \ System32 \ Svchost.exeの
はC ： \プログラムファイル\インテル\ワイヤレス\ビン\ S24EvMon.exe
はC ： \はWindows \ System32 \ Svchost.exeの
はC ： \はWindows \ System32 \ Svchost.exeの
はC ： \はWindows \ System32 \ Svchost.exeの
はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ ccSetMgr.exe
はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ ccEvtMgr.exe
はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ SPBBC \ SPBBCSvc.exe
はC ： \プログラムファイル\ Lavasoft社\のAd - Aware \ aawservice.exe
はC ： \はWindows \ System32 \ Spoolsv.exeを
はC ： \はWindows \ System32 \ Svchost.exeの
はC ： \ Centenn.ial \監査\ CAgent32.exe
はC ： \ Centenn.ial \監査\ xferwan.exe
はC ： \プログラムファイル\ Cisco VPNクライアント\ cvpnd.exe
はC ： \プログラムファイル\するSymantec AntiVirus \ DefWatch.exe
はC ： \プログラムファイル\インテル\ワイヤレス\ビン\ EvtEng.exe
はC ： \プログラムファイル\共通ファイル\ Microsoft共有\ VS7DEBUG \ MDM.EXE
はC ： \プログラムファイル\インテル\ワイヤレス\ビン\ RegSrvc.exe
はC ： \プログラムファイル\するSymantec AntiVirus \ SavRoam.exe
はC ： \プログラムファイル\するSymantec AntiVirus \ Rtvscan.exe
はC ： \プログラムファイル\共通ファイル\レノボ\ tvt_reg_monitor_svc.exe
はC ： \はWindows \ System32 \ TPHDEXLG.exe
はC ： \プログラムファイル\共通ファイル\レノボ\スケジューラ\ tvtsched.exe
はC ： \ _integra \ binに\ ccmagent.exe
にc ： \プログラムファイル\レノボ\システムを更新\ suservice.exe
はC ： \はWindows \ System32 \ alg.exe
はC ： \はWindows \ System32 \ CALC.EXEを
はC ： \はWindows \ System32 \ CALC.EXEを
はC ： \ _integra \ binに\ shstart.exe
はC ： \ Windows \ Explorer.exeの
はC ： \はWindows \ System32 \ tp4mon.exe
はC ： \はWindows \ System32 \ igfxtray.exe
はC ： \はWindows \ System32 \ hkcmd.exe
はC ： \はWindows \ System32 \ igfxpers.exe
はC ： \はWindows \ System32 \ NWTRAY.EXE
はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ ccApp.exe
はC ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe
はC ： \プログラムファイル\レノボ\ホットキー\ TPOSDSVC.exe
はC ： \はWindows \ System32 \ igfxsrvc.exe
はC ： \はWindows \ System32 \ dla \ tfswctrl.exe
はC ： \ PROGRA 〜 1 \ ThinkPadの\ UTILIT 〜 1 \ EzEjMnAp.Exe
はC ： \ PROGRA 〜 1 \ THINKV 〜 1 \ PrdCtr \ LPMGR.exe
はC ： \はWindows \ System32 \ TpShocks.exe
はC ： \プログラムファイル\レノボ\ホットキー\ TPONSCR.exe
はC ： \プログラムファイル\共通ファイル\レノボ\スケジューラ\ scheduler_proxy.exe
はC ： \プログラムファイル\レノボ\ズーム\ TpScrex.exe
はC ： \プログラムファイル\共通ファイル\リアル\ Update_OB \ realsched.exe
はC ： \はWindows \ System32 \ Ctfmon.exeを
はC ： \プログラムファイル\ヤフー！ \メッセンジャー\ ymsgr_tray.exe
はC ： \はWindows \ System32 \ taskmgr.exe
はC ： \プログラムファイル\ Internet Explorerの\ IEXPLORE.EXE
はC ： \プログラムファイル\ Internet Explorerの\ IEXPLORE.EXE
はC ： \プログラムファイル\ Internet Explorerの\ IEXPLORE.EXE
はC ： \はWindows \ System32 \ wuauclt.exe
はC ： \はWindows \ System32 \ Wbemに見つかりませんでした\なるとWmiprvse.exe
はC ： \プログラムファイル\ Trend Microは\ HijackThisを\ HijackThis.exe
はC ： \はWindows \ System32 \ Wbemに見つかりませんでした\なるとWmiprvse.exe
F2キー-登録：のSystem.ini ： UserInit =はC ： \はWindows \ System32 \ userinit.exeは、 C ： \ _inte gra \ binに\ shstart.exe
O2は- BHOを： AcroIEHlprObjクラス- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） -はC ： \プログラムファイル\のAdobe \アクロバット7.0 \のActiveX \ AcroIEHelper.dll
O2は- BHOを： DriveLetterAccess - （ 5CA3D70E - 1895 - 11CF - 8E15 - 001234567890 ） -はC ： \はWindows \ System32 \ dla \ tfswshx.dll
O4 - HKLM \ .. \実行： [ TrackPointSrv ] tp4mon.exe
O4 - HKLM \ .. \実行： [ IgfxTray ]はC ： \はWindows \ System32 \ igfxtray.exe
O4 - HKLM \ .. \実行： [ HotKeysCmds ]はC ： \はWindows \ System32 \ hkcmd.exe
O4 - HKLM \ .. \実行： [永続]はC ： \はWindows \ System32 \ igfxpers.exe
O4 - HKLM \ .. \実行： [ NWTRAY ] NWTRAY.EXE
O4 - HKLM \ .. \実行： [ ccApp ] "はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ ccApp.exe "
O4 - HKLM \ .. \実行： [ vptray ]はC ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe
O4 - HKLM \ .. \実行： [ TPHOTKEY ]はC ： \プログラムファイル\レノボ\ホットキー\ TPOSDSVC.exe
O4 - HKLM \ .. \実行： [ UpdateManager ]を" C ： \プログラムファイル\共通ファイル\ソニック\ Update Managerを\ sgtray.exe " / rを
O4 - HKLM \ .. \実行： [ dla ]はC ： \はWindows \ System32 \ dla \ tfswctrl.exe
O4 - HKLM \ .. \実行： [ EZEJMNAP ]はC ： \ PROGRA 〜 1 \ ThinkPadの\ UTILIT 〜 1 \ EzEjMnAp.Exe
O4 - HKLM \ .. \実行： [ LPManager ]はC ： \ PROGRA 〜 1 \ THINKV 〜 1 \ PrdCtr \ LPMGR.exe
O4 - HKLM \ .. \実行： [ TpShocks ] TpShocks.exe
O4 - HKLM \ .. \実行： [ TVTスケジューラプロキシ]はC ： \プログラムファイル\共通ファイル\レノボ\スケジューラ\ scheduler_proxy.exe
O4 - HKLM \ .. \実行： [ TkBellExe ] "はC ： \プログラムファイル\共通ファイル\リアル\ Update_OB \ realsched.exe " - osboot
O4 -はHKCU \ .. \実行： [ Ctfmon.exeを]はC ： \はWindows \ System32 \ Ctfmon.exeを
O4 -はHKCU \ .. \実行： [ヤフー！ポケベル]を" C ： \プログラムファイル\ヤフー！ \メッセンジャー\ YahooMessenger.exe "静かな
O4 - HKUS \秒- 1 - 5 - 19 \ .. \実行： [コミュニケーター]を" C ： \プログラムファイル\のMicrosoft Office Communicatorの\ Communicator.exe " （ユーザーのローカルサービス' ）
O4 - HKUS \秒- 1 - 5 - 20 \ .. \実行： [コミュニケーター]を" C ： \プログラムファイル\のMicrosoft Office Communicatorの\ Communicator.exe " （ユーザのネットワークサービス' ）
O4 - HKUS \秒- 1 - 5 - 18 \ .. \実行： [コミュニケーター]を" C ： \プログラムファイル\のMicrosoft Office Communicatorの\ Communicator.exe " （ユーザーのシステム' ）
O4 - HKUS \デフォルト\ .. \実行： [コミュニケーター]を" C ： \プログラムファイル\のMicrosoft Office Communicatorの\ Communicator.exe " （ユーザのデフォルトのユーザー' ）
ø8 -追加のコンテキストメニュー項目：メール＆ Microsoft Excelにxport -解像度： / /はC ： \ PROGRA 〜 1 \マイクロ〜 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 -エキストラボタン：リサーチ- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） -はC ： \ PROGRA 〜 1 \マイクロ〜 2 \ OFFICE11 \ REFIEBAR.DLL
O9 -エキストラボタン： ç @ ： \プログラムファイル\メッセンジャー\ Msgslang.dll 、 -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） -はC ： \プログラムファイル\メッセンジャー\ msmsgs.exe
O9 -エキストラ[ツール]メニューアイテム： ç @ ： \プログラムファイル\メッセンジャー\ Msgslang.dll 、 -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） -はC ： \プログラムファイル\メッセンジャー\ msmsgs.exe
O16 - DPF ： （ 215B8138 - A3CF - 44C5 - 803F - 8226143CFC0A ） （ Trend MicroのスキャンエージェントのActiveX 6.6 ） - http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O17 - HKLM \システム\ CCS \サービス\ TCPIPの\ .. \ （ B8E7B489 - 2160 - 4DE7 - B592 - 9FD03D16CC74 ） ：ドメイン= keane.com
O23 -サービス： Lavasoft社のAd - Awareのサービス（ aawservice ） - Lavasoft社-はC ： \プログラムファイル\ Lavasoft社\のAd - Aware \ aawservice.exe
O23 -サービス：アプリケーション管理サービス（ AppMgSvc ） -未知の所有者-はC ： \ Program.exe （行方不明）ファイル
O23 -サービス： BHCPサービス（ BHsrv ） -未知の所有者-はC ： \ Program.exe （行方不明）ファイル
O23 -サービス：シマンテックイベントマネージャ（ ccEvtMgr ） - Symantec社-はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ ccEvtMgr.exe
O23 -サービス：シマンテック設定マネージャ（ ccSetMgr ） - Symantec社-はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ ccSetMgr.exe
O23 -サービス： CentennialClientAgent - 100ソフトウェア限定-はC ： \ Centenn.ial \監査\ CAgent32.exe
O23 -サービス： CentennialIPTransferAgent - 100ソフトウェア限定-はC ： \ Centenn.ial \監査\ xferwan.exe
O23 -サービス：クライアント更新サービスノベル（ cusrvc ） -ノベル株式会社-はC ： \はWindows \ System32 \ cusrvc.exe
O23 -サービス：シスコシステムズ株式会社のVPNサービス（ CVPND ） -シスコシステムズ株式会社-はC ： \プログラムファイル\ Cisco VPNクライアント\ cvpnd.exe
O23 -サービス： Symantecのアンチウイルス定義されていますウォッチャー（ DefWatch ） - Symantec社-はC ： \プログラムファイル\するSymantec AntiVirus \ DefWatch.exe
O23 -サービス：インテル（ R ） PROSetを/ワイヤレスイベントログ（ EvtEng ） -インテルコーポレーション-はC ： \プログラムファイル\インテル\ワイヤレス\ビン\ EvtEng.exe
O23 -サービス： ThinkPadの午後サービス（ IBMPMSVC ） -レノボ-はC ： \はWindows \ System32 \ ibmpmsvc.exe
O23 -サービス： LiveUpdate - Symantec社-はC ： \ PROGRA 〜 1 \ Symantecは\ LIVEUP 〜 1 \ LUCOMS 〜 1.EXE
O23 -サービス：インテル（ R ） PROSetを/ワイヤレスレジストリサービス（ RegSrvc ） -インテルコーポレーション-はC ： \プログラムファイル\インテル\ワイヤレス\ビン\ RegSrvc.exe
O23 -サービス：インテル（ R ） PROSetを/ワイヤレスサービス（ S24EventMonitor ） -インテルコーポレーション-はC ： \プログラムファイル\インテル\ワイヤレス\ビン\ S24EvMon.exe
O23 -サービス： SAVRoam （ SavRoam ） -シマンテック-はC ： \プログラムファイル\するSymantec AntiVirus \ SavRoam.exe
O23 -サービス： Symantecのネットワークドライバサービス（ SNDSrvc ） - Symantec社-はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ SNDSrvc.exe
O23 -サービス：シマンテックSPBBCSvc （ SPBBCSvc ） - Symantec社-はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ SPBBC \ SPBBCSvc.exe
O23 -サービス：システムの更新プログラム（ SUService ） -レノボグループ限定-にc ： \プログラムファイル\レノボ\システムを更新\ suservice.exe
O23 -サービス：シマンテックアンチウイルス- Symantec社-はC ： \プログラムファイル\するSymantec AntiVirus \ Rtvscan.exe
O23 -サービス： ThinkVantageレジストリ監視サービス-レノボグループ限定-はC ： \プログラムファイル\共通ファイル\レノボ\ tvt_reg_monitor_svc.exe
O23 -サービス： ThinkPadのハードディスクのAPSログサービス（ TPHDEXLGSVC ） -レノボ。 -はC ： \はWindows \ System32 \ TPHDEXLG.exe
O23 -サービス： TVTスケジューラ-レノボグループ限定-はC ： \プログラムファイル\共通ファイル\レノボ\スケジューラ\ tvtsched.exe
O23 -サービス： Windows用のSymantec LiveStateエージェント（ WControl ） - Symantec社-にc ： \ _integra \ binに\ ccmagent.exe
-
ファイルの終わり- 8621バイト

