[nitingaur]

트렌드 마이크로의 로그 파일은 HijackThis v2.0.2
스캔 오후 12시 1분 37초에서 2008년 9월 21일에 저장된
플래트홈 :는 Windows XP SP2 (WinNT 2600년 1월 5일)
MSIE : Internet Explorer를 v6.00 SP2를 (6.00.2900.2180)
부팅 모드 : 일반
실행중인 프로세스 :
에 C : \ 윈도우 \ System32 \ Smss.exe
에 C : \ 윈도우 \ system32를 \ Csrss.exe
에 C : \ 윈도우 \ system32를 \의 Winlogon.exe
에 C : \ 윈도우 \ system32를 \ Services.exe
에 C : \ 윈도우 \ system32를 \ Lsass.exe가
에 C : \ 윈도우 \ system32를 \ ibmpmsvc.exe
에 C : \ 윈도우 \ system32를 \ Svchost.exe는
에 C : \ 윈도우 \ system32를 \ Svchost.exe는
에 C : \ 프로그램 파일 \ 인텔 \ 무선 \ 빈 \ S24EvMon.exe
에 C : \ 윈도우 \ system32를 \ Svchost.exe는
에 C : \ 윈도우 \ system32를 \ Svchost.exe는
에 C : \ 윈도우 \ system32를 \ Svchost.exe는
에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ ccSetMgr.exe
에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ ccEvtMgr.exe
에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ SPBBC \ SPBBCSvc.exe
에 C : \ 프로그램 파일 \ Lavasoft \ Ad - Aware는 \ aawservice.exe
에 C : \ 윈도우 \ system32를 \ Spoolsv.exe에서
에 C : \ 윈도우 \ system32를 \ Svchost.exe는
에 C : \ Centenn.ial \ 감사 \ CAgent32.exe
에 C : \ Centenn.ial \ 감사 \ xferwan.exe
에 C : \ 프로그램 파일 \ 시스코 VPN 클라이언트 \ cvpnd.exe
에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스 \ DefWatch.exe
에 C : \ 프로그램 파일 \ 인텔 \ 무선 \ 빈 \ EvtEng.exe
에 C : \는 Program Files \ Common 파일 \ Microsoft 공유 \ VS7DEBUG \ Mdm.exe를
에 C : \ 프로그램 파일 \ 인텔 \ 무선 \ 빈 \ RegSrvc.exe
에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스 \ SavRoam.exe
에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스 \ Rtvscan.exe
에 C : \는 Program Files \ Common 파일 \ 레노버 \ tvt_reg_monitor_svc.exe
에 C : \ 윈도우 \ System32 \ TPHDEXLG.exe
에 C : \는 Program Files \ Common 파일 \ 레노버 \ 스케줄러 \ tvtsched.exe
에 c : \ _integra \ 빈 \ ccmagent.exe
에 c : \ 프로그램 파일 \ 레노버 \ 시스템 업데이 트를 \ suservice.exe
에 C : \ 윈도우 \ System32 \ alg.exe
에 C : \ 윈도우 \ system32를 \ Calc.exe
에 C : \ 윈도우 \ system32를 \ Calc.exe
에 c : \ _integra \ 빈 \ shstart.exe
에 C : \ 윈도우 \ Explorer.EXE
에 C : \ 윈도우 \ system32를 \ tp4mon.exe
에 C : \ 윈도우 \ system32를 \ igfxtray.exe
에 C : \ 윈도우 \ system32를 \ hkcmd.exe
에 C : \ 윈도우 \ system32를 \ igfxpers.exe
에 C : \ 윈도우 \ system32를 \ NWTRAY.EXE
에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ ccApp.exe
에 C : \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
에 C : \ 프로그램 파일 \ 레노버 \ 단축키 \ TPOSDSVC.exe
에 C : \ 윈도우 \ system32를 \ igfxsrvc.exe
에 C : \ 윈도우 \ system32를 \ 국방 정보국 \ tfswctrl.exe
에 C : \ PROGRA ~ 1 \ 씽크패드 \ UTILIT ~ 1 \ EzEjMnAp.Exe
에 C : \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
에 C : \ 윈도우 \ system32를 \ TpShocks.exe
에 C : \ 프로그램 파일 \ 레노버 \ 단축키 \ TPONSCR.exe
에 C : \는 Program Files \ Common 파일 \ 레노버 \ 스케줄러 \ scheduler_proxy.exe
에 C : \ 프로그램 파일 \ 레노버 \ 줌 \ TpScrex.exe
에 C : \는 Program Files \ Common 파일 \ 리얼 \ Update_OB \ realsched.exe
에 C : \ 윈도우 \ system32를 \ Ctfmon.exe를
에 C : \ 프로그램 파일 \ 야후! \ 메신저 \ ymsgr_tray.exe
에 C : \ 윈도우 \ system32를 \ taskmgr.exe
에 C : \ 프로그램 파일 \의 Internet Explorer \ IEXPLORE.EXE
에 C : \ 프로그램 파일 \의 Internet Explorer \ IEXPLORE.EXE
에 C : \ 프로그램 파일 \의 Internet Explorer \ IEXPLORE.EXE
에 C : \ 윈도우 \ system32를 \ Wuauclt.exe를
에 C : \ 윈도우 \ system32를 \ wbem \ wmiprvse.exe
에 C : \ 프로그램 파일 \ 트렌드 마이크로 \ HijackThis를 \ HijackThis.exe
에 C : \ 윈도우 \ system32를 \ wbem \ wmiprvse.exe
F2를 - REG :하여 System.ini : UserInit =에 c : \ windows \ system32를 \ Userinit.exe를,에 c : \ _inte gra \ 빈 \ shstart.exe
O2는 - BHO를 : AcroIEHlprObj 클래스 - (06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3) -에 C : \ 프로그램 파일 \ 어도비 \ 애크로뱃 7.0 \ ActiveX를 \ AcroIEHelper.dll
O2는 - BHO를 : DriveLetterAccess - (5CA3D70E - 1895년 - 11CF - 8E15 - 001234567890) -에 C : \ 윈도우 \ system32를 \ 국방 정보국 \ tfswshx.dll
O4 - 경우 HKLM \ .. \ 실행 : [TrackPointSrv] tp4mon.exe
O4 - 경우 HKLM \ .. \ 실행 : [IgfxTray]에서 C : \ 윈도우 \ system32를 \ igfxtray.exe
O4 - 경우 HKLM \ .. \ 실행 : [HotKeysCmds]에서 C : \ 윈도우 \ system32를 \ hkcmd.exe
O4 - 경우 HKLM \ .. \ 실행 : [지속성]에 C : \ 윈도우 \ system32를 \ igfxpers.exe
O4 - 경우 HKLM \ .. \ 실행 : [NWTRAY] NWTRAY.EXE
O4 - 경우 HKLM \ .. \ 실행 : [ccApp]는 "C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ ccApp.exe"
O4 - 경우 HKLM \ .. \ 실행 : [vptray]에서 C : \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 - 경우 HKLM \ .. \ 실행 : [TPHOTKEY]에서 C : \ 프로그램 파일 \ 레노버 \ 단축키 \ TPOSDSVC.exe
O4 - 경우 HKLM \ .. \ 실행 : [UpdateManager]는 "C : \는 Program Files \ Common 파일 \ 소닉 \ 업데이트 관리자 \ sgtray.exe"/ r을
O4 - 경우 HKLM \ .. \ 실행 : [국방 정보국]에서 C : \ 윈도우 \ system32를 \ 국방 정보국 \ tfswctrl.exe
O4 - 경우 HKLM \ .. \ 실행 : [EZEJMNAP]에서 C : \ PROGRA ~ 1 \ 씽크패드 \ UTILIT ~ 1 \ EzEjMnAp.Exe
O4 - 경우 HKLM \ .. \ 실행 : [LPManager]에서 C : \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
O4 - 경우 HKLM \ .. \ 실행 : [TpShocks] TpShocks.exe
O4 - 경우 HKLM \ .. \ 실행 : [TVT 스케줄러 프록시]에서 C : \는 Program Files \ Common 파일 \ 레노버 \ 스케줄러 \ scheduler_proxy.exe
O4 - 경우 HKLM \ .. \ 실행 : [TkBellExe]는 "C : \는 Program Files \ Common 파일 \ 리얼 \ Update_OB \ realsched.exe"- osboot
O4 - HKCU \ .. \ 실행 : [Ctfmon.exe를]에서 C : \ 윈도우 \ system32를 \ Ctfmon.exe를
O4 - HKCU \ .. \ 실행 : [야후! 호출기]는 "C : \ 프로그램 파일 \ 야후! \ 메신저 \ YahooMessenger.exe"- 조용
O4 - HKUS \ 내로 S - 1 - 5 - 19 \ .. \ 실행 : [커뮤니케] "으로 C : \ Program Files \ Microsoft Office입니다 커뮤니케 \ Communicator.exe"(사용자 '로컬 서비스')
O4 - HKUS \ 내로 S - 1 - 5 - 20 \ .. \ 실행 : [커뮤니케] "으로 C : \ Program Files \ Microsoft Office입니다 커뮤니케 \ Communicator.exe"(사용자 'NETWORK SERVICE를')
O4 - HKUS \ 내로 S - 1 - 5 - 18 \ .. \ 실행 : [커뮤니케] "으로 C : \ Program Files \ Microsoft Office입니다 커뮤니케 \ Communicator.exe"(사용자 '시스템')
O4 - HKUS \. 기본적 \ .. \ 실행 : [커뮤니케] "으로 C : \ Program Files \ Microsoft Office입니다 커뮤니케 \ Communicator.exe"(사용자 '기본 사용자')
O8 - 엑스트라 컨텍스트 메뉴 항목 : 전자 & Microsoft Excel로 xport - 입술 : / /에 C : \ PROGRA ~ 1 \ MICROS ~ 2 \ Office11 \ EXCEL.EXE/3000
O9 - 추가 버튼 : 리서치 - (92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263) -에 C : \ PROGRA ~ 1 \ MICROS ~ 2 \ Office11 \ REFIEBAR.DLL
O9 - 추가 버튼 : @ C : \ Program Files \ Messenger입니다 \ Msgslang.dll, -61144 - (FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683) -에 C : \ Program Files \ Messenger입니다 \ Msmsgs.exe
O9 - 엑스트라 '도구'메뉴 : @ C : \ Program Files \ Messenger입니다 \ Msgslang.dll, -61144 - (FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683) -에 C : \ Program Files \ Messenger입니다 \ Msmsgs.exe
O16 - DPF : (215B8138 - A3CF - 44c5 - 803F - 8226143CFC0A) (트렌드 마이크로 스캔 에이전트 액티브 X 6.6) - http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O17 - HKLM에 \ 시스템 \ CCS \ 서비스 \ Tcpip \ .. \ (B8E7B489 - 2160년 - 4DE7 - B592 - 9FD03D16CC74) : 도메인 = keane.com
O23 - 서비스 : Lavasoft Ad - Aware는 서비스 (aawservice) - Lavasoft -에 C : \ 프로그램 파일 \ Lavasoft \ Ad - Aware는 \ aawservice.exe
O23 - 서비스 : 애플 리케이션 관리 서비스 (AppMgSvc) - 알 수없는 소유자 -에 C : \ Program.exe (실종) 파일
O23 - 서비스 : BHCP 서비스 (BHsrv) - 알 수없는 소유자 -에 C : \ Program.exe (실종) 파일
O23 - 서비스 : 시만텍 이벤트 관리자 (ccEvtMgr) - 시만텍 주식 회사 -에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ ccEvtMgr.exe
O23 - 서비스 : 시만텍 설정 관리자 (ccSetMgr) - 시만텍 주식 회사 -에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ ccSetMgr.exe
O23 - 서비스 : CentennialClientAgent - 센테니얼 소프트웨어 제한 -에 C : \ Centenn.ial \ 감사 \ CAgent32.exe
O23 - 서비스 : CentennialIPTransferAgent - 센테니얼 소프트웨어 제한 -에 C : \ Centenn.ial \ 감사 \ xferwan.exe
O23 - 서비스 : 클라이언트 업데이트 서비스는 노벨 (cusrvc) - 노벨, Inc. -에 C : \ 윈도우 \ system32를 \ cusrvc.exe
O23 - 서비스 : 시스코 시스템즈의 VPN 서비스 (CVPND) - 시스코 시스템즈 코리아 -에 C : \ 프로그램 파일 \ 시스코 VPN 클라이언트 \ cvpnd.exe
O23 - 서비스 : 시만텍 안티 바이러스 정의 Watcher (DefWatch) - 시만텍 주식 회사 -에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스 \ DefWatch.exe
O23 - 서비스 : 인텔 (R) PROSet을 / 무선 이벤트 로그 (EvtEng) - 인텔 코리아 -에 C : \ 프로그램 파일 \ 인텔 \ 무선 \ 빈 \ EvtEng.exe
O23 - 서비스 : 씽크패드 PM 서비스 (IBMPMSVC) - 레노버 -에 C : \ 윈도우 \ system32를 \ ibmpmsvc.exe
O23 - 서비스 : LiveUpdate를 - 시만텍 주식 회사 -에 C : \ PROGRA ~ 1 \ 시만텍 \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 - 서비스 : 인텔 (R) PROSet을 / 무선 레지스트리 서비스 (RegSrvc) - 인텔 코리아 -에 C : \ 프로그램 파일 \ 인텔 \ 무선 \ 빈 \ RegSrvc.exe
O23 - 서비스 : 인텔 (R) PROSet을 / 무선 서비스 (S24EventMonitor) - 인텔 코리아 -에 C : \ 프로그램 파일 \ 인텔 \ 무선 \ 빈 \ S24EvMon.exe
O23 - 서비스 : SAVRoam (SavRoam) - 시만텍 -에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스 \ SavRoam.exe
O23 - 서비스 : 시만텍 네트워크 드라이버 서비스 (SNDSrvc) - 시만텍 주식 회사 -에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ SNDSrvc.exe
O23 - 서비스 : 시만텍 SPBBCSvc (SPBBCSvc) - 시만텍 주식 회사 -에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ SPBBC \ SPBBCSvc.exe
O23 - 서비스 : 시스템 업데이트 (SUService) - 레노버 그룹 제한 -에 c : \ 프로그램 파일 \ 레노버 \ 시스템 업데이 트를 \ suservice.exe
O23 - 서비스 : 시만텍 안티 바이러스 - 시만텍 주식 회사 -에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스 \ Rtvscan.exe
O23 - 서비스 :있는 ThinkVantage 레지스트리 모니터링 서비스 - 레노버 그룹 제한 -에 C : \는 Program Files \ Common 파일 \ 레노버 \ tvt_reg_monitor_svc.exe
O23 - 서비스 : 씽크패드 HDD를 APS 로깅 서비스 (TPHDEXLGSVC) - 레노버. -에 C : \ 윈도우 \ System32 \ TPHDEXLG.exe
O23 - 서비스 : TVT 스케줄러 - 레노버 그룹 제한 -에 C : \는 Program Files \ Common 파일 \ 레노버 \ 스케줄러 \ tvtsched.exe
O23 - 서비스 : 시만텍 LiveState 요원 Windows 용 (WControl) - 시만텍 주식 회사 -에 c : \ _integra \ 빈 \ ccmagent.exe
-
파일의 끝 - 8621 바이트

