IEXPLORER.EXE ไวรัส pls จี้ทบทวนล็อก

nitingaur · #1 21 ก.ย. 2008, 12:02

Logfile แนวโน้มของไมโคร HijackThis v2.0.2
สแกนบันทึกที่ 12:01:37 ใน 9/21/2008
แพลตฟอร์ม: ของ Windows XP SP2 (WinNT 5/01/2600)
MSIE: โปรแกรม Internet Explorer v6.00 SP2 (6.00.2900.2180)
บูตโหมด: ปกติ
กระบวนการทำงาน:
ที่ C: \ WINDOWS \ System32 \ smss.exe
ที่ C: \ WINDOWS \ system32 \ csrss.exe
ที่ C: \ WINDOWS \ system32 \ winlogon.exe
ที่ C: \ WINDOWS \ system32 \ services.exe
ที่ C: \ WINDOWS \ system32 \ lsass.exe
ที่ C: \ WINDOWS \ system32 \ ibmpmsvc.exe
ที่ C: \ WINDOWS \ system32 \ Svchost.exe
ที่ C: \ WINDOWS \ system32 \ Svchost.exe
ที่ C: \ แฟ้มโปรแกรม \ อินเทล \ ไร้สาย \ ถัง \ S24EvMon.exe
ที่ C: \ WINDOWS \ system32 \ Svchost.exe
ที่ C: \ WINDOWS \ system32 \ Svchost.exe
ที่ C: \ WINDOWS \ system32 \ Svchost.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccSetMgr.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccEvtMgr.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ SPBBC \ SPBBCSvc.exe
ที่ C: \ แฟ้มโปรแกรม \ Lavasoft \ โฆษณา-รอบรู้ \ aawservice.exe
ที่ C: \ WINDOWS \ system32 \ spoolsv.exe
ที่ C: \ WINDOWS \ system32 \ Svchost.exe
ที่ C: \ Centenn.ial \ ตรวจสอบ \ CAgent32.exe
ที่ C: \ Centenn.ial \ ตรวจสอบ \ xferwan.exe
ที่ C: \ แฟ้มโปรแกรม \ Cisco VPN ที่ลูกค้า \ cvpnd.exe
ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus \ DefWatch.exe
ที่ C: \ แฟ้มโปรแกรม \ อินเทล \ ไร้สาย \ ถัง \ EvtEng.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ ร่วมของ Microsoft \ VS7DEBUG \ MDM.EXE
ที่ C: \ แฟ้มโปรแกรม \ อินเทล \ ไร้สาย \ ถัง \ RegSrvc.exe
ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus \ SavRoam.exe
ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus \ Rtvscan.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Lenovo \ tvt_reg_monitor_svc.exe
ที่ C: \ WINDOWS \ System32 \ TPHDEXLG.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Lenovo \ Scheduler \ tvtsched.exe
ที่ C: \ _integra \ ถัง \ ccmagent.exe
ที่ C: \ ไฟล์โปรแกรม \ lenovo \ ปรับปรุงระบบ \ suservice.exe
ที่ C: \ WINDOWS \ System32 \ alg.exe
ที่ C: \ WINDOWS \ system32 \ calc.exe
ที่ C: \ WINDOWS \ system32 \ calc.exe
ที่ C: \ _integra \ ถัง \ shstart.exe
ที่ C: \ WINDOWS \ Explorer.exe
ที่ C: \ WINDOWS \ system32 \ tp4mon.exe
ที่ C: \ WINDOWS \ system32 \ igfxtray.exe
ที่ C: \ WINDOWS \ system32 \ hkcmd.exe
ที่ C: \ WINDOWS \ system32 \ igfxpers.exe
ที่ C: \ WINDOWS \ system32 \ NWTRAY.EXE
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccApp.exe
ที่ C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ Hotkey \ TPOSDSVC.exe
ที่ C: \ WINDOWS \ system32 \ igfxsrvc.exe
ที่ C: \ WINDOWS \ system32 \ dla \ tfswctrl.exe
ที่ C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe
ที่ C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
ที่ C: \ WINDOWS \ system32 \ TpShocks.exe
ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ Hotkey \ TPONSCR.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Lenovo \ Scheduler \ scheduler_proxy.exe
ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ ซูม \ TpScrex.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ จริง \ Update_OB \ realsched.exe
ที่ C: \ WINDOWS \ system32 \ Ctfmon.exe
ที่ C: \ แฟ้มโปรแกรม \ ของ Yahoo! \ ร่อซู้ \ ymsgr_tray.exe
ที่ C: \ WINDOWS \ system32 \ taskmgr.exe
ที่ C: \ ไฟล์โปรแกรม \ โปรแกรม Internet Explorer \ IEXPLORE.EXE
ที่ C: \ ไฟล์โปรแกรม \ โปรแกรม Internet Explorer \ IEXPLORE.EXE
ที่ C: \ แฟ้มโปรแกรม \ โปรแกรม Internet Explorer \ IEXPLORE.EXE
ที่ C: \ WINDOWS \ system32 \ wuauclt.exe
ที่ C: \ WINDOWS \ system32 \ wbem \ wmiprvse.exe
ที่ C: \ แฟ้มโปรแกรม \ แนวโน้มไมโคร \ HijackThis \ HijackThis.exe
ที่ C: \ WINDOWS \ system32 \ wbem \ wmiprvse.exe
F2 - reg: system.ini: UserInit = ที่ C: \ หน้าต่าง \ system32 \ userinit.exe, ที่ C: \ _inte gra \ ถัง \ shstart.exe
O2 - BHO: AcroIEHlprObj ชั้น - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - ที่ C: \ แฟ้มโปรแกรม \ โปรแกรม Adobe \ Acrobat 7.0 \ ActiveX ที่ \ AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - (5CA3D70E-1895-11CF-8E15-001234567890) - ที่ C: \ WINDOWS \ system32 \ dla \ tfswshx.dll
O4 - HKLM \ .. \ เรียกใช้: [TrackPointSrv] tp4mon.exe
O4 - HKLM \ .. \ เรียกใช้: [IgfxTray] ที่ C: \ WINDOWS \ system32 \ igfxtray.exe
O4 - HKLM \ .. \ เรียกใช้: [HotKeysCmds] ที่ C: \ WINDOWS \ system32 \ hkcmd.exe
O4 - HKLM \ .. \ เรียกใช้: [ติดตา] ที่ C: \ WINDOWS \ system32 \ igfxpers.exe
O4 - HKLM \ .. \ เรียกใช้: [NWTRAY] NWTRAY.EXE
O4 - HKLM \ .. \ เรียกใช้: [ccApp] "ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccApp.exe"
O4 - HKLM \ .. \ เรียกใช้: [vptray] ที่ C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 - HKLM \ .. \ เรียกใช้: [TPHOTKEY] ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ Hotkey \ TPOSDSVC.exe
O4 - HKLM \ .. \ เรียกใช้: [UpdateManager] "ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ เกี่ยวกับเสียง \ ปรับปรุงผู้จัดการ \ sgtray.exe" / อาร์
O4 - HKLM \ .. \ เรียกใช้: [dla] ที่ C: \ WINDOWS \ system32 \ dla \ tfswctrl.exe
O4 - HKLM \ .. \ เรียกใช้: [EZEJMNAP] ที่ C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe
O4 - HKLM \ .. \ เรียกใช้: [LPManager] ที่ C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