[evilfantasy]

ダウンロードする Malwarebytes '反マルウェア（ MBAM ）

• ダブルクリック mbam - setup.exeを と以下のプログラムをインストールするように求められます。
• 最後に、必ずチェックマークを次のように横に置かれている：
  • 更新Malwarebytes '反マルウェア
  • 打ち上げMalwarebytes '反マルウェア
• をクリックします 完了。
• もし、更新が見つかると、それをダウンロードし、最新バージョンをインストールしてください。
• 一度、プログラムを選択してくださいロードしている クイックスキャンを実行するをクリック スキャン。
• ときは、 [スキャンが完了すると [ OK ]をし 詳細結果 その結果を表示します。
• すべてが、チェックされているボタンをクリックしてください 削除選択。
• 消毒が完了すると、ログをメモ帳で、オープンするので、再起動するように指示されることがあります。 （エキストラ）注を参照してください
• MBAMでは、ログを自動的にログが保存されMBAMタブをクリックして閲覧することができます。
• あなたの次の返信にコピーして貼り付けて全体を報告してください。

特別な注意： MBAM場合は、削除することは困難ですがファイルに遭遇すると、 2月1日に発表され、 [ OK ]をクリックしていずれかの場合、コンピュータを再起動するように求めMBAMの消毒プロセスを、手順を促すメッセージが表示させ、すぐにそうしてください。

[nitingaur]

いいえ、マルウェアが見つかりました、ここにご報告です
-------------------------------------------------- ----
Service Pack 2のWindowsの2600年1月5日
2008年9月21日午後6時16分07秒
mbamログ- 2008 - 09 - 21 （ 18-16-07 ） 。 txtが
スキャンタイプ：クイックスキャン
オブジェクトスキャン： 52621
経過時間： 4分（秒） 、 41 （秒） 2回目
メモリプロセス感染： 0
メモリモジュールの感染： 0
レジストリキーの感染： 0
レジストリ値の感染： 0
レジストリのデータ項目が感染： 0
フォルダ感染： 0
ファイル感染： 0
メモリプロセス感染：
（ない、悪意のある項目を検出）
メモリモジュールの感染：
（ない、悪意のある項目を検出）
レジストリキーの感染：
（ない、悪意のある項目を検出）
レジストリ値の感染：
（ない、悪意のある項目を検出）
レジストリのデータ項目が感染：
（ない、悪意のある項目を検出）
フォルダの感染：
（ない、悪意のある項目を検出）
ファイル感染：
（ない、悪意のある項目を検出）

[evilfantasy]

そこには、マルウェアのいずれかのログを見せている。

正確には何が起きているのか？

[nitingaur]

IEXPLORER.EXE複数のプロセスのプロセス一覧spwaningされています。もし私がそれらを1つ1つを殺す彼らはすぐに現れる。時には私も1つの任意のブラウザウィンドウを実行しているのが目に見えるような音が聞こえる。そこには存在しない、絶対間違っている。

[evilfantasy]

ダウンロードComboFix連結で1つのリンクは、下から。トップに保存されることを確認し デスクトップ。

リンク＃ 1
リンク＃ 2

**注：これは、直接お客様のデスクトップに保存されることが重要です

Webブラウザを開いて閉じる。 （ Firefoxのは、 Internet Explorerなど）を開始する前にComboFix 。

一時的に 無効にする あなたの ウイルス対策、および、すべての スパイウェア対策 リアルタイム保護 〜の前に スキャンを実行する。クリック このリンク セキュリティプログラムを無効にする必要がありますが、それらを無効にする方法は、リストを表示します。

ダブルクリックcombofix.exeと、画面の指示に従ってください。
ComboFixがあなたのためにログを生成します終えた。
投稿する ComboFixログ して、新しい HijackThisをログ あなたの次の返事。

重要： ComboFix実行中のウィンドウmouseclickしないでください。これで失速させる可能性があります。

再してくださいお客様のウイルス対策およびスパイウェア対策保護ComboFixが完了するときに有効にします。

[nitingaur]