[evilfantasy]

다운로드 Malwarebytes '안티 - 멀웨어 (MBAM)

• 더블 - 클릭합니다 mbam - setup.exe를 프로그램을 설치하라는 메시지를 따르십시오.
• 마지막에는 반드시 체크 다음 옆에 위치합니다 :
  • 업데이트 Malwarebytes '안티 - 멀웨어
  • 발사 Malwarebytes '안티 - 멀웨어
• 그런 다음 마침.
• 업데이 트를 찾을 수있다면, 그것을 다운로드하여 최신 버전을 설치합니다.
• 일단 프로그램이 로드된 선택 빠른 스캔을 수행할를 클릭한 다음 스캔.
• 언제 누릅니다 스캔이 완료되면 확인다음, 결과보기 결과를 볼 수있습니다.
• 그 모든 선택되어 있는지 확인을 클릭합니다 선택한 항목 제거.
• 살균이 완료되면, 로그 메모장에서 열립니다 당신이 다시 시작하라는 메시지가있을 수있습니다. (엑스트라) 참고보기
• 로그 MBAM에 의해 자동으로 저장되고 MBAM에서 로그 탭을 클릭하면 볼 수있습니다.
• 다음 회신에 복사 및 붙여넣기 전체를보고합니다.

추가 참고 사항 : MBAM 제거하기 어렵다면, 그 파일이 발견, 당신과 함께 수여됩니다 1월 2일을 클릭하거나 확인을 요청하는 경우에는 컴퓨터를 다시 시작해야 MBAM the 살균 과정을 함께 진행하게 묻습니다, 제발 그렇게 즉시.

[nitingaur]

악성 코드를 발견 아니, 여기가보고있다
-------------------------------------------------- ----
윈도우 2600년 1월 5일 서비스 팩 2
2008년 9월 21일 오후 6시 16분 7초
mbam - 로그 - 2008 - 09 - 21 (18-16-07)를. txt
스캔 유형 : 빠른 스캔
객체 스캔 : 52621
경과 시간 : 4 분 (들), 41 (두 번째)
메모리 프로세스 감염된 : 0
메모리 모듈 감염된 : 0
레지스트리 키 감염된 : 0
레지스트리 값 감염된 : 0
레지스트리 데이터 항목 감염된 : 0
폴더 감염된 : 0
파일 감염된 : 0
메모리 프로세스 감염된 :
(아니 악의 상품을 감지)
메모리 모듈 감염된 :
(아니 악의 상품을 감지)
레지스트리 키 감염된 :
(아니 악의 상품을 감지)
레지스트리 값 감염된 :
(아니 악의 상품을 감지)
레지스트리 데이터 항목 감염된 :
(아니 악의 상품을 감지)
폴더 감염된 :
(아니 악의 상품을 감지)
감염된 파일 :
(아니 악의 상품을 감지)

[evilfantasy]

거기도 로그에없는 악성 코드를 보이고있다.

정확히 무슨 일이 일어나는가?

[nitingaur]

여러 IEXPLORER.EXE 프로세스 프로세스 목록에서 spwaning있다. 만약 내가 그들을 하나 하나를 죽이고 그들은 즉시 팝업. 가끔 난 그 모든 브라우저 창을 실행도하지만 보이는의 같은 소리를 들었어요. 확실히 그들은 존재하지 잘못입니다.

[evilfantasy]

다운로드하여 하나의 링크는 아래에서 ComboFix 잠수정. 가기 수 있는지에 저장 데스크톱.