O4 - HKLM \ .. \ เรียกใช้: [TpShocks] TpShocks.exe
O4 - HKLM \ .. \ เรียกใช้: [TVT Scheduler หนังสือมอบฉันทะ] ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Lenovo \ Scheduler \ scheduler_proxy.exe
O4 - HKLM \ .. \ เรียกใช้: [TkBellExe] "ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ จริง \ Update_OB \ realsched.exe"-osboot
O4 - HKCU \ .. \ เรียกใช้: [Ctfmon.exe] ที่ C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKCU \ .. \ เรียกใช้: [ของ Yahoo! เพจเจอร์] "ที่ C: \ แฟ้มโปรแกรม \ ของ Yahoo! \ ร่อซู้ \ YahooMessenger.exe"-เงียบ
O4 - HKUS \ S-1-5-19 \ .. \ เรียกใช้: [Communicator] "ที่ C: \ แฟ้มโปรแกรม \ ของ Microsoft Office Communicator \ Communicator.exe" (ผู้ใช้บริการ 'ท้องถิ่นบริการ')
O4 - HKUS \ S-1-5-20 \ .. \ เรียกใช้: [Communicator] "ที่ C: \ แฟ้มโปรแกรม \ ของ Microsoft Office Communicator \ Communicator.exe" (ผู้ใช้บริการ 'บริการระบบเครือข')
O4 - HKUS \ S-1-5-18 \ .. \ เรียกใช้: [Communicator] "ที่ C: \ แฟ้มโปรแกรม \ ของ Microsoft Office Communicator \ Communicator.exe" (ผู้ใช้บริการ 'ระบบ')
O4 - HKUS \. เริ่มต้น \ .. \ เรียกใช้: [Communicator] "ที่ C: \ แฟ้มโปรแกรม \ ของ Microsoft Office Communicator \ Communicator.exe" (ผู้ใช้บริการ 'ผู้ใช้เริ่มต้น')
O8 - กระจกรายการเมนูบริบท: อี & xport เพื่อโปรแกรม Microsoft Excel - res: / / ที่ C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 - กระจกปุ่ม: วิจัย - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - ที่ C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ REFIEBAR.DLL
O9 - กระจกปุ่ม: @ ที่ C: \ แฟ้มโปรแกรม \ ร่อซู้ \ Msgslang.dll, -61144 - (FB5F1910-F110-11d2-BB9E-00C04F795683) - ที่ C: \ แฟ้มโปรแกรม \ ร่อซู้ \ msmsgs.exe
O9 - กระจก 'เครื่องมือ' menuitem: @ ที่ C: \ แฟ้มโปรแกรม \ ร่อซู้ \ Msgslang.dll, -61144 - (FB5F1910-F110-11d2-BB9E-00C04F795683) - ที่ C: \ แฟ้มโปรแกรม \ ร่อซู้ \ msmsgs.exe
O16 - DPF: (215B8138-A3CF-44C5-803F-8226143CFC0A) (แนวโน้มไมโคร ActiveX ที่สแกนตัวแทน 6.6) -- http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O17 - HKLM \ ระบบ \ CCS \ บริการ \ Tcpip \ .. \ (B8E7B489-2160-4DE7-B592-9FD03D16CC74): โดเมน = keane.com
O23 - บริการ: Lavasoft โฆษณา-รอบรู้บริการ (aawservice) - Lavasoft - ที่ C: \ แฟ้มโปรแกรม \ Lavasoft \ โฆษณา-รอบรู้ \ aawservice.exe
O23 - บริการ: สมัครใช้บริการการจัดการ (AppMgSvc) - ไม่รู้จักเจ้าของ - ที่ C: \ Program.exe (ไฟล์หายไป)
O23 - บริการ: BHCP บริการ (BHsrv) - ไม่รู้จักเจ้าของ - ที่ C: \ Program.exe (ไฟล์หายไป)
O23 - บริการ: Symantec เหตุการณ์ผู้จัดการ (ccEvtMgr) - Symantec คอร์ปอเรชั่น - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccEvtMgr.exe
O23 - บริการ: Symantec การตั้งค่าผู้จัดการ (ccSetMgr) - Symantec คอร์ปอเรชั่น - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccSetMgr.exe
O23 - บริการ: CentennialClientAgent - ครบหนึ่งศตวรรษซอฟท์แวร์จำกัด - ที่ C: \ Centenn.ial \ ตรวจสอบ \ CAgent32.exe
O23 - บริการ: CentennialIPTransferAgent - ครบหนึ่งศตวรรษซอฟท์แวร์จำกัด - ที่ C: \ Centenn.ial \ ตรวจสอบ \ xferwan.exe
O23 - บริการ: ลูกค้าบริการปรับปรุงสำหรับ Novell (cusrvc) - Novell, Inc การ - ที่ C: \ WINDOWS \ system32 \ cusrvc.exe
O23 - บริการ: ระบบ Cisco, Inc การ VPN ที่บริการ (CVPND) - Cisco ระบบ, Inc การ - ที่ C: \ แฟ้มโปรแกรม \ Cisco VPN ที่ลูกค้า \ cvpnd.exe
O23 - บริการ: Symantec AntiVirus นิยามกะลาสี (DefWatch) - Symantec คอร์ปอเรชั่น - ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus \ DefWatch.exe
O23 - บริการ: อินเทล (อาร์) PROSet / ไร้สายบันทึกเหตุการณ์ (EvtEng) - ท Intel Corporation - ที่ C: \ แฟ้มโปรแกรม \ อินเทล \ ไร้สาย \ ถัง \ EvtEng.exe
O23 - บริการ: ThinkPad น. บริการ (IBMPMSVC) - Lenovo - ที่ C: \ WINDOWS \ system32 \ ibmpmsvc.exe
O23 - บริการ: LiveUpdate - Symantec คอร์ปอเรชั่น - ที่ C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 - บริการ: อินเทล (อาร์) PROSet / ไร้สายรีจิสทรีบริการ (RegSrvc) - ท Intel Corporation - ที่ C: \ แฟ้มโปรแกรม \ อินเทล \ ไร้สาย \ ถัง \ RegSrvc.exe
O23 - บริการ: อินเทล (อาร์) PROSet / บริการไร้สาย (S24EventMonitor) - ท Intel Corporation - ที่ C: \ แฟ้มโปรแกรม \ อินเทล \ ไร้สาย \ ถัง \ S24EvMon.exe
O23 - บริการ: SAVRoam (SavRoam) - Symantec - ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus \ SavRoam.exe
O23 - บริการ: Symantec ไดรเวอร์เครือข่ายบริการ (SNDSrvc) - Symantec คอร์ปอเรชั่น - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ SNDSrvc.exe
O23 - บริการ: Symantec SPBBCSvc (SPBBCSvc) - Symantec คอร์ปอเรชั่น - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ SPBBC \ SPBBCSvc.exe
O23 - บริการ: ระบบปรับปรุง (SUService) - Lenovo กลุ่มจำกัด - ที่ C: \ ไฟล์โปรแกรม \ lenovo \ ปรับปรุงระบบ \ suservice.exe
O23 - บริการ: Symantec AntiVirus - Symantec คอร์ปอเรชั่น - ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus \ Rtvscan.exe
O23 - บริการ: ThinkVantage รีจิสทรีจอภาพบริการ - กลุ่ม Lenovo จำกัด - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Lenovo \ tvt_reg_monitor_svc.exe
O23 - บริการ: ThinkPad HDD APS ล็อกบริการ (TPHDEXLGSVC) - Lenovo. - ที่ C: \ WINDOWS \ System32 \ TPHDEXLG.exe
O23 - บริการ: TVT Scheduler - Lenovo กลุ่มจำกัด - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Lenovo \ Scheduler \ tvtsched.exe
O23 - บริการ: Symantec LiveState ตัวแทนสำหรับ Windows (WControl) - Symantec คอร์ปอเรชั่น - ที่ C: \ _integra \ ถัง \ ccmagent.exe
--
สิ้นสุดไฟล์ - 8621 ไบต์