ComboFixログ
-----------------------
ComboFix 08-09-20.05 - 012466 2008年9月21日19:31:50.1 - NTFSx86
Microsoft Windows XP Professionalを5.1.2600.2.1252.1.1033.18.473 [ GMT -7:00 ]
からの実行：はC ： \ Keanetools \ ComboFix.exe
*は、新しい復元ポイントを作成
警告-このマシンない、回復コンソールをインストール！ ！
。
(((((((((((((((((((((((((((((((((((((((その他の削除))))))))) ))))))))))))))))))))))))))))))))))))))))
。
はC ： \のDocuments and Settings \ LocalService \クッキー\小胞体system@ad.yieldmanag [ 1 ] 。 txtが
はC ： \はWindows \ System32 \ x64の
。
(((((((((((((((((((((((((((((((((((((((ドライバ/サービス)))))))) )))))))))))))))))))))))))))))))))))))))))
。
------- \ Legacy_BHSRV
------- \ Service_BHsrv

(((((((((((((((((((((((((ファイル)))))))))))から2008年8月22日に2008年9月22日作成))))))))))))))))))))
。
2008年9月21日18:09 。 -------- 2008年9月21日18:10 <DIR>エはC ： \プログラムファイル\ Malwarebytes '反マルウェア
2008年9月21日18:09 。 -------- 2008年9月21日18:09 <DIR>エはC ： \のDocuments and Settings \ All Usersの\アプリケーションデータ\ Malwarebytes
2008年9月21日18:09 。 -------- 2008年9月21日18:09 <DIR>エはC ： \のDocuments and Settings \012466 \アプリケーションデータ\ Malwarebytes
2008年9月21日18:09 。 2008年9月10日00:04 38528 - ------はC ： \ Windows \ System32 \ Driversに\ mbamswissarmy.sys
2008年9月21日18:09 。 2008年9月10日00:03 17,200 - ------はC ： \ Windows \ System32 \ Driversに\ mbam.sys
2008年9月21日11:07 。 -------- 2008年9月21日11:07 <DIR>エはC ： \プログラムファイル\ Lavasoft社
2008年9月21日11:07 。 -------- 2008年9月21日11:08 <DIR>エはC ： \のDocuments and Settings \ All Usersの\アプリケーションデータ\ Lavasoft社
2008年9月21日11:06 。 -------- 2008年9月21日11:06 <DIR>エはC ： \プログラムファイル\共通ファイル\英明インストールウィザード
2008年9月20日23:40 。 -------- 2008年9月20日23:40 <DIR>エはC ： \プログラムファイル\トレンドマイクロ
2008年9月19日09:03 。 -------- 2008年9月19日09:08 <DIR>エはC ： \ Windows \ SxsCaPendDel
2008年9月19日00:49 。 -------- 2008年9月19日00:52 <DIR>エはC ： \のDocuments and Settings \012466 \ 。 housecall6.6
2008年9月19日00:27 。 2008年9月19日09:04 <DIR>ダ------はC ： \のDocuments and Settings \ All Usersの\アプリケーションデータ\温度
2008年9月18日20:25 。 2002-02-04 06:22 1230336 - ------はC ： \ Windows \ system32 \ msxml4.dllの
2008年9月18日20:25 。 2007-09-14 05:01 922920 ---------はC ： \はWindows \ System32 \ ahlprun.exe
2008年9月18日20:25 。 2002-02-04 06:13 82,432 - ------はC ： \はWindows \ System32 \ msxml4r.dll
2008年9月18日20:25 。 2002-02-04 06:13 44,544 - ------はC ： \はWindows \ System32 \ msxml4a.dll
2008年9月18日20:25 。 2002年2月7日18:43 9,679 - ------はC ： \はWindows \ System32 \ msxml4r.cat
2008年9月18日20:25 。 2002年2月7日18:43 9675 - ------はC ： \はWindows \ System32 \ msxml4.cat
2008年9月18日20:25 。 2002年2月6日20:31 3489 - ------はC ： \はWindows \ System32 \ msxml4.Manifest
2008年9月18日20:25 。 2002年2月6日20:31 500 - ------はC ： \はWindows \ System32 \ msxml4r.Manifest
2008年9月18日20:21 。 -------- 2008年9月18日20:21 <DIR>エはC ： \プログラムファイル\共通ファイル\レノボ
2008年9月18日18:27 。 2008年9月21日11:54 21272 - ------はC ： \はWindows \ System32 \ bynpea.key
2008年9月18日18:25 。 2008年9月18日18:25 1 - 1 ------はC ： \はWindows \ System32 \004fdb9.imi
2008年9月15日14:23 。 2008年9月15日14:23 332800 --- hs ----はC ： \はWindows \ System32 \ _Bhsrv.msi
2008年9月15日12:15 。 2008年9月18日15:57 69942 - ------はC ： \はWindows \ System32 \ rrjack.key
2008年9月15日12:15 。 2008年9月15日12:15 1 - 1 ------はC ： \はWindows \ System32 \0048444.imi
2008年9月13日19:27 。 2008年9月13日19:27 24 -一------はC ： \ Windows \ cdplayer.ini
2008年9月13日19:26 。 -------- 2008年9月13日19:26 <DIR>エはC ： \プログラムファイル\リアル
2008年9月13日19:26 。 -------- 2008年9月13日19:26 <DIR>エはC ： \プログラムファイル\共通ファイル\共有興
2008年9月13日19:26 。 -------- 2008年9月13日19:26 <DIR>エはC ： \プログラムファイル\共通ファイル\リアル
。
(((((((((((((((((((((((((((((((((((((((( Find3M報告)))))))) )))))))))))))))))))))))))))))))))))))))))) ） ）
。
2008年9月22日02:33 --------- -----エワットはC ： \プログラムファイル\ Symantecのアンチウイルス
2008年9月22日02:33 --------- -----エワットはC ： \プログラムファイル\ Cisco VPNクライアント
2008年9月21日18:56 16 - shに-研究はC ： \ MSCIOTL.SYS
2008年9月21日18:55 8416 ----アルバはC ： \ Windows \ System32 \ Driversに\ CDProbe.SYS
2008年9月20日19:26 430816 - shに-ワットはC ： \プログラムファイル\ _MsInfo.msi
2008年9月19日03:25 ---------エ-時間-ワットはC ： \プログラムファイル\ InstallShieldのインストール情報
2008年9月19日03:25 --------- -----エワットはC ： \プログラムファイル\ ThinkVantage
2008年9月19日03:21 --------- -----エワットはC ： \プログラムファイル\レノボ
。
読み込んでいますポイント(((((((((((((((((((((((((((((((((((((登録)))))))))) ))))))))))))))))))))))))))))))))))))))))
。
。
*注： *空のエントリを、合法的なデフォルトのエントリが表示されません
REGEDIT4
[場合HKEY_CURRENT_USER \ Software \マイクロソフト\ Windowsの\ Curre ntVersion \実行]
" Ctfmon.exeを" = "はC ： \はWindows \ System32 \ Ctfmon.exeを" [ 2004-08-04 15360 ]
"ヤフー！ポケットベル" = "はC ： \プログラムファイル\ヤフー！ \メッセンジャー\ YahooMessenger.exe " [ 2007-08-30 4670704 ]
[します。 HKEY_LOCAL_MACHINE \ SOFTWARE \マイクロソフト\ Windowsの\クークーentVersion \実行]
" IgfxTray " = "はC ： \はWindows \ System32 \ igfxtray.exe " [ 2007-08-15 141848 ]
" HotKeysCmds " = "はC ： \はWindows \ System32 \ hkcmd.exe " [ 2007-08-15 162328 ]
"永続性" = "はC ： \はWindows \ System32 \ igfxpers.exメール" [ 2007-08-15 137752 ]
" ccApp " = "はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ ccApp.exe " [ 2006-03-24 53408 ]
" vptray " = "はC ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe " [ 2006-06-14 124656 ]
" TPHOTKEY " = "はC ： \プログラムファイル\レノボ\ホットキー\ TPOSDSVC.exe " [ 2007-03-09 66176 ]
" UpdateManager " = "はC ： \プログラムファイル\共通ファイル\ソニック\ Update Managerを\ sgtray.exe " [ 2003-08-18 110592 ]
" dla " = "はC ： \はWindows \ System32 \ dla \ tfswctrl.exe " [ 2005-05-19 127037 ]