링크 # 1
링크 # 2

** 참고 : 그것은 그것을 직접 바탕 화면에 저장하는 것이 중요합니다

열려있는 웹 브라우저를 닫습니다. (파이어 폭스, 인터넷 익스플로러 등)를 시작하기 전에 ComboFix.

일시적으로 사용 안 함 당신의 바이러스 백신, 그리고 어떤 스파이웨어 방지 실시간 보호 이전 검사를 수행합니다. 클릭 이 링크를 보안 프로그램의 사용 중지해야 그들을 해제하는 방법 목록을 볼 수있습니다.

더블 클릭 combofix.exe 및 지침을 따르십시오.
당신을 위해 로그인할 때 ComboFix 생산할 예정이다 마쳤다.
포스트 ComboFix 로그 그리고 새로운 HijackThis 로그 다음 회신합니다.

중요 사항 : 실행되는 동안 ComboFix의 창 mouseclick하지 마십시오. 그게 마구간에 발생할 수있습니다.

다시 기억 - 귀하의 안티 바이러스 및 안티 스파이웨어 보호 기능을 활성화하면 ComboFix 완료됩니다.

[nitingaur]

로그인 ComboFix
-----------------------
ComboFix 08-09-20.05 - 012466 2008년 9월 21일 19:31:50.1 - NTFSx86
Microsoft Windows XP Professional을 5.1.2600.2.1252.1.1033.18.473 [그리니치 표준시 -7:00]
에서 러닝 :에서 C : \ Keanetools \ ComboFix.exe
* 새 복원 지점 만든날짜
경고 -이 기계는하지 않을 경우 복구 콘솔을 설치한!!
.
((((((((((((((((((((((((((((((((((((((( 기타 삭제 ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
에 C : \ Documents 및 Settings \ LocalService를 \ 쿠키 \ 어 system@ad.yieldmanag [1]. txt로
에 C : \ 윈도우 \ system32를 \의 x64
.
((((((((((((((((((((((((((((((((((((((( 드라이버 / 서비스 )))))))) )))))))))))))))))))))))))))))))))))))))))
.
------- \ Legacy_BHSRV
------- \ Service_BHsrv