**evilfantasy** · #2 21 ก.ย. 2008, 15:30

ดาวน์โหลด Malwarebytes' ป้องกันมัลแวร์ (MBAM)

ดับเบิลคลิกที่ mbam-setup.exe และปฏิบัติตามข้อความแจ้งเพื่อติดตั้งโปรแกรม.
เมื่อสิ้นสุด, ตรวจสอบว่ามีเครื่องหมายถูกวางถัดไปต่อไปนี้:
- ปรับปรุง Malwarebytes' ต่อต้านการมัลแวร์
- เปิด Malwarebytes' ป้องกันมัลแวร์
จากนั้นคลิก เสร็จสิ้น.
หากการปรับปรุงพบมันจะดาวน์โหลดและติดตั้งเวอร์ชันล่าสุด.
เมื่อโปรแกรมมีการโหลดเลือก ทำงานอย่างรวดเร็วสแกนจากนั้นคลิก สแกน.
เมื่อสแกนเสร็จสมบูรณ์ให้คลิก ตกลงจากนั้น แสดงผลลัพธ์ เพื่อดูผลลัพธ์.
ให้แน่ใจว่าทุกอย่างที่ตรวจสอบและคลิก ลบการเลือก.
เมื่อเสร็จการฆ่าเชื้อโรค, ล็อกจะเปิดใน Notepad และคุณอาจได้รับแจ้งให้เริ่มการทำงาน. (ดูหมายเหตุพิเศษ)
เข้าสู่ระบบจะถูกบันทึกโดยอัตโนมัติโดย MBAM และสามารถดูได้โดยคลิกที่แท็บในล็อก MBAM.
คัดลอกและวางทั้งรายงานในครั้งถัดไปของคุณตอบ.

กระจกหมายเหตุ: หาก MBAM encounters ไฟล์ที่เป็นเรื่องยากที่จะลบคุณจะแสดงโดยที่ 1 จาก 2 แจ้งให้คลิก OK เพื่อเลือกและให้ MBAM ดำเนินการฆ่าเชื้อโรคกระบวนการหากต้องรีสตาร์ทคอมพิวเตอร์กรุณาทำทันที.

nitingaur · #3 21 ก.ย. 2008, 18:18

ไม่มีมัลแวร์พบที่นี่เป็นรายงาน
-------------------------------------------------- ----
ของ Windows 5/1/2600 เซอร์วิสแพ็ค 2
9/21/2008 6:16:07
mbam-ล็อก-2008-09-21 (18-16-07). txt
สแกนประเภท: ด่วนสแกน
ออบเจกต์สแกน: 52621
เวลา elapsed: 4 นาที (รายการ), 41 วินาที (รายการ)
หน่วยความจำขั้นตอนที่ติดไวรัส: 0
โมดูลหน่วยความจำที่ติดไวรัส: 0
คีย์รีจิสตรีที่ติดไวรัส: 0
ค่ารีจิสทรีที่ติดไวรัส: 0
ข้อมูลรีจิสทรีรายการที่ติดไวรัส: 0
โฟลเดอร์ที่ติดไวรัส: 0
ไฟล์ที่ติดไวรัส: 0
หน่วยความจำที่ติดไวรัสกระบวนการ:
(ไม่มีรายการที่เป็นอันตรายพบ)
โมดูลหน่วยความจำที่ติดไวรัส:
(ไม่มีรายการที่เป็นอันตรายพบ)
คีย์รีจิสตรีที่ติดไวรัส:
(ไม่มีรายการที่เป็นอันตรายพบ)
ค่ารีจิสทรีที่ติดไวรัส:
(ไม่มีรายการที่เป็นอันตรายพบ)
ข้อมูลรีจิสทรีรายการที่ติดไวรัส:
(ไม่มีรายการที่เป็นอันตรายพบ)
โฟลเดอร์ที่ติดไวรัส:
(ไม่มีรายการที่เป็นอันตรายพบ)
ไฟล์ที่ติดไวรัส:
(ไม่มีรายการที่เป็นอันตรายพบ)

**evilfantasy** · #4 21 ก.ย. 2008, 18:40

ไม่มีมัลแวร์แสดงในทั้งสองล็อก.

เปี๊ยบคืออะไรเกิดขึ้น?

nitingaur · #5 21 ก.ย. 2008, 19:23

หลาย IEXPLORER.EXE กระบวนการมี spwaning ในกระบวนการรายการ. พวกเขาได้ทันทีขึ้นถ้าฉันฆ่าพวกเขาหนึ่งโดยหนึ่ง. บางครั้งฉันยังบางได้ยินเสียงเหมือนคนหนึ่งในหมู่ผู้ทำงานใดๆหน้าต่างเบราเซอร์แต่ไม่เห็น. มีผิดมั่นเหมาะพวกเขาจะไม่ให้มี.

**evilfantasy** · #6 21 ก.ย. 2008, 19:26

ดาวน์โหลด ComboFix โดย sUBs จากหนึ่งในลิงค์ด้านล่าง. ตรวจสอบว่าบันทึกบนไปที่ เดสก์ทอป.

ลิงก์ # 1
ลิงก์ # 2

** หมายเหตุ: เป็นสิ่งสำคัญที่จะถูกบันทึกโดยตรงไปยังเดสก์ทอปของคุณ

ปิดที่เปิดเว็บเบราเซอร์. (ของ Firefox โปรแกรม Internet Explorer ฯลฯ) ก่อนที่จะเริ่มต้น ComboFix.