" EZEJMNAP " = "はC ： \ PROGRA 〜 1 \ ThinkPadの\ UTILIT 〜 1 \ EzEjMnAp 。 exeファイル" [ 2007-04-26 243248 ]
" LPManager " = "はC ： \ PROGRA 〜 1 \ THINKV 〜 1 \ PrdCtr \ LPMGR.exe " [ 2007-03-22 120368 ]
"プロキシのTVTスケジューラ" = "はC ： \プログラムファイル\共通ファイル\レノボ\スケジューラ\ scheduler_proxy.exe " [ 2008-03-04 487424 ]
" TkBellExe " = "はC ： \プログラムファイル\共通ファイル\リアル\ Update_OB \ realsched.exe " [ 2008年9月13日185896 ]
" TrackPointSrv " = " tp4mon.exe " [ 2004年8月3日はC ： \はWindows \ System32 \ tp4mon.exe ]
" NWTRAY " = " NWTRAY.EXE " [ 2002年3月12日はC ： \はWindows \ System32 \ nwtray.exe ]
" TpShocks " = " TpShocks.exe " [ 2007年3月29日はC ： \はWindows \ System32 \ TpShocks.exe ]
[ HKEY_USERSを\デフォルト\ソフトウェア\マイクロソフト\ Windowsの\火rentVersion \実行]
"コミュニケーター" = "はC ： \プログラムファイル\のMicrosoft Office Communicatorの\ Communicator.exe " [ 2005-05-12 4167376 ]
[します。 HKEY_LOCAL_MACHINE \ Software \マイクロソフト\窓\クークーentversion \ポリシー\システム]
" CompatibleRUPSecurity " = 1 （は0x1 ）
[のHKEY_USERS \ 。デフォルト\ソフトウェア\マイクロソフト\窓\火rentversion \ポリシー\エクスプローラ]
" StartMenuLogOff " = 1 （は0x1 ）
[します。 HKEY_LOCAL_MACHINE \ Software \マイクロソフト\ Windows NTの\ currentversion \ Winlogonの\通知\ tpfnf2 ]
2006-09-06 13:37 34344はC ： \プログラムファイル\レノボ\ホットキー\ notifyf2.dll
[します。 HKEY_LOCAL_MACHINE \ Software \マイクロソフト\ Windows NTの\ currentversion \ Winlogonの\通知\ tphotkey ]
2006年12月14日08:06 28672はC ： \プログラムファイル\レノボ\ホットキー\ tphklock.dll
[します。 HKEY_LOCAL_MACHINE \ SYSTEM \ currentcontrolset \制御リットル\ LSAの]
認証パッケージREG_MULTI_SZのmsv1_0 nwv1_0
[します。 HKEY_LOCAL_MACHINE \ Software \マイクロソフト\セキュリティセンター\監視\ SymantecAntiVirus ]
" DisableMonitoring " = DWORD値： 00000001
[ HKLM \ 〜 \サービス\ sharedaccess \パラメータ\ firewallpo licy \ standardprofile \ AuthorizedApplications \リスト]
" ％ windir ％ \ \ system32 \ \ " = sessmgr.exe
の" C ： \ \プログラムファイル\ \ヤフー！ \ \メッセンジャー\ \ YahooMessenger.exe " =
の" C ： \ \プログラムファイル\ \ヤフー！ \ \メッセンジャー\ \ YServer.exe " =
R0 Shockprf ; Shockprf ;はC ： \ Windows \ System32 \ Driversに\ Apsx 86.sys [ 2007-03-02 100656 ]
R0 TPDIGIMN ; TPDIGIMN ;はC ： \ Windows \ System32 \ Driversに\ ApsH M86.sys [ 2007-03-02 19760 ]
R2のsmefs ; SMEFileSystem ;はC ： \ Windows \ System32 \ Driversに\小efs.sys [ 2006-02-08 20508 ]
R3 CdProbe ; CdProbe ;はC ： \ Windows \ System32 \ Driversに\ cdprob e.sys [ 2008年9月21日8416 ]
R3 smedrv ; SMEDriver ;はC ： \ Windows \ System32 \ Driversに\ smedr v.sys [ 2006-02-08 9516 ]
S2 AppMgSvc ;アプリケーションマネジメントサービス;はC ： \プログラムファイル\共通ファイル\ Microsoft共有\ MSINFO \ MsInfo.msi [ 2008年9月20日430816 ]
S2 yraebbgi ; yraebbgi ;はC ： \ Windows \ System32 \ Driversに\ bynp ea.sys [ ]
S2 yrtxzgwh ; yrtxzgwh ;はC ： \ Windows \ System32 \ Driversに\ rrja ck.sys [ ]
[します。 HKEY_LOCAL_MACHINE \ Software \マイクロソフト\ Windows NTの\ currentversion \したSvchost ]
REG_MULTI_SZのwrtxzg wrtxzg
REG_MULTI_SZのnraebb nraebb
。
。
附スキャン------- -------
。
R0 - ：はHKCU -マイン、スタートページ= hxxp ： / / www.google.com/
ø8 - ： Microsoft ExcelへのE ＆ xport -はC ： \ PROGRA 〜 1 \マイクロ〜 2 \ OFFICE11 \ EXCEL.EXE/3000
。
************************************************** ************************
catchme 0.3.1361 W2K/XP/Vista -ルートキット/マルウェアの検出器ステルスGmerで、 http://www.gmer.net
ルートキット2008年9月21日午後07時35分12秒のスキャン
2600年5月1日のService Pack 2のWindowsのNTFS
隠されたプロセスをスキャン...
非表示の自動起動のエントリをスキャン...
隠しファイルのスキャン...
スキャンが正常に完了
隠しファイル： 0
************************************************** ************************
[します。 HKEY_LOCAL_MACHINE \ System \ ControlSet001 \サービス\ ppMgSvc ]
" ImagePath " = "はC ： \プログラムファイル\共通ファイル\ Microsoft共有\ MSINFO \ MsInfo.msi "
。
DLLが読み込まれ実行中のプロセスの下で--------------------- ---------------------
プロセス：はC ： \はWindows \ System32 \のWinlogon.exe
- >はC ： \プログラムファイル\レノボ\ホットキー\ tphklock.dll
。
------------------------その他の実行中のプロセス----------------------- -
。
はC ： \はWindows \ System32 \ ibmpmsvc.exe
はC ： \プログラムファイル\インテル\ワイヤレス\ビン\ S24EvMon.exe
はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ ccSetMgr.exe
はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ ccEvtMgr.exe
はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ SPBBC \ SPBBCSvc.exe
はC ： \プログラムファイル\ Lavasoft社\のAd - Aware \ aawservice.exe
はC ： \ _integra \ binに\ shstart.exe
はC ： \はWindows \ System32 \ igfxsrvc.exe
はC ： \プログラムファイル\レノボ\ホットキー\ TPONSCR.exe
はC ： \プログラムファイル\レノボ\拡大\ TpScrex.exe
はC ： \プログラムファイル\するSymantec AntiVirus \ DoScan.exe
はC ： \プログラムファイル\ Internet Explorerの\ IEXPLORE.EXE
はC ： \ CENTENN.IAL \監査\ CAgent32.exe
はC ： \ CENTENN.IAL \監査\ xferwan.exe
はC ： \プログラムファイル\ Cisco VPNクライアント\ cvpnd.exe
はC ： \プログラムファイル\するSymantec AntiVirus \ DefWatch.exe
はC ： \プログラムファイル\インテル\ワイヤレス\ビン\ EvtEng.exe
はC ： \プログラムファイル\共通ファイル\ Microsoft共有\ VS7DEBUG \ MDM.EXE
はC ： \プログラムファイル\インテル\ワイヤレス\ビン\ RegSrvc.exe
はC ： \プログラムファイル\ヤフー！ \メッセンジャー\ Ymsgr_tray.exe
はC ： \はWindows \ System32 \ CALC.EXEを
はC ： \プログラムファイル\するSymantec AntiVirus \ SavRoam.exe
はC ： \プログラムファイル\するSymantec AntiVirus \ Rtvscan.exe
はC ： \プログラムファイル\共通ファイル\レノボ\ tvt_reg_monitor_svc.exe
はC ： \はWindows \ System32 \ TPHDEXLG.exe
はC ： \プログラムファイル\共通ファイル\レノボ\スケジューラ\ tvtsched.exe
はC ： \ _integra \ binに\ ccmagent.exe
はC ： \プログラムファイル\レノボ\システムアップデート\ SUService.exe
はC ： \はWindows \ System32 \ wscntfy.exe
はC ： \ ComboFix \ pv.cfexe
。
************************************************** ************************
。
終了時間： 2008年9月21日午後7時36分58秒-マシンが再起動されました
ComboFix -検疫- files.txt 2008年9月22日午前2時36分54秒
プレ実行： 64333811712バイト特集
後の実行： 64523264000バイト特集
175