((((((((((((((((((((((((( 파일 2008년 8월 22일에 2008년 9월 22일 )))))))))))에서 생성된 ))))))))))))))))))))
.
2008년 9월 21일 18:09. 2008년 9월 21일 18:10 <DIR> d 개의 --------에 C : \ 프로그램 파일 \ Malwarebytes '안티 - 멀웨어
2008년 9월 21일 18:09. 2008년 9월 21일 18:09 <DIR> d 개의 --------에 C : \ 문서 및 설정 \ 모든 사용자 \ 응용 프로그램 데이터 \ Malwarebytes
2008년 9월 21일 18:09. 2008년 9월 21일 18:09 <DIR> d 개의 --------에 C : \ Documents 및 Settings \012,466 \ 응용 프로그램 데이터 \ Malwarebytes
2008년 9월 21일 18:09. 2008년 9월 10일 00:04 38,528 - ------에서 C : \ 윈도우 \ system32 \ drivers를 \ mbamswissarmy.sys
2008년 9월 21일 18:09. 2008년 9월 10일 00:03 17,200 - ------에서 C : \ 윈도우 \ system32 \ drivers를 \ mbam.sys
2008년 9월 21일 11:07. 2008년 9월 21일 11:07 <DIR> d 개의 --------에 C : \ 프로그램 파일 \ Lavasoft
2008년 9월 21일 11:07. 2008년 9월 21일 11:08 <DIR> d 개의 --------에 C : \ 문서 및 설정 \ 모든 사용자 \ 응용 프로그램 데이터 \ Lavasoft
2008년 9월 21일 11:06. 2008년 9월 21일 11:06 <DIR> d 개의 --------에 C : \는 Program Files \ Common 파일 \ 외이즈 설치 마법사
2008년 9월 20일 23:40. 2008년 9월 20일 23:40 <DIR> d 개의 --------에 C : \ 프로그램 파일 \ 트렌드 마이크로
2008년 9월 19일 09:03. 2008년 9월 19일 09:08 <DIR> d 개의 --------에 C : \ 윈도우 \ SxsCaPendDel
2008년 9월 19일 00:49. 2008년 9월 19일 00:52 <DIR> d 개의 --------에 C : \ Documents 및 Settings \012,466 \. housecall6.6
2008년 9월 19일 00:27. 2008년 9월 19일 09:04 <DIR> 다 ------에서 C : \ 문서 및 설정 \ 모든 사용자 \ 응용 프로그램 데이터 \ 온도
2008년 9월 18일 20:25. 2002년 2월 4일 06:22 1230336 - ------에서 C : \ 윈도우 \ system32를 \의 Msxml4.dll
2008년 9월 18일 20:25. 2007년 9월 14일 05:01 922,920 ---------에서 C : \ 윈도우 \ system32를 \ ahlprun.exe
2008년 9월 18일 20:25. 2002년 2월 4일 06:13 82,432 - ------에서 C : \ 윈도우 \ system32를 \ Msxml4r.dll
2008년 9월 18일 20:25. 2002년 2월 4일 06:13 44,544 - ------에서 C : \ 윈도우 \ system32를 \ Msxml4a.dll
2008년 9월 18일 20:25. 2002년 2월 7일 18:43 9679 - ------에서 C : \ 윈도우 \ system32를 \ msxml4r.cat
2008년 9월 18일 20:25. 2002년 2월 7일 18:43 9675 - ------에서 C : \ 윈도우 \ system32를 \ msxml4.cat
2008년 9월 18일 20:25. 2002년 2월 6일 20:31 3489 - ------에서 C : \ 윈도우 \ system32를 \ msxml4.Manifest
2008년 9월 18일 20:25. 2002년 2월 6일 20:31 500 - ------에서 C : \ 윈도우 \ system32를 \ msxml4r.Manifest
2008년 9월 18일 20:21. 2008년 9월 18일 20:21 <DIR> d 개의 --------에 C : \는 Program Files \ Common 파일 \ 레노버
2008년 9월 18일 18:27. 2008년 9월 21일 11:54 21,272 - ------에서 C : \ 윈도우 \ system32를 \ bynpea.key
2008년 9월 18일 18:25. 2008년 9월 18일 18:25 1 - ------에서 C : \ 윈도우 \ system32에 \004fdb9.imi
2008년 9월 15일 14:23. 2008년 9월 15일 14:23 332,800 --- 버렸습니다 ----에 C : \ 윈도우 \ system32를 \ _Bhsrv.msi
2008년 9월 15일 12:15. 2008년 9월 18일 15:57 69,942 - ------에서 C : \ 윈도우 \ system32를 \ rrjack.key
2008년 9월 15일 12:15. 2008년 9월 15일 12:15 1 - ------에서 C : \ 윈도우 \ system32에 \0048444.imi
2008년 9월 13일 19:27. 2008년 9월 13일 19:27 24 - ------에서 C : \ 윈도우 \ cdplayer.ini
2008년 9월 13일 19:26. 2008년 9월 13일 19:26 <DIR> d 개의 --------에 C : \ 프로그램 파일 \ 리얼
2008년 9월 13일 19:26. 2008년 9월 13일 19:26 <DIR> d 개의 --------에 C : \는 Program Files \ Common 파일 \ 공유 횡단길
2008년 9월 13일 19:26. 2008년 9월 13일 19:26 <DIR> d 개의 --------에 C : \는 Program Files \ Common 파일 \ 리얼
.
Find3M 신고 (((((((((((((((((((((((((((((((((((((((( )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008년 9월 22일 02:33 --------- d 개의 ----- 승에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스
2008년 9월 22일 02:33 --------- d 개의 ----- 승에 C : \ 프로그램 파일 \ 시스코 VPN 클라이언트
2008년 9월 21일 18:56 16 - 쉬 - 연구에서 C : \ MSCIOTL.SYS
18:55 8416 ---- 2008년 9월 21일 아에 C : \ 윈도우 \ system32 \ drivers를 \ CDProbe.SYS
2008년 9월 20일 19:26 430816 - 쉬 - 승에 C : \ 프로그램 파일 \ _MsInfo.msi
2008년 9월 19일 03:25 --------- d 개 - 반장님 - 승에 C : \ 프로그램 파일 \ InstallShield 설치 정보
2008년 9월 19일 03:25 --------- d 개의 ----- 승에 C : \ 프로그램 파일 \있는 ThinkVantage
2008년 9월 19일 03:21 --------- d 개의 ----- 승에 C : \ 프로그램 파일 \ 레노버
.
등록 (((((((((((((((((((((((((((((((((((((로드 포인트 )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* 참고 사항 * 빈 항목 & 합법 기본 항목이 표시되지 않습니다
REGEDIT4
[HKEY_CURRENT_USER \ 소프트웨어 \ 마이크로 소프트 \은 Windows \ Curre ntVersion \ 실행]
"Ctfmon.exe를"= "다음에 C : \ 윈도우 \ system32를 \ Ctfmon.exe를"[2004년 8월 4일 15360]
"야후! 호출기"= "다음에 C : \ 프로그램 파일 \ 야후! \ 메신저 \ YahooMessenger.exe"[2007년 8월 30일 4670704]
[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \은 Windows \ 커 entVersion \ 실행]
"IgfxTray"= "다음에 C : \ 윈도우 \ system32를 \ igfxtray.exe"[2007년 8월 15일 141848]
"HotKeysCmds"= "다음에 C : \ 윈도우 \ system32를 \ hkcmd.exe"[2007년 8월 15일 162328]
"지속성"= "다음에 C : \ 윈도우 \ system32를 \ igfxpers.ex 전자"[2007년 8월 15일 137752]
"ccApp"= "다음에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ ccApp.exe"[2006년 3월 24일 53408]
"vptray"= "다음에 C : \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe"[2006년 6월 14일 124656]
"TPHOTKEY"= "다음에 C : \ 프로그램 파일 \ 레노버 \ 단축키 \ TPOSDSVC.exe"[2007년 3월 9일 66176]
"UpdateManager"= "다음에 C : \는 Program Files \ Common 파일 \ 소닉 \ 업데이트 관리자 \ sgtray.exe"[2003년 8월 18일 110592]
"국방 정보국"= "다음에 C : \ 윈도우 \ system32를 \ 국방 정보국 \ tfswctrl.exe"[2005년 5월 19일 127037]
"EZEJMNAP"= "다음에 C : \ PROGRA ~ 1 \ 씽크패드 \ UTILIT ~ 1 \ EzEjMnAp이. exe"[2007-05-31 243248]
"LPManager"= "다음에 C : \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe"[2007년 3월 22일 120368]
"TVT 스케줄러 프록시"= "다음에 C : \는 Program Files \ Common 파일 \ 레노버 \ 스케줄러 \ scheduler_proxy.exe"[2008년 3월 4일 487424]
"TkBellExe"= "다음에 C : \는 Program Files \ Common 파일 \ 리얼 \ Update_OB \ realsched.exe"[2008년 9월 13일 185896]
"TrackPointSrv"= "tp4mon.exe"[2004년 8월 3일에 C : \ 윈도우 \ system32를 \ tp4mon.exe]
"NWTRAY"= "NWTRAY.EXE"[2002년 3월 12일에 C : \ 윈도우 \ system32를 \ nwtray.exe]
"TpShocks"= "TpShocks.exe"[2007년 3월 29일에 C : \ 윈도우 \ system32를 \ TpShocks.exe]
[HKEY_USERS \. 기본적 \ 소프트웨어 \ 마이크로 소프트 \은 Windows \ Cur rentVersion \ 실행]
"커뮤니케"= "다음으로 C : \ Program Files \ Microsoft Office입니다 커뮤니케 \ Communicator.exe"[2005년 5월 12일 4167376]
[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \은 Windows \ curr entversion \ 정책 \ 시스템]
"CompatibleRUPSecurity"= 1 (0x1로)
[HKEY_USERS \. 기본 \ 소프트웨어 \ 마이크로 소프트 \은 Windows \ 현재 rentversion \ 정책 \ 탐험가]
"StartMenuLogOff"= 1 (0x1로)
[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \은 Windows NT \ currentversion \ Winlogon을 \ 통보 \ tpfnf2]
2006년 9월 6일 13:37 34344에 C : \ 프로그램 파일 \ 레노버 \ 단축키 \ notifyf2.dll
[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \은 Windows NT \ currentversion \ Winlogon을 \ 통보 \ tphotkey]
2006년 12월 14일 08:06 28672에 C : \ 프로그램 파일 \ 레노버 \ 단축키 \ tphklock.dll
[HKEY_LOCAL_MACHINE \ 시스템 \ currentcontrolset \ contro 난 \ LSA는]
인증 패키지 REG_MULTI_SZ msv1_0 nwv1_0
[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \ 보안 센터 \ 모니터링 \ SymantecAntiVirus]
"DisableMonitoring"= DWORD를 : 00000001
[경우 HKLM \ ~ \ 서비스를 \ SharedAccess를 \ 매개 변수 \ firewallpo licy \ standardprofile \ AuthorizedApplications \ 정가]
"이 % windir % \ \ system32를 \ \"= Sessmgr.exe
는 "C : \ \ 프로그램 파일 \ \ 야후! \ \ 메신저 \ \ YahooMessenger.exe"=
는 "C : \ \ 프로그램 파일 \ \ 야후! \ \ 메신저 \ \ YServer.exe"=
R0 Shockprf; Shockprf;에 C : \ 윈도우 \ system32를 \ 운전자 \ Apsx 86.sys [2007년 3월 2일 100656]
R0 TPDIGIMN; TPDIGIMN;에 C : \ 윈도우 \ system32를 \ 운전자 \ ApsH M86.sys [2007년 3월 2일 19760]
R2를 smefs; SMEFileSystem;에 C : \ 윈도우 \ system32 \ drivers를 \ 에스엠 efs.sys [2006년 2월 8일 20508]
R3 CdProbe; CdProbe;에 C : \ 윈도우 \ system32를 \ 운전자 \ cdprob e.sys [2008년 9월 21일 8416]
R3 smedrv; SMEDriver;에 C : \ 윈도우 \ system32 \ drivers를 \ smedr v.sys [2006년 2월 8일 9516]
S2는 AppMgSvc; 애플 리케이션 관리 서비스;에 C : \는 Program Files \ Common 파일 \ Microsoft 공유 \ MSINFO \ MsInfo.msi [2008년 9월 20일 430816]
S2는 yraebbgi; yraebbgi;에 C : \ 윈도우 \ system32 \ drivers를 \ bynp ea.sys []
S2는 yrtxzgwh; yrtxzgwh;에 C : \ 윈도우 \ system32 \ drivers를 \ rrja ck.sys []
[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \은 Windows NT \ currentversion \의 Svchost]
REG_MULTI_SZ wrtxzg wrtxzg
REG_MULTI_SZ nraebb nraebb
.
.
보충 스캔 ------- -------
.
R0 - : HKCU - 대문, 시작 페이지 = hxxp : / / www.google.com/
O8 - : 전자 & Microsoft Excel로 xport -에 C : \ PROGRA ~ 1 \ MICROS ~ 2 \ Office11 \ EXCEL.EXE/3000
.
************************************************** ************************
catchme 0.3.1361 W2K/XP/Vista - 루트킷 / 스텔스 맬웨어 감지기 Gmer에 의해, http://www.gmer.net
루트킷 스캔 2008년 9월 21일 19시 35분 12초
윈도우 서비스 팩 2를 NTFS 2600년 1월 5일
숨겨진 프로세스를 스캔 ...
숨겨진 자동 항목 스캔 ...
숨겨진 파일을 스캔 ...
스캔이 성공적으로 완료
숨겨진 파일 : 0
************************************************** ************************
[HKEY_LOCAL_MACHINE \ 시스템 \ ControlSet001 \ 서비스 \ 한 ppMgSvc]
"ImagePath를"= "다음에 C : \는 Program Files \ Common 파일 \ Microsoft 공유 \ MSINFO \ MsInfo.msi"
.
--------------------- 러닝 프로세스에서 DLL을 로드됨 ---------------------
과정 :에서 C : \ 윈도우 \ system32를 \의 Winlogon.exe
->에서 C : \ 프로그램 파일 \ 레노버 \ 단축키 \ tphklock.dll
.
------------------------ 기타 러닝 프로세스 ----------------------- -
.
에 C : \ 윈도우 \ system32를 \ ibmpmsvc.exe
에 C : \ 프로그램 파일 \ 인텔 \ 무선 \ 빈 \ S24EvMon.exe
에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ ccSetMgr.exe
에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ ccEvtMgr.exe
에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ SPBBC \ SPBBCSvc.exe
에 C : \ 프로그램 파일 \ Lavasoft \ Ad - Aware는 \ aawservice.exe
에 C : \ _integra \ 빈 \ shstart.exe
에 C : \ 윈도우 \ system32를 \ igfxsrvc.exe
에 C : \ 프로그램 파일 \ 레노버 \ 단축키 \ TPONSCR.exe
에 C : \ 프로그램 파일 \ 레노버 \ 자막 \ TpScrex.exe
에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스 \ DoScan.exe
에 C : \ 프로그램 파일 \의 Internet Explorer \ IEXPLORE.EXE
에 C : \ CENTENN.IAL \ AUDIT \ CAgent32.exe
에 C : \ CENTENN.IAL \ AUDIT \ xferwan.exe
에 C : \ 프로그램 파일 \ 시스코 VPN 클라이언트 \ cvpnd.exe
에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스 \ DefWatch.exe
에 C : \ 프로그램 파일 \ 인텔 \ 무선 \ 빈 \ EvtEng.exe
에 C : \는 Program Files \ Common 파일 \ Microsoft 공유 \ VS7DEBUG \ Mdm.exe를
에 C : \ 프로그램 파일 \ 인텔 \ 무선 \ 빈 \ RegSrvc.exe
에 C : \ 프로그램 파일 \ 야후! \ 메신저 \ Ymsgr_tray.exe
에 C : \ 윈도우 \ system32를 \ Calc.exe
에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스 \ SavRoam.exe
에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스 \ Rtvscan.exe
에 C : \는 Program Files \ Common 파일 \ 레노버 \ tvt_reg_monitor_svc.exe
에 C : \ 윈도우 \ system32를 \ TPHDEXLG.exe
에 C : \는 Program Files \ Common 파일 \ 레노버 \ 스케줄러 \ tvtsched.exe
에 C : \ _integra \ 빈 \ ccmagent.exe
에 C : \ 프로그램 파일 \ 레노버 \ 시스템 업데이트 \ SUService.exe
에 C : \ 윈도우 \ system32를 \ wscntfy.exe
에 C : \ ComboFix \ pv.cfexe
.
************************************************** ************************
.
완료 시간 : 2008년 9월 21일 19시 36분 58초 - 기계를 다시 부팅했다
ComboFix - 격리 - files.txt 2008년 9월 22일 2시 36분 54초
일 Pre - 실행 : 64,333,811,712 바이트 무료
포스트 - 실행 : 64,523,264,000 바이트 무료
175