ชั่วคราว ไม่สามารถ ของคุณ ป้องกันไวรัสและใดๆ AntiSpyware เวลาจริงการป้องกัน ก่อน ประสิทธิภาพการสแกน. คลิก ลิงค์นี้ เพื่อดูรายการของการรักษาความปลอดภัยโปรแกรมที่ควรจะปิดการใช้งานและวิธีการปิดการใช้งานพวกเขา.

ดับเบิลคลิก combofix.exe และปฏิบัติตามข้อความแจ้ง.
เมื่อเสร็จ ComboFix จะล็อกสำหรับคุณ.
โพสต์ ComboFix ล็อก และใหม่ HijackThis ล็อก ในครั้งถัดไปของคุณตอบ.

ข้อสำคัญ: อย่า mouseclick ComboFix ของหน้าต่างขณะที่ทำงาน. ที่อาจทำให้แผงลอย.

โปรดเปิดใช้การป้องกันไวรัสของคุณและป้องกัน AntiSpyware ComboFix เมื่อเสร็จ.

nitingaur · #7 21 ก.ย. 2008, 19:42

ComboFix ล็อกอิน
-----------------------
ComboFix 08-09-20.05 - 012466 2008-09-21 19:31:50.1 - NTFSx86
ไมโครซอฟท์ที่ใช้ Windows XP Professional 5.1.2600.2.1252.1.1033.18.473 [GMT -7:00]
ทำงานจาก: ที่ C: \ Keanetools \ ComboFix.exe
* สร้างจุด restore point ใหม่
คำเตือน-เครื่องนี้ไม่ได้ติดตั้งคอนโซลการกู้คืน!
.
((((((((((((((((((((((((((((((((((((((( อื่นๆลบ ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
ที่ C: \ เอกสารและการตั้งค่า \ LocalService \ คุกกี้ \ system@ad.yieldmanag เอ้อ [1]. Txt
ที่ C: \ WINDOWS \ system32 \ x64
.
((((((((((((((((((((((((((((((((((((((( ไดรเวอร์ / บริการ )))))))) )))))))))))))))))))))))))))))))))))))))))
.
------- \ Legacy_BHSRV
------- \ Service_BHsrv