HijackThisをログ
-----------------------------------
ログファイルのトレンドマイクロのHijackThisをv2.0.2
午後7時38分41秒のスキャンでは、 2008年9月21日に保存
プラットフォーム： Windows XP SP2を（ WinNTの2600年5月1日）
MSIE ： Internet Explorerのv6.00 SP2を（ 6.00.2900.2180 ）
ブートモード：ノーマル
実行中のプロセス：
はC ： \はWindows \ System32 \ smss.exe
はC ： \はWindows \ System32 \のWinlogon.exe
はC ： \はWindows \ System32 \ Services.exeの
はC ： \はWindows \ System32 \ Lsass.exeの
はC ： \はWindows \ System32 \ ibmpmsvc.exe
はC ： \はWindows \ System32 \ Svchost.exeの
はC ： \プログラムファイル\インテル\ワイヤレス\ビン\ S24EvMon.exe
はC ： \はWindows \ System32 \ Svchost.exeの
はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ ccSetMgr.exe
はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ ccEvtMgr.exe
はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ SPBBC \ SPBBCSvc.exe
はC ： \プログラムファイル\ Lavasoft社\のAd - Aware \ aawservice.exe
はC ： \はWindows \ System32 \ Spoolsv.exeを
はC ： \ _integra \ binに\ shstart.exe
はC ： \はWindows \ System32 \ tp4mon.exe
はC ： \はWindows \ System32 \ igfxtray.exe
はC ： \はWindows \ System32 \ hkcmd.exe
はC ： \はWindows \ System32 \ igfxpers.exe
はC ： \はWindows \ System32 \ NWTRAY.EXE
はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ ccApp.exe
はC ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe
はC ： \はWindows \ System32 \ igfxsrvc.exe
はC ： \プログラムファイル\レノボ\ホットキー\ TPOSDSVC.exe
はC ： \はWindows \ System32 \ dla \ tfswctrl.exe
はC ： \ PROGRA 〜 1 \ ThinkPadの\ UTILIT 〜 1 \ EzEjMnAp.Exe
はC ： \プログラムファイル\レノボ\ホットキー\ TPONSCR.exe
はC ： \プログラムファイル\レノボ\ズーム\ TpScrex.exe
はC ： \ PROGRA 〜 1 \ THINKV 〜 1 \ PrdCtr \ LPMGR.exe
はC ： \はWindows \ System32 \ TpShocks.exe
はC ： \プログラムファイル\共通ファイル\レノボ\スケジューラ\ scheduler_proxy.exe
はC ： \プログラムファイル\共通ファイル\リアル\ Update_OB \ realsched.exe
はC ： \はWindows \ System32 \ Ctfmon.exeを
はC ： \プログラムファイル\ Internet Explorerの\ IEXPLORE.EXE
はC ： \はWindows \ System32 \ Svchost.exeの
はC ： \ Centenn.ial \監査\ CAgent32.exe
はC ： \ Centenn.ial \監査\ xferwan.exe
はC ： \プログラムファイル\ Cisco VPNクライアント\ cvpnd.exe
はC ： \プログラムファイル\するSymantec AntiVirus \ DefWatch.exe
はC ： \プログラムファイル\インテル\ワイヤレス\ビン\ EvtEng.exe
はC ： \プログラムファイル\共通ファイル\ Microsoft共有\ VS7DEBUG \ MDM.EXE
はC ： \プログラムファイル\インテル\ワイヤレス\ビン\ RegSrvc.exe
はC ： \プログラムファイル\ヤフー！ \メッセンジャー\ ymsgr_tray.exe
はC ： \はWindows \ System32 \ CALC.EXEを
はC ： \プログラムファイル\するSymantec AntiVirus \ SavRoam.exe
はC ： \プログラムファイル\するSymantec AntiVirus \ Rtvscan.exe
はC ： \プログラムファイル\共通ファイル\レノボ\ tvt_reg_monitor_svc.exe
はC ： \はWindows \ System32 \ TPHDEXLG.exe
はC ： \プログラムファイル\共通ファイル\レノボ\スケジューラ\ tvtsched.exe
はC ： \ _integra \ binに\ ccmagent.exe
にc ： \プログラムファイル\レノボ\システムを更新\ suservice.exe
はC ： \はWindows \ System32 \ wscntfy.exe
はC ： \はWindows \ System32 \ wuauclt.exe
はC ： \はWindows \ System32 \ wuauclt.exe
はC ： \ Windows \ Explorer.exeの
はC ： \プログラムファイル\ Trend Microは\ HijackThisを\ HijackThis.exe
r1の- HKLM \ソフトウェア\マイクロソフト\ Internet Explorerの\メイン、 Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
r1の- HKLM \ソフトウェア\マイクロソフト\ Internet Explorerの\メイン、 Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
r1の- HKLM \ソフトウェア\マイクロソフト\ Internet Explorerの\メイン、検索ページ= http://go.microsoft.com/fwlink/?LinkId=54896
O2は- BHOを： AcroIEHlprObjクラス- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） -はC ： \プログラムファイル\のAdobe \アクロバット7.0 \のActiveX \ AcroIEHelper.dll
O2は- BHOを： DriveLetterAccess - （ 5CA3D70E - 1895 - 11CF - 8E15 - 001234567890 ） -はC ： \はWindows \ System32 \ dla \ tfswshx.dll
O4 - HKLM \ .. \実行： [ TrackPointSrv ] tp4mon.exe
O4 - HKLM \ .. \実行： [ IgfxTray ]はC ： \はWindows \ System32 \ igfxtray.exe
O4 - HKLM \ .. \実行： [ HotKeysCmds ]はC ： \はWindows \ System32 \ hkcmd.exe
O4 - HKLM \ .. \実行： [永続]はC ： \はWindows \ System32 \ igfxpers.exe
O4 - HKLM \ .. \実行： [ NWTRAY ] NWTRAY.EXE
O4 - HKLM \ .. \実行： [ ccApp ] "はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ ccApp.exe "
O4 - HKLM \ .. \実行： [ vptray ]はC ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe
O4 - HKLM \ .. \実行： [ TPHOTKEY ]はC ： \プログラムファイル\レノボ\ホットキー\ TPOSDSVC.exe
O4 - HKLM \ .. \実行： [ UpdateManager ]を" C ： \プログラムファイル\共通ファイル\ソニック\ Update Managerを\ sgtray.exe " / rを
O4 - HKLM \ .. \実行： [ dla ]はC ： \はWindows \ System32 \ dla \ tfswctrl.exe
O4 - HKLM \ .. \実行： [ EZEJMNAP ]はC ： \ PROGRA 〜 1 \ ThinkPadの\ UTILIT 〜 1 \ EzEjMnAp.Exe
O4 - HKLM \ .. \実行： [ LPManager ]はC ： \ PROGRA 〜 1 \ THINKV 〜 1 \ PrdCtr \ LPMGR.exe
O4 - HKLM \ .. \実行： [ TpShocks ] TpShocks.exe
O4 - HKLM \ .. \実行： [ TVTスケジューラプロキシ]はC ： \プログラムファイル\共通ファイル\レノボ\スケジューラ\ scheduler_proxy.exe
O4 - HKLM \ .. \実行： [ TkBellExe ] "はC ： \プログラムファイル\共通ファイル\リアル\ Update_OB \ realsched.exe " - osboot
O4 -はHKCU \ .. \実行： [ Ctfmon.exeを]はC ： \はWindows \ System32 \ Ctfmon.exeを
O4 -はHKCU \ .. \実行： [ヤフー！ポケベル]を" C ： \プログラムファイル\ヤフー！ \メッセンジャー\ YahooMessenger.exe "静かな
O4 - HKUS \秒- 1 - 5 - 19 \ .. \実行： [コミュニケーター]を" C ： \プログラムファイル\のMicrosoft Office Communicatorの\ Communicator.exe " （ユーザーのローカルサービス' ）
O4 - HKUS \秒- 1 - 5 - 20 \ .. \実行： [コミュニケーター]を" C ： \プログラムファイル\のMicrosoft Office Communicatorの\ Communicator.exe " （ユーザのネットワークサービス' ）
O4 - HKUS \秒- 1 - 5 - 18 \ .. \実行： [コミュニケーター]を" C ： \プログラムファイル\のMicrosoft Office Communicatorの\ Communicator.exe " （ユーザーのシステム' ）
O4 - HKUS \デフォルト\ .. \実行： [コミュニケーター]を" C ： \プログラムファイル\のMicrosoft Office Communicatorの\ Communicator.exe " （ユーザのデフォルトのユーザー' ）
ø8 -追加のコンテキストメニュー項目：メール＆ Microsoft Excelにxport -解像度： / /はC ： \ PROGRA 〜 1 \マイクロ〜 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 -エキストラボタン：リサーチ- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） -はC ： \ PROGRA 〜 1 \マイクロ〜 2 \ OFFICE11 \ REFIEBAR.DLL
O9 -エキストラボタン： ç @ ： \プログラムファイル\メッセンジャー\ Msgslang.dll 、 -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） -はC ： \プログラムファイル\メッセンジャー\ msmsgs.exe
O9 -エキストラ[ツール]メニューアイテム： ç @ ： \プログラムファイル\メッセンジャー\ Msgslang.dll 、 -61144 - （ FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 ） -はC ： \プログラムファイル\メッセンジャー\ msmsgs.exe
O16 - DPF ： （ 215B8138 - A3CF - 44C5 - 803F - 8226143CFC0A ） （ Trend MicroのスキャンエージェントのActiveX 6.6 ） - http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O17 - HKLM \システム\ CCS \サービス\ TCPIPの\ .. \ （ B8E7B489 - 2160 - 4DE7 - B592 - 9FD03D16CC74 ） ：ドメイン= keane.com
O17 - HKLM \システム\ CCS \サービス\ TCPIPの\ .. \ （ D239A412 - 22C2 - 4683 - 95BC - 1FFAA687D0DF ） ：ネーム= 172.21.18.101,172.21.18.102
O23 -サービス： Lavasoft社のAd - Awareのサービス（ aawservice ） - Lavasoft社-はC ： \プログラムファイル\ Lavasoft社\のAd - Aware \ aawservice.exe
O23 -サービス：アプリケーション管理サービス（ AppMgSvc ） -未知の所有者-はC ： \ Program.exe （行方不明）ファイル
O23 -サービス：シマンテックイベントマネージャ（ ccEvtMgr ） - Symantec社-はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ ccEvtMgr.exe
O23 -サービス：シマンテック設定マネージャ（ ccSetMgr ） - Symantec社-はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ ccSetMgr.exe
O23 -サービス： CentennialClientAgent - 100ソフトウェア限定-はC ： \ Centenn.ial \監査\ CAgent32.exe
O23 -サービス： CentennialIPTransferAgent - 100ソフトウェア限定-はC ： \ Centenn.ial \監査\ xferwan.exe
O23 -サービス：クライアント更新サービスノベル（ cusrvc ） -ノベル株式会社-はC ： \はWindows \ System32 \ cusrvc.exe
O23 -サービス：シスコシステムズ株式会社のVPNサービス（ CVPND ） -シスコシステムズ株式会社-はC ： \プログラムファイル\ Cisco VPNクライアント\ cvpnd.exe
O23 -サービス： Symantecのアンチウイルス定義されていますウォッチャー（ DefWatch ） - Symantec社-はC ： \プログラムファイル\するSymantec AntiVirus \ DefWatch.exe
O23 -サービス：インテル（ R ） PROSetを/ワイヤレスイベントログ（ EvtEng ） -インテルコーポレーション-はC ： \プログラムファイル\インテル\ワイヤレス\ビン\ EvtEng.exe
O23 -サービス： ThinkPadの午後サービス（ IBMPMSVC ） -レノボ-はC ： \はWindows \ System32 \ ibmpmsvc.exe
O23 -サービス： LiveUpdate - Symantec社-はC ： \ PROGRA 〜 1 \ Symantecは\ LIVEUP 〜 1 \ LUCOMS 〜 1.EXE
O23 -サービス：インテル（ R ） PROSetを/ワイヤレスレジストリサービス（ RegSrvc ） -インテルコーポレーション-はC ： \プログラムファイル\インテル\ワイヤレス\ビン\ RegSrvc.exe
O23 -サービス：インテル（ R ） PROSetを/ワイヤレスサービス（ S24EventMonitor ） -インテルコーポレーション-はC ： \プログラムファイル\インテル\ワイヤレス\ビン\ S24EvMon.exe
O23 -サービス： SAVRoam （ SavRoam ） -シマンテック-はC ： \プログラムファイル\するSymantec AntiVirus \ SavRoam.exe
O23 -サービス： Symantecのネットワークドライバサービス（ SNDSrvc ） - Symantec社-はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ SNDSrvc.exe
O23 -サービス：シマンテックSPBBCSvc （ SPBBCSvc ） - Symantec社-はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ SPBBC \ SPBBCSvc.exe
O23 -サービス：システムの更新プログラム（ SUService ） -レノボグループ限定-にc ： \プログラムファイル\レノボ\システムを更新\ suservice.exe
O23 -サービス：シマンテックアンチウイルス- Symantec社-はC ： \プログラムファイル\するSymantec AntiVirus \ Rtvscan.exe
O23 -サービス： ThinkVantageレジストリ監視サービス-レノボグループ限定-はC ： \プログラムファイル\共通ファイル\レノボ\ tvt_reg_monitor_svc.exe
O23 -サービス： ThinkPadのハードディスクのAPSログサービス（ TPHDEXLGSVC ） -レノボ。 -はC ： \はWindows \ System32 \ TPHDEXLG.exe
O23 -サービス： TVTスケジューラ-レノボグループ限定-はC ： \プログラムファイル\共通ファイル\レノボ\スケジューラ\ tvtsched.exe
O23 -サービス： Windows用のSymantec LiveStateエージェント（ WControl ） - Symantec社-にc ： \ _integra \ binに\ ccmagent.exe
-
ファイルの終わり- 8581バイト