HijackThis 로그
-----------------------------------
트렌드 마이크로의 로그 파일은 HijackThis v2.0.2
스캔 오후 7시 38분 41초에서 2008년 9월 21일에 저장된
플래트홈 :는 Windows XP SP2 (WinNT 2600년 1월 5일)
MSIE : Internet Explorer를 v6.00 SP2를 (6.00.2900.2180)
부팅 모드 : 일반
실행중인 프로세스 :
에 C : \ 윈도우 \ System32 \ Smss.exe
에 C : \ 윈도우 \ system32를 \의 Winlogon.exe
에 C : \ 윈도우 \ system32를 \ Services.exe
에 C : \ 윈도우 \ system32를 \ Lsass.exe가
에 C : \ 윈도우 \ system32를 \ ibmpmsvc.exe
에 C : \ 윈도우 \ system32를 \ Svchost.exe는
에 C : \ 프로그램 파일 \ 인텔 \ 무선 \ 빈 \ S24EvMon.exe
에 C : \ 윈도우 \ system32를 \ Svchost.exe는
에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ ccSetMgr.exe
에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ ccEvtMgr.exe
에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ SPBBC \ SPBBCSvc.exe
에 C : \ 프로그램 파일 \ Lavasoft \ Ad - Aware는 \ aawservice.exe
에 C : \ 윈도우 \ system32를 \ Spoolsv.exe에서
에 c : \ _integra \ 빈 \ shstart.exe
에 C : \ 윈도우 \ system32를 \ tp4mon.exe
에 C : \ 윈도우 \ system32를 \ igfxtray.exe
에 C : \ 윈도우 \ system32를 \ hkcmd.exe
에 C : \ 윈도우 \ system32를 \ igfxpers.exe
에 C : \ 윈도우 \ system32를 \ NWTRAY.EXE
에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ ccApp.exe
에 C : \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
에 C : \ 윈도우 \ system32를 \ igfxsrvc.exe
에 C : \ 프로그램 파일 \ 레노버 \ 단축키 \ TPOSDSVC.exe
에 C : \ 윈도우 \ system32를 \ 국방 정보국 \ tfswctrl.exe
에 C : \ PROGRA ~ 1 \ 씽크패드 \ UTILIT ~ 1 \ EzEjMnAp.Exe
에 C : \ 프로그램 파일 \ 레노버 \ 단축키 \ TPONSCR.exe
에 C : \ 프로그램 파일 \ 레노버 \ 줌 \ TpScrex.exe
에 C : \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
에 C : \ 윈도우 \ system32를 \ TpShocks.exe
에 C : \는 Program Files \ Common 파일 \ 레노버 \ 스케줄러 \ scheduler_proxy.exe
에 C : \는 Program Files \ Common 파일 \ 리얼 \ Update_OB \ realsched.exe
에 C : \ 윈도우 \ system32를 \ Ctfmon.exe를
에 C : \ 프로그램 파일 \의 Internet Explorer \ IEXPLORE.EXE
에 C : \ 윈도우 \ system32를 \ Svchost.exe는
에 C : \ Centenn.ial \ 감사 \ CAgent32.exe
에 C : \ Centenn.ial \ 감사 \ xferwan.exe
에 C : \ 프로그램 파일 \ 시스코 VPN 클라이언트 \ cvpnd.exe
에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스 \ DefWatch.exe
에 C : \ 프로그램 파일 \ 인텔 \ 무선 \ 빈 \ EvtEng.exe
에 C : \는 Program Files \ Common 파일 \ Microsoft 공유 \ VS7DEBUG \ Mdm.exe를
에 C : \ 프로그램 파일 \ 인텔 \ 무선 \ 빈 \ RegSrvc.exe
에 C : \ 프로그램 파일 \ 야후! \ 메신저 \ ymsgr_tray.exe
에 C : \ 윈도우 \ system32를 \ Calc.exe
에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스 \ SavRoam.exe
에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스 \ Rtvscan.exe
에 C : \는 Program Files \ Common 파일 \ 레노버 \ tvt_reg_monitor_svc.exe
에 C : \ 윈도우 \ System32 \ TPHDEXLG.exe
에 C : \는 Program Files \ Common 파일 \ 레노버 \ 스케줄러 \ tvtsched.exe
에 c : \ _integra \ 빈 \ ccmagent.exe
에 c : \ 프로그램 파일 \ 레노버 \ 시스템 업데이 트를 \ suservice.exe
에 C : \ 윈도우 \ system32를 \ wscntfy.exe
에 C : \ 윈도우 \ system32를 \ Wuauclt.exe를
에 C : \ 윈도우 \ system32를 \ Wuauclt.exe를
에 C : \ 윈도우 \ Explorer.exe가
에 C : \ 프로그램 파일 \ 트렌드 마이크로 \ HijackThis를 \ HijackThis.exe
의 R1 - 경우 HKLM \ 소프트웨어 \ 마이크로 소프트 \ Internet Explorer를 \ 대문, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
의 R1 - 경우 HKLM \ 소프트웨어 \ 마이크로 소프트 \ Internet Explorer를 \ 대문, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
의 R1 - 경우 HKLM \ 소프트웨어 \ 마이크로 소프트 \ Internet Explorer를 \ 대문, 검색 페이지 = http://go.microsoft.com/fwlink/?LinkId=54896
O2는 - BHO를 : AcroIEHlprObj 클래스 - (06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3) -에 C : \ 프로그램 파일 \ 어도비 \ 애크로뱃 7.0 \ ActiveX를 \ AcroIEHelper.dll
O2는 - BHO를 : DriveLetterAccess - (5CA3D70E - 1895년 - 11CF - 8E15 - 001234567890) -에 C : \ 윈도우 \ system32를 \ 국방 정보국 \ tfswshx.dll
O4 - 경우 HKLM \ .. \ 실행 : [TrackPointSrv] tp4mon.exe
O4 - 경우 HKLM \ .. \ 실행 : [IgfxTray]에서 C : \ 윈도우 \ system32를 \ igfxtray.exe
O4 - 경우 HKLM \ .. \ 실행 : [HotKeysCmds]에서 C : \ 윈도우 \ system32를 \ hkcmd.exe
O4 - 경우 HKLM \ .. \ 실행 : [지속성]에 C : \ 윈도우 \ system32를 \ igfxpers.exe
O4 - 경우 HKLM \ .. \ 실행 : [NWTRAY] NWTRAY.EXE
O4 - 경우 HKLM \ .. \ 실행 : [ccApp]는 "C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ ccApp.exe"
O4 - 경우 HKLM \ .. \ 실행 : [vptray]에서 C : \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 - 경우 HKLM \ .. \ 실행 : [TPHOTKEY]에서 C : \ 프로그램 파일 \ 레노버 \ 단축키 \ TPOSDSVC.exe
O4 - 경우 HKLM \ .. \ 실행 : [UpdateManager]는 "C : \는 Program Files \ Common 파일 \ 소닉 \ 업데이트 관리자 \ sgtray.exe"/ r을
O4 - 경우 HKLM \ .. \ 실행 : [국방 정보국]에서 C : \ 윈도우 \ system32를 \ 국방 정보국 \ tfswctrl.exe
O4 - 경우 HKLM \ .. \ 실행 : [EZEJMNAP]에서 C : \ PROGRA ~ 1 \ 씽크패드 \ UTILIT ~ 1 \ EzEjMnAp.Exe
O4 - 경우 HKLM \ .. \ 실행 : [LPManager]에서 C : \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
O4 - 경우 HKLM \ .. \ 실행 : [TpShocks] TpShocks.exe
O4 - 경우 HKLM \ .. \ 실행 : [TVT 스케줄러 프록시]에서 C : \는 Program Files \ Common 파일 \ 레노버 \ 스케줄러 \ scheduler_proxy.exe
O4 - 경우 HKLM \ .. \ 실행 : [TkBellExe]는 "C : \는 Program Files \ Common 파일 \ 리얼 \ Update_OB \ realsched.exe"- osboot
O4 - HKCU \ .. \ 실행 : [Ctfmon.exe를]에서 C : \ 윈도우 \ system32를 \ Ctfmon.exe를
O4 - HKCU \ .. \ 실행 : [야후! 호출기]는 "C : \ 프로그램 파일 \ 야후! \ 메신저 \ YahooMessenger.exe"- 조용
O4 - HKUS \ 내로 S - 1 - 5 - 19 \ .. \ 실행 : [커뮤니케] "으로 C : \ Program Files \ Microsoft Office입니다 커뮤니케 \ Communicator.exe"(사용자 '로컬 서비스')
O4 - HKUS \ 내로 S - 1 - 5 - 20 \ .. \ 실행 : [커뮤니케] "으로 C : \ Program Files \ Microsoft Office입니다 커뮤니케 \ Communicator.exe"(사용자 'NETWORK SERVICE를')
O4 - HKUS \ 내로 S - 1 - 5 - 18 \ .. \ 실행 : [커뮤니케] "으로 C : \ Program Files \ Microsoft Office입니다 커뮤니케 \ Communicator.exe"(사용자 '시스템')
O4 - HKUS \. 기본적 \ .. \ 실행 : [커뮤니케] "으로 C : \ Program Files \ Microsoft Office입니다 커뮤니케 \ Communicator.exe"(사용자 '기본 사용자')
O8 - 엑스트라 컨텍스트 메뉴 항목 : 전자 & Microsoft Excel로 xport - 입술 : / /에 C : \ PROGRA ~ 1 \ MICROS ~ 2 \ Office11 \ EXCEL.EXE/3000
O9 - 추가 버튼 : 리서치 - (92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263) -에 C : \ PROGRA ~ 1 \ MICROS ~ 2 \ Office11 \ REFIEBAR.DLL
O9 - 추가 버튼 : @ C : \ Program Files \ Messenger입니다 \ Msgslang.dll, -61144 - (FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683) -에 C : \ Program Files \ Messenger입니다 \ Msmsgs.exe
O9 - 엑스트라 '도구'메뉴 : @ C : \ Program Files \ Messenger입니다 \ Msgslang.dll, -61144 - (FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683) -에 C : \ Program Files \ Messenger입니다 \ Msmsgs.exe
O16 - DPF : (215B8138 - A3CF - 44c5 - 803F - 8226143CFC0A) (트렌드 마이크로 스캔 에이전트 액티브 X 6.6) - http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O17 - HKLM에 \ 시스템 \ CCS \ 서비스 \ Tcpip \ .. \ (B8E7B489 - 2160년 - 4DE7 - B592 - 9FD03D16CC74) : 도메인 = keane.com
O17 - HKLM에 \ 시스템 \ CCS \ 서비스 \ Tcpip \ .. \ (D239A412 - 22C2 - 4683 - 95BC - 1FFAA687D0DF) : NameServer = 172.21.18.101,172.21.18.102
O23 - 서비스 : Lavasoft Ad - Aware는 서비스 (aawservice) - Lavasoft -에 C : \ 프로그램 파일 \ Lavasoft \ Ad - Aware는 \ aawservice.exe
O23 - 서비스 : 애플 리케이션 관리 서비스 (AppMgSvc) - 알 수없는 소유자 -에 C : \ Program.exe (실종) 파일
O23 - 서비스 : 시만텍 이벤트 관리자 (ccEvtMgr) - 시만텍 주식 회사 -에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ ccEvtMgr.exe
O23 - 서비스 : 시만텍 설정 관리자 (ccSetMgr) - 시만텍 주식 회사 -에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ ccSetMgr.exe
O23 - 서비스 : CentennialClientAgent - 센테니얼 소프트웨어 제한 -에 C : \ Centenn.ial \ 감사 \ CAgent32.exe
O23 - 서비스 : CentennialIPTransferAgent - 센테니얼 소프트웨어 제한 -에 C : \ Centenn.ial \ 감사 \ xferwan.exe
O23 - 서비스 : 클라이언트 업데이트 서비스는 노벨 (cusrvc) - 노벨, Inc. -에 C : \ 윈도우 \ system32를 \ cusrvc.exe
O23 - 서비스 : 시스코 시스템즈의 VPN 서비스 (CVPND) - 시스코 시스템즈 코리아 -에 C : \ 프로그램 파일 \ 시스코 VPN 클라이언트 \ cvpnd.exe
O23 - 서비스 : 시만텍 안티 바이러스 정의 Watcher (DefWatch) - 시만텍 주식 회사 -에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스 \ DefWatch.exe
O23 - 서비스 : 인텔 (R) PROSet을 / 무선 이벤트 로그 (EvtEng) - 인텔 코리아 -에 C : \ 프로그램 파일 \ 인텔 \ 무선 \ 빈 \ EvtEng.exe
O23 - 서비스 : 씽크패드 PM 서비스 (IBMPMSVC) - 레노버 -에 C : \ 윈도우 \ system32를 \ ibmpmsvc.exe
O23 - 서비스 : LiveUpdate를 - 시만텍 주식 회사 -에 C : \ PROGRA ~ 1 \ 시만텍 \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 - 서비스 : 인텔 (R) PROSet을 / 무선 레지스트리 서비스 (RegSrvc) - 인텔 코리아 -에 C : \ 프로그램 파일 \ 인텔 \ 무선 \ 빈 \ RegSrvc.exe
O23 - 서비스 : 인텔 (R) PROSet을 / 무선 서비스 (S24EventMonitor) - 인텔 코리아 -에 C : \ 프로그램 파일 \ 인텔 \ 무선 \ 빈 \ S24EvMon.exe
O23 - 서비스 : SAVRoam (SavRoam) - 시만텍 -에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스 \ SavRoam.exe
O23 - 서비스 : 시만텍 네트워크 드라이버 서비스 (SNDSrvc) - 시만텍 주식 회사 -에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ SNDSrvc.exe
O23 - 서비스 : 시만텍 SPBBCSvc (SPBBCSvc) - 시만텍 주식 회사 -에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ SPBBC \ SPBBCSvc.exe
O23 - 서비스 : 시스템 업데이트 (SUService) - 레노버 그룹 제한 -에 c : \ 프로그램 파일 \ 레노버 \ 시스템 업데이 트를 \ suservice.exe
O23 - 서비스 : 시만텍 안티 바이러스 - 시만텍 주식 회사 -에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스 \ Rtvscan.exe
O23 - 서비스 :있는 ThinkVantage 레지스트리 모니터링 서비스 - 레노버 그룹 제한 -에 C : \는 Program Files \ Common 파일 \ 레노버 \ tvt_reg_monitor_svc.exe
O23 - 서비스 : 씽크패드 HDD를 APS 로깅 서비스 (TPHDEXLGSVC) - 레노버. -에 C : \ 윈도우 \ System32 \ TPHDEXLG.exe
O23 - 서비스 : TVT 스케줄러 - 레노버 그룹 제한 -에 C : \는 Program Files \ Common 파일 \ 레노버 \ 스케줄러 \ tvtsched.exe
O23 - 서비스 : 시만텍 LiveState 요원 Windows 용 (WControl) - 시만텍 주식 회사 -에 c : \ _integra \ 빈 \ ccmagent.exe
-
파일의 끝 - 8,581 바이트