((((((((((((((((((((((((( ไฟล์ที่สร้างขึ้นจาก 2008/08/22 เพื่อ 2008/09/22 ))))))))))) ))))))))))))))))))))
.
2008-09-21 18:09. 2008-09-21 18:10 <DIR> ง -------- ที่ C: \ แฟ้มโปรแกรม \ Malwarebytes' ป้องกันมัลแวร์
2008-09-21 18:09. 2008-09-21 18:09 <DIR> ง -------- ที่ C: \ เอกสารและการตั้งค่า \ ผู้ใช้ทั้งหมด \ สมัครข้อมูล \ Malwarebytes
2008-09-21 18:09. 2008-09-21 18:09 <DIR> ง -------- ที่ C: \ เอกสารและการตั้งค่า \012466 \ สมัครข้อมูล \ Malwarebytes
2008-09-21 18:09. 2008-09-10 00:04 38.528 - ที่ ------ ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ mbamswissarmy.sys
2008-09-21 18:09. 2008-09-10 00:03 17.200 - ที่ ------ ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ mbam.sys
2008-09-21 11:07. 2008-09-21 11:07 <DIR> ง -------- ที่ C: \ แฟ้มโปรแกรม \ Lavasoft
2008-09-21 11:07. 2008-09-21 11:08 <DIR> ง -------- ที่ C: \ เอกสารและการตั้งค่า \ ผู้ใช้ทั้งหมด \ สมัครข้อมูล \ Lavasoft
2008-09-21 11:06. 2008-09-21 11:06 <DIR> ง -------- ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ เฉลียวฉลาดวิซาร์ดการติดตั้ง
2008-09-20 23:40. 2008-09-20 23:40 <DIR> ง -------- ที่ C: \ แฟ้มโปรแกรม \ แนวโน้มไมโคร
2008-09-19 09:03. 2008-09-19 09:08 <DIR> ง -------- ที่ C: \ WINDOWS \ SxsCaPendDel
2008-09-19 00:49. 2008-09-19 00:52 <DIR> ง -------- ที่ C: \ เอกสารและการตั้งค่า \012466 \. Housecall6.6
2008-09-19 00:27. 2008-09-19 09:04 <DIR> da ------ ที่ C: \ เอกสารและการตั้งค่า \ ผู้ใช้ทั้งหมด \ สมัครข้อมูล \ ชั่วคราว
2008-09-18 20:25. 2002-02-04 06:22 1.230.336 - ที่ ------ ที่ C: \ WINDOWS \ system32 \ msxml4.dll
2008-09-18 20:25. 2007-09-14 05:01 922.920 --------- ที่ C: \ WINDOWS \ system32 \ ahlprun.exe
2008-09-18 20:25. 2002-02-04 06:13 82.432 - ที่ ------ ที่ C: \ WINDOWS \ system32 \ msxml4r.dll
2008-09-18 20:25. 2002-02-04 06:13 44.544 - ที่ ------ ที่ C: \ WINDOWS \ system32 \ msxml4a.dll
2008-09-18 20:25. 2002-02-07 18:43 9.679 - ที่ ------ ที่ C: \ WINDOWS \ system32 \ msxml4r.cat
2008-09-18 20:25. 2002-02-07 18:43 9.675 - ที่ ------ ที่ C: \ WINDOWS \ system32 \ msxml4.cat
2008-09-18 20:25. 2002-02-06 20:31 3.489 - ที่ ------ ที่ C: \ WINDOWS \ system32 \ msxml4.Manifest
2008-09-18 20:25. 2002-02-06 20:31 500 - ที่ ------ ที่ C: \ WINDOWS \ system32 \ msxml4r.Manifest
2008-09-18 20:21. 2008-09-18 20:21 <DIR> ง -------- ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Lenovo
2008-09-18 18:27. 2008-09-21 11:54 21.272 - ที่ ------ ที่ C: \ WINDOWS \ system32 \ bynpea.key
2008-09-18 18:25. 2008-09-18 18:25 1 - ที่ ------ ที่ C: \ WINDOWS \ system32 \004fdb9.imi
2008-09-15 14:23. 2008-09-15 14:23 332.800 --- HS ---- ที่ C: \ WINDOWS \ system32 \ _Bhsrv.msi
2008-09-15 12:15. 2008-09-18 15:57 69.942 - ที่ ------ ที่ C: \ WINDOWS \ system32 \ rrjack.key
2008-09-15 12:15. 2008-09-15 12:15 1 - ที่ ------ ที่ C: \ WINDOWS \ system32 \0048444.imi
2008-09-13 19:27. 2008-09-13 19:27 24 - ที่ ------ ที่ C: \ WINDOWS \ cdplayer.ini
2008-09-13 19:26. 2008-09-13 19:26 <DIR> ง -------- ที่ C: \ แฟ้มโปรแกรม \ จริง
2008-09-13 19:26. 2008-09-13 19:26 <DIR> ง -------- ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ xing ที่ใช้ร่วมกัน
2008-09-13 19:26. 2008-09-13 19:26 <DIR> ง -------- ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ จริง
.
(((((((((((((((((((((((((((((((((((((((( Find3M รายงาน )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-22 02:33 --------- ง ----- ก. ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus
2008-09-22 02:33 --------- ง ----- ก. ที่ C: \ แฟ้มโปรแกรม \ Cisco VPN ที่ลูกค้า
2008-09-21 18:56 16 - ดวลจุดโทษ - อาร์ที่ C: \ MSCIOTL.SYS
2008-09-21 18:55 8.416 ---- aw ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ CDProbe.SYS
2008-09-20 19:26 430.816 - ดวลจุดโทษ - ก. ที่ C: \ แฟ้มโปรแกรม \ _MsInfo.msi
2008-09-19 03:25 --------- ง - ซ - ก. ที่ C: \ แฟ้มโปรแกรม \ InstallShield การติดตั้งข้อมูล
2008-09-19 03:25 --------- ง ----- ก. ที่ C: \ แฟ้มโปรแกรม \ ThinkVantage