[evilfantasy]

注記： 特にこのユーザーへの指示の下に作成された。このユーザーの場合ではない。 しない は、お客様のシステムの働きに悪影響を与えると、これらの指示に従う

これらのファイルを削除/フォルダは、以下のとおり：

1 。に移動 開始する > 走る >タイプ メモ帳 をクリック [ OK ]を メモ帳を開きます。
それ 〜しなければならない メモ帳、ワードパッドではない。
2 。コードのすべてのテキストボックスには、以下のテキストをハイライトさせ、を押してコピー するCtrl + Cで

コード：

はkill ： ：ドライバー： ： BHSRV BHsrvファイル： ：はC ： \はWindows \ System32 \ bynpea.keyはC ： \はWindows \ System32 \ 004fdb9.imiはC ： \はWindows \ System32 \ _Bhsrv.msiはC ： \はWindows \ System32 \ rrjack 。キーはC ： \はWindows \ System32 \ 0048444.imiはC ： \ Windows \ System32 \ Driversに\ bynpea.sysはC ： \ Windows \ System32 \ Driversに\ rrjack.sysはC ： \はWindows \ System32 \ CALC.EXEを

3 。メモ帳のウィンドウを移動する]をクリックします 編集 > 貼り付け
4 。をクリックします ファイル > 保存する
5 。ファイルの名前を指定 CFScript.txt -あなたのデスクトップにファイルを保存
6 。次に、ドラッグ CFScript 一方、ファイルをドラッグ（ ）をマウスの左ボタンを押したまま（マウスの左ボタンを放しますドロップ） ComboFix.exeには下のスクリーンショットを参照してください。 重要： 慎重にこの命令を実行！



ComboFixを実行するには、画面の指示に従いますが開始されます。
再起動した後（再起動を要求する場合） 、それはあなたのためのログを生成します。
ポストは（ Combofix.txt ）を次の返事でログインしてください。

注記： ComboFix実行中のウィンドウmouseclickしないでください。お使いのシステムがフリーズすることがあります

[nitingaur]