[evilfantasy]

참고 : 아래의 지침이 사용자를 위해 특별히 만들어졌다. 만약 당신이 사용자가없습니다 하지 마십시오 그들이 당신의 시스템의 동작이 방향에 따라 손상을 유발할 수

이러한 파일을 삭제 / 폴더는 다음과 같습니다 :

1. 로 이동 시작 > 달리다 > 타입 Notepad.exe가 클릭 확인 메모장을 엽니다.
그것 해야한다 메모장, 워드 패드 없다.
2. 코드 상자에 아래와 압박을 강조하여 모든 텍스트의 텍스트를 복사 을 Ctrl + C를

코드 :

killall : : 드라이버 : : BHSRV BHsrv 파일 : :에서 C : \ 윈도우 \ system32를 \ bynpea.key에서 C : \ 윈도우 \ system32를 \ 004fdb9.imi에서 C : \ 윈도우 \ system32를 \ _Bhsrv.msi에서 C : \ 윈도우 \ system32를 \ rrjack. 열쇠에 C : \ 윈도우 \ system32를 \ 0048444.imi에 C : \ 윈도우 \ system32 \ drivers를 \ bynpea.sys에 C : \ 윈도우 \ system32 \ drivers를 \ rrjack.sys에 C : \ 윈도우 \ system32를 \ Calc.exe

3. 메모장 창을 클릭으로 이동 편집 > 붙여넣기
4. 그런 다음 파일 > 저장
5. 파일 이름 CFScript.txt - 귀하의 데스크탑에 파일을 저장
6. 그럼 드래그 CFScript 반면 파일을 드래그 () 왼쪽 마우스 버튼을 길게하고 (왼쪽 마우스 버튼을 놓아 드롭) ComboFix.exe로 아래의 스크린샷을 참조하십시오. 중요 사항 : 이 명령을 수행 조심스럽게!



ComboFix를 실행하기 위해, 그냥하라는 메시지를 수행하기 시작합니다.
재부팅 후 (재부 팅을 묻는 경우에), 당신에 대한 로그를 생산할 예정이다.
포스트는 (Combofix.txt) 다음 회신에 로그인하세요.