2008-09-19 03:21 --------- ง ----- ก. ที่ C: \ แฟ้มโปรแกรม \ Lenovo
.
Reg ((((((((((((((((((((((((((((((((((((( โหลดคะแนน )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* หมายเหตุ * ว่างรายการ & legit รายการดีฟอลต์จะไม่ปรากฏ
REGEDIT4
[HKEY_CURRENT_USER \ ซอฟต์แวร์ \ ของ Microsoft \ ของ Windows \ Curre ntVersion \ รัน]
"Ctfmon.exe" = "ที่ C: \ WINDOWS \ system32 \ Ctfmon.exe" [2004-08-04 15360]
"ของ Yahoo! เพจเจอร์" = "ที่ C: \ แฟ้มโปรแกรม \ ของ Yahoo! \ ร่อซู้ \ YahooMessenger.exe" [2007-08-30 4670704]
[HKEY_LOCAL_MACHINE \ ซอฟต์แวร์ \ ของ Microsoft \ ของ Windows \ Curr entVersion \ รัน]
"IgfxTray" = "ที่ C: \ WINDOWS \ system32 \ igfxtray.exe" [2007-08-15 141848]
"HotKeysCmds" = "ที่ C: \ WINDOWS \ system32 \ hkcmd.exe" [2007-08-15 162328]
"ติดตา" = "ที่ C: \ WINDOWS \ system32 \ igfxpers.ex จ" [2007-08-15 137752]
"ccApp" = "ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccApp.exe" [2006-03-24 53408]
"vptray" = "ที่ C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2006-06-14 124656]
"TPHOTKEY" = "ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ Hotkey \ TPOSDSVC.exe" [2007-03-09 66176]
"UpdateManager" = "ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ เกี่ยวกับเสียง \ ปรับปรุงผู้จัดการ \ sgtray.exe" [2003-08-18 110592]
"dla" = "ที่ C: \ WINDOWS \ system32 \ dla \ tfswctrl.exe" [2005-05-19 127037]
"EZEJMNAP" = "ที่ C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp. Exe" [2007-04-26 243248]
"LPManager" = "ที่ C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe" [2007-03-22 120368]
"TVT Scheduler หนังสือมอบฉันทะ" = "ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Lenovo \ Scheduler \ scheduler_proxy.exe" [2008-03-04 487424]
"TkBellExe" = "ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ จริง \ Update_OB \ realsched.exe" [2008-09-13 185896]
"TrackPointSrv" = "tp4mon.exe" [2004-08-03 ที่ C: \ WINDOWS \ system32 \ tp4mon.exe]
"NWTRAY" = "NWTRAY.EXE" [2002-03-12 ที่ C: \ WINDOWS \ system32 \ nwtray.exe]
"TpShocks" = "TpShocks.exe" [2007-03-29 ที่ C: \ WINDOWS \ system32 \ TpShocks.exe]
[HKEY_USERS \. เริ่มต้น \ ซอฟต์แวร์ \ ของ Microsoft \ ของ Windows \ Cur rentVersion \ รัน]
"Communicator" = "ที่ C: \ แฟ้มโปรแกรม \ ของ Microsoft Office Communicator \ Communicator.exe" [2005-05-12 4167376]
[HKEY_LOCAL_MACHINE \ ซอฟต์แวร์ \ ของ Microsoft \ หน้าต่าง \ curr entversion \ นโยบาย \ ระบบ]
"CompatibleRUPSecurity" = 1 (0x1)
[HKEY_USERS \. ดีฟอลต์ \ ซอฟต์แวร์ \ ของ Microsoft \ หน้าต่าง \ ชาติหมา rentversion \ นโยบาย \ เอ็กซ์พลอเรอร์]
"StartMenuLogOff" = 1 (0x1)
[HKEY_LOCAL_MACHINE \ ซอฟต์แวร์ \ ของ Microsoft \ ของ Windows NT \ CurrentVersion \ Winlogon \ แจ้ง \ tpfnf2]
2006-09-06 13:37 34344 ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ Hotkey \ notifyf2.dll
[HKEY_LOCAL_MACHINE \ ซอฟต์แวร์ \ ของ Microsoft \ ของ Windows NT \ CurrentVersion \ Winlogon \ แจ้ง \ tphotkey]
2006-12-14 08:06 28672 ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ Hotkey \ tphklock.dll
[HKEY_LOCAL_MACHINE \ ระบบ \ CurrentControlSet \ contro l การ \ lsa]
การตรวจสอบแพ็กเกจ REG_MULTI_SZ msv1_0 nwv1_0
[HKEY_LOCAL_MACHINE \ ซอฟต์แวร์ \ ของ Microsoft \ ศูนย์การรักษาความปลอดภัย \ ติดตาม \ SymantecAntiVirus]
"DisableMonitoring" = DWORD: 00000001
[HKLM \ ~ \ บริการ \ sharedaccess \ พารามิเตอร์ \ firewallpo licy \ standardprofile \ AuthorizedApplications \ รายการ]
"% windir% \ \ system32 \ \ sessmgr.exe" =
"ที่ C: \ \ แฟ้มโปรแกรม \ \ ของ Yahoo! \ \ ร่อซู้ \ \ YahooMessenger.exe" =
"ที่ C: \ \ แฟ้มโปรแกรม \ \ ของ Yahoo! \ \ ร่อซู้ \ \ YServer.exe" =
R0 Shockprf; Shockprf; ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ Apsx 86.sys [2007-03-02 100656]
R0 TPDIGIMN; TPDIGIMN; ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ ApsH M86.sys [2007-03-02 19760]
R2 smefs; SMEFileSystem; ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ sm efs.sys [2006-02-08 20508]