CFSCriptを実行した後ComboFixログ
-------------------------------------------------- --------
ComboFix 08-09-20.05 - 012466 2008年9月21日22:11:45.2 - NTFSx86
Microsoft Windows XP Professionalを5.1.2600.2.1252.1.1033.18.598 [ GMT -7:00 ]
からの実行：はC ： \ Keanetools \ ComboFix.exe
コマンドを使用するスイッチ： ：はC ： \のDocuments and Settings \012466 \デスクトップ\ CFScript.txt
*は、新しい復元ポイントを作成
警告-このマシンない、回復コンソールをインストール！ ！
ファイル： ：
はC ： \はWindows \ System32 \ _Bhsrv.msi
はC ： \はWindows \ System32 \0048444.imi
はC ： \はWindows \ System32 \004fdb9.imi
はC ： \はWindows \ System32 \ bynpea.key
はC ： \はWindows \ System32 \ CALC.EXEを
はC ： \ Windows \ System32 \ Driversに\ bynpea.sys
はC ： \ Windows \ System32 \ Driversに\ rrjack.sys
はC ： \はWindows \ System32 \ rrjack.key
。
(((((((((((((((((((((((((((((((((((((((その他の削除))))))))) ))))))))))))))))))))))))))))))))))))))))
。
はC ： \はWindows \ System32 \ _Bhsrv.msi
はC ： \はWindows \ System32 \0048444.imi
はC ： \はWindows \ System32 \004fdb9.imi
はC ： \はWindows \ System32 \ bynpea.key
はC ： \はWindows \ System32 \ CALC.EXEを
はC ： \はWindows \ System32 \ rrjack.key
。
(((((((((((((((((((((((((ファイル)))))))))))から2008年8月22日に2008年9月22日作成))))))))))))))))))))
。
2008年9月21日18:09 。 -------- 2008年9月21日18:10 <DIR>エはC ： \プログラムファイル\ Malwarebytes '反マルウェア
2008年9月21日18:09 。 -------- 2008年9月21日18:09 <DIR>エはC ： \のDocuments and Settings \ All Usersの\アプリケーションデータ\ Malwarebytes
2008年9月21日18:09 。 -------- 2008年9月21日18:09 <DIR>エはC ： \のDocuments and Settings \012466 \アプリケーションデータ\ Malwarebytes
2008年9月21日18:09 。 2008年9月10日00:04 38528 - ------はC ： \ Windows \ System32 \ Driversに\ mbamswissarmy.sys
2008年9月21日18:09 。 2008年9月10日00:03 17,200 - ------はC ： \ Windows \ System32 \ Driversに\ mbam.sys
2008年9月21日11:07 。 -------- 2008年9月21日11:07 <DIR>エはC ： \プログラムファイル\ Lavasoft社
2008年9月21日11:07 。 -------- 2008年9月21日11:08 <DIR>エはC ： \のDocuments and Settings \ All Usersの\アプリケーションデータ\ Lavasoft社
2008年9月21日11:06 。 -------- 2008年9月21日11:06 <DIR>エはC ： \プログラムファイル\共通ファイル\英明インストールウィザード
2008年9月20日23:40 。 -------- 2008年9月20日23:40 <DIR>エはC ： \プログラムファイル\トレンドマイクロ
2008年9月19日09:03 。 -------- 2008年9月19日09:08 <DIR>エはC ： \ Windows \ SxsCaPendDel
2008年9月19日00:49 。 -------- 2008年9月19日00:52 <DIR>エはC ： \のDocuments and Settings \012466 \ 。 housecall6.6
2008年9月19日00:27 。 2008年9月19日09:04 <DIR>ダ------はC ： \のDocuments and Settings \ All Usersの\アプリケーションデータ\温度
2008年9月18日20:25 。 2002-02-04 06:22 1230336 - ------はC ： \ Windows \ system32 \ msxml4.dllの
2008年9月18日20:25 。 2007-09-14 05:01 922920 ---------はC ： \はWindows \ System32 \ ahlprun.exe
2008年9月18日20:25 。 2002-02-04 06:13 82,432 - ------はC ： \はWindows \ System32 \ msxml4r.dll
2008年9月18日20:25 。 2002-02-04 06:13 44,544 - ------はC ： \はWindows \ System32 \ msxml4a.dll
2008年9月18日20:25 。 2002年2月7日18:43 9,679 - ------はC ： \はWindows \ System32 \ msxml4r.cat
2008年9月18日20:25 。 2002年2月7日18:43 9675 - ------はC ： \はWindows \ System32 \ msxml4.cat
2008年9月18日20:25 。 2002年2月6日20:31 3489 - ------はC ： \はWindows \ System32 \ msxml4.Manifest
2008年9月18日20:25 。 2002年2月6日20:31 500 - ------はC ： \はWindows \ System32 \ msxml4r.Manifest
2008年9月18日20:21 。 -------- 2008年9月18日20:21 <DIR>エはC ： \プログラムファイル\共通ファイル\レノボ
2008年9月13日19:27 。 2008年9月13日19:27 24 -一------はC ： \ Windows \ cdplayer.ini
2008年9月13日19:26 。 -------- 2008年9月13日19:26 <DIR>エはC ： \プログラムファイル\リアル
2008年9月13日19:26 。 -------- 2008年9月13日19:26 <DIR>エはC ： \プログラムファイル\共通ファイル\共有興
2008年9月13日19:26 。 -------- 2008年9月13日19:26 <DIR>エはC ： \プログラムファイル\共通ファイル\リアル
。
(((((((((((((((((((((((((((((((((((((((( Find3M報告)))))))) )))))))))))))))))))))))))))))))))))))))))) ） ）
。
2008年9月22日05:14 8416 ----アルバはC ： \ Windows \ System32 \ Driversに\ CDProbe.SYS
2008年9月22日05:14 16 - shに-研究はC ： \ MSCIOTL.SYS
2008年9月22日05:14 --------- -----エワットはC ： \プログラムファイル\ Symantecのアンチウイルス
2008年9月22日03:07 --------- -----エワットはC ： \プログラムファイル\ Cisco VPNクライアント
2008年9月20日19:26 430816 - shに-ワットはC ： \プログラムファイル\ _MsInfo.msi
2008年9月19日03:25 ---------エ-時間-ワットはC ： \プログラムファイル\ InstallShieldのインストール情報
2008年9月19日03:25 --------- -----エワットはC ： \プログラムファイル\ ThinkVantage
2008年9月19日03:21 --------- -----エワットはC ： \プログラムファイル\レノボ
。
((((((((((((((((((((((((((((( snapshot@2008-09-21_19.36.38.64 )))))))))) )))))))))))))))))))))))))))))))
。
- 2008年9月21日午前18時59分45秒71370 ----アルバはC ： \はWindows \ System32 \ perfc009.dat
+ 2008年9月22日2時39分43秒71370 ----アルバはC ： \はWindows \ System32 \ perfc009.dat
- 2008年9月21日午前18時59分45秒439832 ----アルバはC ： \はWindows \ System32 \ perfh009.dat
+ 2008年9月22日2時39分43秒439832 ----アルバはC ： \はWindows \ System32 \ perfh009.dat
。
読み込んでいますポイント(((((((((((((((((((((((((((((((((((((登録)))))))))) ))))))))))))))))))))))))))))))))))))))))
。
。
*注： *空のエントリを、合法的なデフォルトのエントリが表示されません
REGEDIT4
[場合HKEY_CURRENT_USER \ Software \マイクロソフト\ Windowsの\ Curre ntVersion \実行]
" Ctfmon.exeを" = "はC ： \はWindows \ System32 \ Ctfmon.exeを" [ 2004-08-04 15360 ]
"ヤフー！ポケットベル" = "はC ： \プログラムファイル\ヤフー！ \メッセンジャー\ YahooMessenger.exe " [ 2007-08-30 4670704 ]
[します。 HKEY_LOCAL_MACHINE \ SOFTWARE \マイクロソフト\ Windowsの\クークーentVersion \実行]
" IgfxTray " = "はC ： \はWindows \ System32 \ igfxtray.exe " [ 2007-08-15 141848 ]
" HotKeysCmds " = "はC ： \はWindows \ System32 \ hkcmd.exe " [ 2007-08-15 162328 ]
"永続性" = "はC ： \はWindows \ System32 \ igfxpers.exメール" [ 2007-08-15 137752 ]
" ccApp " = "はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ ccApp.exe " [ 2006-03-24 53408 ]
" vptray " = "はC ： \ PROGRA 〜 1 \ SYMANT 〜 1 \ VPTray.exe " [ 2006-06-14 124656 ]
" TPHOTKEY " = "はC ： \プログラムファイル\レノボ\ホットキー\ TPOSDSVC.exe " [ 2007-03-09 66176 ]
" UpdateManager " = "はC ： \プログラムファイル\共通ファイル\ソニック\ Update Managerを\ sgtray.exe " [ 2003-08-18 110592 ]
" dla " = "はC ： \はWindows \ System32 \ dla \ tfswctrl.exe " [ 2005-05-19 127037 ]
" EZEJMNAP " = "はC ： \ PROGRA 〜 1 \ ThinkPadの\ UTILIT 〜 1 \ EzEjMnAp 。 exeファイル" [ 2007-04-26 243248 ]
" LPManager " = "はC ： \ PROGRA 〜 1 \ THINKV 〜 1 \ PrdCtr \ LPMGR.exe " [ 2007-03-22 120368 ]
"プロキシのTVTスケジューラ" = "はC ： \プログラムファイル\共通ファイル\レノボ\スケジューラ\ scheduler_proxy.exe " [ 2008-03-04 487424 ]
" TkBellExe " = "はC ： \プログラムファイル\共通ファイル\リアル\ Update_OB \ realsched.exe " [ 2008年9月13日185896 ]
" TrackPointSrv " = " tp4mon.exe " [ 2004年8月3日はC ： \はWindows \ System32 \ tp4mon.exe ]
" NWTRAY " = " NWTRAY.EXE " [ 2002年3月12日はC ： \はWindows \ System32 \ nwtray.exe ]
" TpShocks " = " TpShocks.exe " [ 2007年3月29日はC ： \はWindows \ System32 \ TpShocks.exe ]
[ HKEY_USERSを\デフォルト\ソフトウェア\マイクロソフト\ Windowsの\火rentVersion \実行]
"コミュニケーター" = "はC ： \プログラムファイル\のMicrosoft Office Communicatorの\ Communicator.exe " [ 2005-05-12 4167376 ]
[します。 HKEY_LOCAL_MACHINE \ Software \マイクロソフト\窓\クークーentversion \ポリシー\システム]
" CompatibleRUPSecurity " = 1 （は0x1 ）
[のHKEY_USERS \ 。デフォルト\ソフトウェア\マイクロソフト\窓\火rentversion \ポリシー\エクスプローラ]
" StartMenuLogOff " = 1 （は0x1 ）
[します。 HKEY_LOCAL_MACHINE \ Software \マイクロソフト\ Windows NTの\ currentversion \ Winlogonの\通知\ tpfnf2 ]
2006-09-06 13:37 34344はC ： \プログラムファイル\レノボ\ホットキー\ notifyf2.dll
[します。 HKEY_LOCAL_MACHINE \ Software \マイクロソフト\ Windows NTの\ currentversion \ Winlogonの\通知\ tphotkey ]
2006年12月14日08:06 28672はC ： \プログラムファイル\レノボ\ホットキー\ tphklock.dll
[します。 HKEY_LOCAL_MACHINE \ SYSTEM \ currentcontrolset \制御リットル\ LSAの]
認証パッケージREG_MULTI_SZのmsv1_0 nwv1_0
[します。 HKEY_LOCAL_MACHINE \ Software \マイクロソフト\セキュリティセンター\監視\ SymantecAntiVirus ]
" DisableMonitoring " = DWORD値： 00000001
[ HKLM \ 〜 \サービス\ sharedaccess \パラメータ\ firewallpo licy \ standardprofile \ AuthorizedApplications \リスト]
" ％ windir ％ \ \ system32 \ \ " = sessmgr.exe
の" C ： \ \プログラムファイル\ \ヤフー！ \ \メッセンジャー\ \ YahooMessenger.exe " =
の" C ： \ \プログラムファイル\ \ヤフー！ \ \メッセンジャー\ \ YServer.exe " =
R0 Shockprf ; Shockprf ;はC ： \ Windows \ System32 \ Driversに\ Apsx 86.sys [ 2007-03-02 100656 ]
R0 TPDIGIMN ; TPDIGIMN ;はC ： \ Windows \ System32 \ Driversに\ ApsH M86.sys [ 2007-03-02 19760 ]
R2のsmefs ; SMEFileSystem ;はC ： \ Windows \ System32 \ Driversに\小efs.sys [ 2006-02-08 20508 ]
R3 CdProbe ; CdProbe ;はC ： \ Windows \ System32 \ Driversに\ cdprob e.sys [ 2008年9月21日8416 ]
R3 smedrv ; SMEDriver ;はC ： \ Windows \ System32 \ Driversに\ smedr v.sys [ 2006-02-08 9516 ]
S2 AppMgSvc ;アプリケーションマネジメントサービス;はC ： \プログラムファイル\共通ファイル\ Microsoft共有\ MSINFO \ MsInfo.msi [ 2008年9月20日430816 ]
S2 yraebbgi ; yraebbgi ;はC ： \ Windows \ System32 \ Driversに\ bynp ea.sys [ ]
S2 yrtxzgwh ; yrtxzgwh ;はC ： \ Windows \ System32 \ Driversに\ rrja ck.sys [ ]
[します。 HKEY_LOCAL_MACHINE \ Software \マイクロソフト\ Windows NTの\ currentversion \したSvchost ]
REG_MULTI_SZのwrtxzg wrtxzg
REG_MULTI_SZのnraebb nraebb
。
************************************************** ************************
catchme 0.3.1361 W2K/XP/Vista -ルートキット/マルウェアの検出器ステルスGmerで、 http://www.gmer.net
ルートキットスキャン2008年9月21日午後10時16分04秒
2600年5月1日のService Pack 2のWindowsのNTFS
隠されたプロセスをスキャン...
非表示の自動起動のエントリをスキャン...
隠しファイルのスキャン...