참고 : 실행되는 동안 ComboFix의 창 mouseclick하지 마십시오. 그건 동결하는 시스템을 일으킬 수있습니다

[nitingaur]

CFSCript를 실행한 후 로그 ComboFix
-------------------------------------------------- --------
ComboFix 08-09-20.05 - 012466 2008년 9월 21일 22:11:45.2 - NTFSx86
Microsoft Windows XP Professional을 5.1.2600.2.1252.1.1033.18.598 [그리니치 표준시 -7:00]
에서 러닝 :에서 C : \ Keanetools \ ComboFix.exe
명령을 사용하여 스위치 : :에서 C : \ Documents 및 Settings \012,466 \ 바탕 화면 \ CFScript.txt
* 새 복원 지점 만든날짜
경고 -이 기계는하지 않을 경우 복구 콘솔을 설치한!!
이미지 : :
에 C : \ 윈도우 \ system32를 \ _Bhsrv.msi
에 C : \ 윈도우 \ system32에 \0048444.imi
에 C : \ 윈도우 \ system32에 \004fdb9.imi
에 C : \ 윈도우 \ system32를 \ bynpea.key
에 C : \ 윈도우 \ system32를 \ Calc.exe
에 C : \ 윈도우 \ system32 \ drivers를 \ bynpea.sys
에 C : \ 윈도우 \ system32 \ drivers를 \ rrjack.sys
에 C : \ 윈도우 \ system32를 \ rrjack.key
.
((((((((((((((((((((((((((((((((((((((( 기타 삭제 ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
에 C : \ 윈도우 \ system32를 \ _Bhsrv.msi
에 C : \ 윈도우 \ system32에 \0048444.imi
에 C : \ 윈도우 \ system32에 \004fdb9.imi
에 C : \ 윈도우 \ system32를 \ bynpea.key
에 C : \ 윈도우 \ system32를 \ Calc.exe
에 C : \ 윈도우 \ system32를 \ rrjack.key
.
((((((((((((((((((((((((( 파일 2008년 8월 22일에 2008년 9월 22일 )))))))))))에서 생성된 ))))))))))))))))))))
.
2008년 9월 21일 18:09. 2008년 9월 21일 18:10 <DIR> d 개의 --------에 C : \ 프로그램 파일 \ Malwarebytes '안티 - 멀웨어
2008년 9월 21일 18:09. 2008년 9월 21일 18:09 <DIR> d 개의 --------에 C : \ 문서 및 설정 \ 모든 사용자 \ 응용 프로그램 데이터 \ Malwarebytes
2008년 9월 21일 18:09. 2008년 9월 21일 18:09 <DIR> d 개의 --------에 C : \ Documents 및 Settings \012,466 \ 응용 프로그램 데이터 \ Malwarebytes
2008년 9월 21일 18:09. 2008년 9월 10일 00:04 38,528 - ------에서 C : \ 윈도우 \ system32 \ drivers를 \ mbamswissarmy.sys
2008년 9월 21일 18:09. 2008년 9월 10일 00:03 17,200 - ------에서 C : \ 윈도우 \ system32 \ drivers를 \ mbam.sys
2008년 9월 21일 11:07. 2008년 9월 21일 11:07 <DIR> d 개의 --------에 C : \ 프로그램 파일 \ Lavasoft
2008년 9월 21일 11:07. 2008년 9월 21일 11:08 <DIR> d 개의 --------에 C : \ 문서 및 설정 \ 모든 사용자 \ 응용 프로그램 데이터 \ Lavasoft
2008년 9월 21일 11:06. 2008년 9월 21일 11:06 <DIR> d 개의 --------에 C : \는 Program Files \ Common 파일 \ 외이즈 설치 마법사
2008년 9월 20일 23:40. 2008년 9월 20일 23:40 <DIR> d 개의 --------에 C : \ 프로그램 파일 \ 트렌드 마이크로
2008년 9월 19일 09:03. 2008년 9월 19일 09:08 <DIR> d 개의 --------에 C : \ 윈도우 \ SxsCaPendDel
2008년 9월 19일 00:49. 2008년 9월 19일 00:52 <DIR> d 개의 --------에 C : \ Documents 및 Settings \012,466 \. housecall6.6
2008년 9월 19일 00:27. 2008년 9월 19일 09:04 <DIR> 다 ------에서 C : \ 문서 및 설정 \ 모든 사용자 \ 응용 프로그램 데이터 \ 온도
2008년 9월 18일 20:25. 2002년 2월 4일 06:22 1230336 - ------에서 C : \ 윈도우 \ system32를 \의 Msxml4.dll
2008년 9월 18일 20:25. 2007년 9월 14일 05:01 922,920 ---------에서 C : \ 윈도우 \ system32를 \ ahlprun.exe
2008년 9월 18일 20:25. 2002년 2월 4일 06:13 82,432 - ------에서 C : \ 윈도우 \ system32를 \ Msxml4r.dll
2008년 9월 18일 20:25. 2002년 2월 4일 06:13 44,544 - ------에서 C : \ 윈도우 \ system32를 \ Msxml4a.dll
2008년 9월 18일 20:25. 2002년 2월 7일 18:43 9679 - ------에서 C : \ 윈도우 \ system32를 \ msxml4r.cat
2008년 9월 18일 20:25. 2002년 2월 7일 18:43 9675 - ------에서 C : \ 윈도우 \ system32를 \ msxml4.cat
2008년 9월 18일 20:25. 2002년 2월 6일 20:31 3489 - ------에서 C : \ 윈도우 \ system32를 \ msxml4.Manifest
2008년 9월 18일 20:25. 2002년 2월 6일 20:31 500 - ------에서 C : \ 윈도우 \ system32를 \ msxml4r.Manifest
2008년 9월 18일 20:21. 2008년 9월 18일 20:21 <DIR> d 개의 --------에 C : \는 Program Files \ Common 파일 \ 레노버
2008년 9월 13일 19:27. 2008년 9월 13일 19:27 24 - ------에서 C : \ 윈도우 \ cdplayer.ini
2008년 9월 13일 19:26. 2008년 9월 13일 19:26 <DIR> d 개의 --------에 C : \ 프로그램 파일 \ 리얼
2008년 9월 13일 19:26. 2008년 9월 13일 19:26 <DIR> d 개의 --------에 C : \는 Program Files \ Common 파일 \ 공유 횡단길
2008년 9월 13일 19:26. 2008년 9월 13일 19:26 <DIR> d 개의 --------에 C : \는 Program Files \ Common 파일 \ 리얼
.
Find3M 신고 (((((((((((((((((((((((((((((((((((((((( )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
05:14 8416 ---- 2008년 9월 22일 아에 C : \ 윈도우 \ system32 \ drivers를 \ CDProbe.SYS
2008년 9월 22일 05:14 16 - 쉬 - 연구에서 C : \ MSCIOTL.SYS
2008년 9월 22일 05:14 --------- d 개의 ----- 승에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스
2008년 9월 22일 03:07 --------- d 개의 ----- 승에 C : \ 프로그램 파일 \ 시스코 VPN 클라이언트
2008년 9월 20일 19:26 430816 - 쉬 - 승에 C : \ 프로그램 파일 \ _MsInfo.msi
2008년 9월 19일 03:25 --------- d 개 - 반장님 - 승에 C : \ 프로그램 파일 \ InstallShield 설치 정보
2008년 9월 19일 03:25 --------- d 개의 ----- 승에 C : \ 프로그램 파일 \있는 ThinkVantage
2008년 9월 19일 03:21 --------- d 개의 ----- 승에 C : \ 프로그램 파일 \ 레노버
.
((((((((((((((((((((((((((((( snapshot@2008-09-21_19.36.38.64 )))))))))) )))))))))))))))))))))))))))))))
.
- 2008년 9월 21일 18시 59분 45초 71370 ---- 아에 C : \ 윈도우 \ system32를 \ Perfc009.dat
+ 2008년 9월 22일 2시 39분 43초 71370 ---- 아에 C : \ 윈도우 \ system32를 \ Perfc009.dat
- 2008년 9월 21일 18시 59분 45초 439832 ---- 아에 C : \ 윈도우 \ system32를 \ Perfh009.dat
+ 2008년 9월 22일 2시 39분 43초 439832 ---- 아에 C : \ 윈도우 \ system32를 \ Perfh009.dat
.
등록 (((((((((((((((((((((((((((((((((((((로드 포인트 )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* 참고 사항 * 빈 항목 & 합법 기본 항목이 표시되지 않습니다
REGEDIT4
[HKEY_CURRENT_USER \ 소프트웨어 \ 마이크로 소프트 \은 Windows \ Curre ntVersion \ 실행]
"Ctfmon.exe를"= "다음에 C : \ 윈도우 \ system32를 \ Ctfmon.exe를"[2004년 8월 4일 15360]
"야후! 호출기"= "다음에 C : \ 프로그램 파일 \ 야후! \ 메신저 \ YahooMessenger.exe"[2007년 8월 30일 4670704]
[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \은 Windows \ 커 entVersion \ 실행]
"IgfxTray"= "다음에 C : \ 윈도우 \ system32를 \ igfxtray.exe"[2007년 8월 15일 141848]
"HotKeysCmds"= "다음에 C : \ 윈도우 \ system32를 \ hkcmd.exe"[2007년 8월 15일 162328]
"지속성"= "다음에 C : \ 윈도우 \ system32를 \ igfxpers.ex 전자"[2007년 8월 15일 137752]
"ccApp"= "다음에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ ccApp.exe"[2006년 3월 24일 53408]
"vptray"= "다음에 C : \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe"[2006년 6월 14일 124656]
"TPHOTKEY"= "다음에 C : \ 프로그램 파일 \ 레노버 \ 단축키 \ TPOSDSVC.exe"[2007년 3월 9일 66176]
"UpdateManager"= "다음에 C : \는 Program Files \ Common 파일 \ 소닉 \ 업데이트 관리자 \ sgtray.exe"[2003년 8월 18일 110592]
"국방 정보국"= "다음에 C : \ 윈도우 \ system32를 \ 국방 정보국 \ tfswctrl.exe"[2005년 5월 19일 127037]
"EZEJMNAP"= "다음에 C : \ PROGRA ~ 1 \ 씽크패드 \ UTILIT ~ 1 \ EzEjMnAp이. exe"[2007-05-31 243248]
"LPManager"= "다음에 C : \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe"[2007년 3월 22일 120368]
"TVT 스케줄러 프록시"= "다음에 C : \는 Program Files \ Common 파일 \ 레노버 \ 스케줄러 \ scheduler_proxy.exe"[2008년 3월 4일 487424]
"TkBellExe"= "다음에 C : \는 Program Files \ Common 파일 \ 리얼 \ Update_OB \ realsched.exe"[2008년 9월 13일 185896]
"TrackPointSrv"= "tp4mon.exe"[2004년 8월 3일에 C : \ 윈도우 \ system32를 \ tp4mon.exe]
"NWTRAY"= "NWTRAY.EXE"[2002년 3월 12일에 C : \ 윈도우 \ system32를 \ nwtray.exe]
"TpShocks"= "TpShocks.exe"[2007년 3월 29일에 C : \ 윈도우 \ system32를 \ TpShocks.exe]
[HKEY_USERS \. 기본적 \ 소프트웨어 \ 마이크로 소프트 \은 Windows \ Cur rentVersion \ 실행]
"커뮤니케"= "다음으로 C : \ Program Files \ Microsoft Office입니다 커뮤니케 \ Communicator.exe"[2005년 5월 12일 4167376]
[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \은 Windows \ curr entversion \ 정책 \ 시스템]
"CompatibleRUPSecurity"= 1 (0x1로)
[HKEY_USERS \. 기본 \ 소프트웨어 \ 마이크로 소프트 \은 Windows \ 현재 rentversion \ 정책 \ 탐험가]
"StartMenuLogOff"= 1 (0x1로)
[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \은 Windows NT \ currentversion \ Winlogon을 \ 통보 \ tpfnf2]
2006년 9월 6일 13:37 34344에 C : \ 프로그램 파일 \ 레노버 \ 단축키 \ notifyf2.dll
[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \은 Windows NT \ currentversion \ Winlogon을 \ 통보 \ tphotkey]
2006년 12월 14일 08:06 28672에 C : \ 프로그램 파일 \ 레노버 \ 단축키 \ tphklock.dll
[HKEY_LOCAL_MACHINE \ 시스템 \ currentcontrolset \ contro 난 \ LSA는]
인증 패키지 REG_MULTI_SZ msv1_0 nwv1_0
[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \ 보안 센터 \ 모니터링 \ SymantecAntiVirus]
"DisableMonitoring"= DWORD를 : 00000001
[경우 HKLM \ ~ \ 서비스를 \ SharedAccess를 \ 매개 변수 \ firewallpo licy \ standardprofile \ AuthorizedApplications \ 정가]
"이 % windir % \ \ system32를 \ \"= Sessmgr.exe
는 "C : \ \ 프로그램 파일 \ \ 야후! \ \ 메신저 \ \ YahooMessenger.exe"=
는 "C : \ \ 프로그램 파일 \ \ 야후! \ \ 메신저 \ \ YServer.exe"=
R0 Shockprf; Shockprf;에 C : \ 윈도우 \ system32를 \ 운전자 \ Apsx 86.sys [2007년 3월 2일 100656]
R0 TPDIGIMN; TPDIGIMN;에 C : \ 윈도우 \ system32를 \ 운전자 \ ApsH M86.sys [2007년 3월 2일 19760]
R2를 smefs; SMEFileSystem;에 C : \ 윈도우 \ system32 \ drivers를 \ 에스엠 efs.sys [2006년 2월 8일 20508]
R3 CdProbe; CdProbe;에 C : \ 윈도우 \ system32를 \ 운전자 \ cdprob e.sys [2008년 9월 21일 8416]
R3 smedrv; SMEDriver;에 C : \ 윈도우 \ system32 \ drivers를 \ smedr v.sys [2006년 2월 8일 9516]
S2는 AppMgSvc; 애플 리케이션 관리 서비스;에 C : \는 Program Files \ Common 파일 \ Microsoft 공유 \ MSINFO \ MsInfo.msi [2008년 9월 20일 430816]
S2는 yraebbgi; yraebbgi;에 C : \ 윈도우 \ system32 \ drivers를 \ bynp ea.sys []
S2는 yrtxzgwh; yrtxzgwh;에 C : \ 윈도우 \ system32 \ drivers를 \ rrja ck.sys []
[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \은 Windows NT \ currentversion \의 Svchost]
REG_MULTI_SZ wrtxzg wrtxzg
REG_MULTI_SZ nraebb nraebb
.
************************************************** ************************
catchme 0.3.1361 W2K/XP/Vista - 루트킷 / 스텔스 맬웨어 감지기 Gmer에 의해, http://www.gmer.net
루트킷 스캔 2008년 9월 21일 22시 16분 4초
윈도우 서비스 팩 2를 NTFS 2600년 1월 5일
숨겨진 프로세스를 스캔 ...
숨겨진 자동 항목 스캔 ...
숨겨진 파일을 스캔 ...