R3 CdProbe; CdProbe; ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ cdprob e.sys [2008-09-21 8416]
R3 smedrv; SMEDriver; ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ smedr v.sys [2006-02-08 9516]
S2 AppMgSvc; สมัครจัดการบริการที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ ร่วมของ Microsoft \ MSINFO \ MsInfo.msi [2008-09-20 430816]
S2 yraebbgi; yraebbgi; ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ bynp ea.sys []
S2 yrtxzgwh; yrtxzgwh; ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ rrja ck.sys []
[HKEY_LOCAL_MACHINE \ ซอฟต์แวร์ \ ของ Microsoft \ ของ Windows NT \ CurrentVersion \ Svchost]
wrtxzg REG_MULTI_SZ wrtxzg
nraebb REG_MULTI_SZ nraebb
.
.
------- เสริมสแกน -------
.
R0 -: HKCU-หลัก, หน้าเริ่มต้น = hxxp: / / www.google.com/
O8 -: อี & xport เพื่อโปรแกรม Microsoft Excel - ที่ C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
.
************************************************** ************************
catchme 0.3.1361 W2K/XP/Vista - rootkit / ชิงทรัพย์โดยมัลแวร์ตรวจ Gmer, http://www.gmer.net
Rootkit สแกน 2008-09-21 19:35:12
ของ Windows 5/1/2600 เซอร์วิสแพ็ค 2 เป็น NTFS
สแกนที่ซ่อนกระบวนการ ...
สแกนรายการที่ซ่อน autostart ...
สแกนไฟล์ที่ซ่อน ...
สแกนเสร็จสมบูรณ์
ไฟล์ที่ซ่อน: 0
************************************************** ************************
[HKEY_LOCAL_MACHINE \ ระบบ \ ControlSet001 \ บริการ \ การ ppMgSvc]
"ImagePath" = "ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ ร่วมของ Microsoft \ MSINFO \ MsInfo.msi"
.
--------------------- DLLs โหลดทำงานภายใต้กระบวนการ ---------------------
กระบวนการ: ที่ C: \ WINDOWS \ system32 \ winlogon.exe
-> ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ Hotkey \ tphklock.dll
.
------------------------ กระบวนการทำงานอื่นๆ ----------------------- --
.
ที่ C: \ WINDOWS \ system32 \ ibmpmsvc.exe
ที่ C: \ แฟ้มโปรแกรม \ อินเทล \ ไร้สาย \ ถัง \ S24EvMon.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccSetMgr.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccEvtMgr.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ SPBBC \ SPBBCSvc.exe
ที่ C: \ แฟ้มโปรแกรม \ Lavasoft \ โฆษณา-รอบรู้ \ aawservice.exe
ที่ C: \ _integra \ ถัง \ shstart.exe
ที่ C: \ WINDOWS \ system32 \ igfxsrvc.exe
ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ Hotkey \ TPONSCR.exe
ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ ซูม \ TpScrex.exe
ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus \ DoScan.exe
ที่ C: \ แฟ้มโปรแกรม \ โปรแกรม Internet Explorer \ IEXPLORE.EXE
ที่ C: \ CENTENN.IAL \ ตรวจสอบ \ CAgent32.exe
ที่ C: \ CENTENN.IAL \ ตรวจสอบ \ xferwan.exe
ที่ C: \ แฟ้มโปรแกรม \ Cisco VPN ที่ลูกค้า \ cvpnd.exe
ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus \ DefWatch.exe
ที่ C: \ แฟ้มโปรแกรม \ อินเทล \ ไร้สาย \ ถัง \ EvtEng.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ ร่วมของ Microsoft \ VS7DEBUG \ MDM.EXE
ที่ C: \ แฟ้มโปรแกรม \ อินเทล \ ไร้สาย \ ถัง \ RegSrvc.exe
ที่ C: \ แฟ้มโปรแกรม \ ของ Yahoo! \ ร่อซู้ \ Ymsgr_tray.exe
ที่ C: \ WINDOWS \ system32 \ calc.exe
ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus \ SavRoam.exe
ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus \ Rtvscan.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Lenovo \ tvt_reg_monitor_svc.exe
ที่ C: \ WINDOWS \ system32 \ TPHDEXLG.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Lenovo \ Scheduler \ tvtsched.exe
ที่ C: \ _integra \ ถัง \ ccmagent.exe
ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ ปรับปรุงระบบ \ SUService.exe
ที่ C: \ WINDOWS \ system32 \ wscntfy.exe
ที่ C: \ ComboFix \ pv.cfexe
.
************************************************** ************************
.
เวลาเสร็จสมบูรณ์: 2008-09-21 19:36:58 - เครื่องถูก rebooted
ComboFix-quarantined-files.txt 2008-09-22 02:36:54
พื้นฐาน-รัน: 64.333.811.712 ไบต์ฟรี
โพสต์ที่ Run-: 64.523.264.000 ไบต์ฟรี
175