はC ： \はWindows \ System32 \ CALC.EXEを
スキャンが正常に完了
隠しファイル： 1
************************************************** ************************
[します。 HKEY_LOCAL_MACHINE \ System \ ControlSet001 \サービス\ ppMgSvc ]
" ImagePath " = "はC ： \プログラムファイル\共通ファイル\ Microsoft共有\ MSINFO \ MsInfo.msi "
。
DLLが読み込まれ実行中のプロセスの下で--------------------- ---------------------
プロセス：はC ： \はWindows \ System32 \のWinlogon.exe
- >はC ： \プログラムファイル\レノボ\ホットキー\ tphklock.dll
。
------------------------その他の実行中のプロセス----------------------- -
。
はC ： \はWindows \ System32 \ ibmpmsvc.exe
はC ： \プログラムファイル\インテル\ワイヤレス\ビン\ S24EvMon.exe
はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ ccSetMgr.exe
はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ ccEvtMgr.exe
はC ： \プログラムファイル\共通ファイル\ Symantecの共有\ SPBBC \ SPBBCSvc.exe
はC ： \プログラムファイル\ Lavasoft社\のAd - Aware \ aawservice.exe
はC ： \プログラムファイル\ Internet Explorerの\ IEXPLORE.EXE
はC ： \ CENTENN.IAL \監査\ CAgent32.exe
はC ： \ CENTENN.IAL \監査\ xferwan.exe
はC ： \プログラムファイル\ Cisco VPNクライアント\ cvpnd.exe
はC ： \プログラムファイル\するSymantec AntiVirus \ DefWatch.exe
はC ： \プログラムファイル\インテル\ワイヤレス\ビン\ EvtEng.exe
はC ： \プログラムファイル\共通ファイル\ Microsoft共有\ VS7DEBUG \ MDM.EXE
はC ： \プログラムファイル\インテル\ワイヤレス\ビン\ RegSrvc.exe
はC ： \プログラムファイル\するSymantec AntiVirus \ SavRoam.exe
はC ： \プログラムファイル\するSymantec AntiVirus \ Rtvscan.exe
はC ： \プログラムファイル\共通ファイル\レノボ\ tvt_reg_monitor_svc.exe
はC ： \はWindows \ System32 \ TPHDEXLG.exe
はC ： \プログラムファイル\共通ファイル\レノボ\スケジューラ\ tvtsched.exe
はC ： \ _integra \ binに\ ccmagent.exe
はC ： \プログラムファイル\レノボ\システムアップデート\ SUService.exe
はC ： \ _integra \ binに\ shstart.exe
はC ： \はWindows \ System32 \ igfxsrvc.exe
はC ： \プログラムファイル\レノボ\ホットキー\ TPONSCR.exe
はC ： \プログラムファイル\レノボ\拡大\ TpScrex.exe
はC ： \プログラムファイル\するSymantec AntiVirus \ DoScan.exe
はC ： \プログラムファイル\ヤフー！ \メッセンジャー\ Ymsgr_tray.exe
はC ： \ ComboFix \ pv.cfexe
。
************************************************** ************************
。
終了時間： 2008年9月21日22時17分28秒-マシンが再起動されました
ComboFix -検疫- files.txt 2008年9月22日5時17分23秒
ComboFix2.txt 2008年9月22日午前二時36分59秒
プレ実行： 64509464576バイト特集
後の実行： 64505421824バイト特集
181

[evilfantasy]

ダウンロードする OldTimerでOTMoveIt2とに保存を デスクトップ。

注記： Vistaの場合は、右クリックして選択OTMoveIt2.exe上で実行している を実行するように管理者。

1 。 ダブルクリック OTMoveIt2.exe それを実行します。
2 。 下のcodebox内の行をコピーします。

コード：

[殺すエクスプローラ]はC ： \はWindows \ System32 \ CALC.EXEをします。 HKEY_LOCAL_MACHINE \ System \ ControlSet001 \サービス\ AppMgSvc EmptyTemp [スタートエクスプローラ]

3 。 のOTMoveIt2に戻り、右クリック ファイルの貼り付けリスト/フォルダに移動する ウィンドウの黄色のバー（ ）の下を選択 貼り付け
4 。 クリックすると、赤 Moveit ！ ボタンをクリックします。
5 。結果ウィンドウにコピーするすべての緑色のバー（ ）の下であなたの次の返信に貼り付けます。
6 。 閉じる OTMoveIt2

注記：移動するためのプロセスを終了する場合は、ファイルまたはフォルダを移動することはできませんすぐにお使いのコンピュータの再起動を求められる可能性があります。場合は、再起動を選択するよう求め はい。 、とにかく、再起動しない場合は。