에 C : \ 윈도우 \ system32를 \ Calc.exe
스캔이 성공적으로 완료
숨겨진 파일 : 1
************************************************** ************************
[HKEY_LOCAL_MACHINE \ 시스템 \ ControlSet001 \ 서비스 \ 한 ppMgSvc]
"ImagePath를"= "다음에 C : \는 Program Files \ Common 파일 \ Microsoft 공유 \ MSINFO \ MsInfo.msi"
.
--------------------- 러닝 프로세스에서 DLL을 로드됨 ---------------------
과정 :에서 C : \ 윈도우 \ system32를 \의 Winlogon.exe
->에서 C : \ 프로그램 파일 \ 레노버 \ 단축키 \ tphklock.dll
.
------------------------ 기타 러닝 프로세스 ----------------------- -
.
에 C : \ 윈도우 \ system32를 \ ibmpmsvc.exe
에 C : \ 프로그램 파일 \ 인텔 \ 무선 \ 빈 \ S24EvMon.exe
에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ ccSetMgr.exe
에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ ccEvtMgr.exe
에 C : \는 Program Files \ Common 파일 \ 시만텍 공유 \ SPBBC \ SPBBCSvc.exe
에 C : \ 프로그램 파일 \ Lavasoft \ Ad - Aware는 \ aawservice.exe
에 C : \ 프로그램 파일 \의 Internet Explorer \ IEXPLORE.EXE
에 C : \ CENTENN.IAL \ AUDIT \ CAgent32.exe
에 C : \ CENTENN.IAL \ AUDIT \ xferwan.exe
에 C : \ 프로그램 파일 \ 시스코 VPN 클라이언트 \ cvpnd.exe
에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스 \ DefWatch.exe
에 C : \ 프로그램 파일 \ 인텔 \ 무선 \ 빈 \ EvtEng.exe
에 C : \는 Program Files \ Common 파일 \ Microsoft 공유 \ VS7DEBUG \ Mdm.exe를
에 C : \ 프로그램 파일 \ 인텔 \ 무선 \ 빈 \ RegSrvc.exe
에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스 \ SavRoam.exe
에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스 \ Rtvscan.exe
에 C : \는 Program Files \ Common 파일 \ 레노버 \ tvt_reg_monitor_svc.exe
에 C : \ 윈도우 \ system32를 \ TPHDEXLG.exe
에 C : \는 Program Files \ Common 파일 \ 레노버 \ 스케줄러 \ tvtsched.exe
에 C : \ _integra \ 빈 \ ccmagent.exe
에 C : \ 프로그램 파일 \ 레노버 \ 시스템 업데이트 \ SUService.exe
에 C : \ _integra \ 빈 \ shstart.exe
에 C : \ 윈도우 \ system32를 \ igfxsrvc.exe
에 C : \ 프로그램 파일 \ 레노버 \ 단축키 \ TPONSCR.exe
에 C : \ 프로그램 파일 \ 레노버 \ 자막 \ TpScrex.exe
에 C : \ 프로그램 파일 \ 시만텍 안티 바이러스 \ DoScan.exe
에 C : \ 프로그램 파일 \ 야후! \ 메신저 \ Ymsgr_tray.exe
에 C : \ ComboFix \ pv.cfexe
.
************************************************** ************************
.
완료 시간 : 2008년 9월 21일 22시 17분 28초 - 기계를 다시 부팅했다
ComboFix - 격리 - files.txt 2008년 9월 22일 5시 17분 23초
ComboFix2.txt 2008년 9월 22일 2시 36분 59초
일 Pre - 실행 : 64,509,464,576 바이트 무료
포스트 - 실행 : 64,505,421,824 바이트 무료
181

[evilfantasy]

다운로드 OldTimer에 의해 OTMoveIt2그리고 그것을 저장하십시오 데스크톱.

참고 : 만약 비스타, 오른쪽 - OTMoveIt2.exe를 클릭하고 선택을 실행하는 관리자로 실행.

1. 더블 - 클릭합니다 OTMoveIt2.exe 그것을 실행합니다.
2. codebox에서 아래 줄을 복사합니다.

코드 :

[죽일 탐색기]에서 C : \ 윈도우 \ system32를 \ Calc.exe HKEY_LOCAL_MACHINE \ 시스템 \ ControlSet001 \ 서비스 \ AppMgSvc EmptyTemp [시작 탐색기]

3. OTMoveIt2로 돌아가기에서 마우스 오른쪽 버튼으로 클릭 파일의 붙여넣기 정가 / 폴더로 이동 창이 노란색 막대 () 아래에서 선택 붙여넣기
4. 클릭 빨간색 Moveit! 버튼을 클릭하십시오.
5. 결과 창에 모든 내용을 복사 녹색 막대 () 아래 다음 답변에 붙여 넣으십시오.
6. 닫기 OTMoveIt2

참고: 이동하기 위해서는 프로세스를 완료할 수없는 경우 파일이나 폴더를 이동 즉시 컴퓨터를 재부 팅을 요구할 수도있습니다. 만약 선택을 재부 팅하라는 메시지 예. 어쨌든, 재부 팅하지 않는 경우에.