HijackThis ล็อกอิน
-----------------------------------
Logfile แนวโน้มของไมโคร HijackThis v2.0.2
สแกนบันทึกที่ 7:38:41 ใน 9/21/2008
แพลตฟอร์ม: ของ Windows XP SP2 (WinNT 5/01/2600)
MSIE: โปรแกรม Internet Explorer v6.00 SP2 (6.00.2900.2180)
บูตโหมด: ปกติ
กระบวนการทำงาน:
ที่ C: \ WINDOWS \ System32 \ smss.exe
ที่ C: \ WINDOWS \ system32 \ winlogon.exe
ที่ C: \ WINDOWS \ system32 \ services.exe
ที่ C: \ WINDOWS \ system32 \ lsass.exe
ที่ C: \ WINDOWS \ system32 \ ibmpmsvc.exe
ที่ C: \ WINDOWS \ system32 \ Svchost.exe
ที่ C: \ แฟ้มโปรแกรม \ อินเทล \ ไร้สาย \ ถัง \ S24EvMon.exe
ที่ C: \ WINDOWS \ system32 \ Svchost.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccSetMgr.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccEvtMgr.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ SPBBC \ SPBBCSvc.exe
ที่ C: \ แฟ้มโปรแกรม \ Lavasoft \ โฆษณา-รอบรู้ \ aawservice.exe
ที่ C: \ WINDOWS \ system32 \ spoolsv.exe
ที่ C: \ _integra \ ถัง \ shstart.exe
ที่ C: \ WINDOWS \ system32 \ tp4mon.exe
ที่ C: \ WINDOWS \ system32 \ igfxtray.exe
ที่ C: \ WINDOWS \ system32 \ hkcmd.exe
ที่ C: \ WINDOWS \ system32 \ igfxpers.exe
ที่ C: \ WINDOWS \ system32 \ NWTRAY.EXE
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccApp.exe
ที่ C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
ที่ C: \ WINDOWS \ system32 \ igfxsrvc.exe
ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ Hotkey \ TPOSDSVC.exe
ที่ C: \ WINDOWS \ system32 \ dla \ tfswctrl.exe
ที่ C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe
ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ Hotkey \ TPONSCR.exe
ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ ซูม \ TpScrex.exe
ที่ C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
ที่ C: \ WINDOWS \ system32 \ TpShocks.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Lenovo \ Scheduler \ scheduler_proxy.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ จริง \ Update_OB \ realsched.exe
ที่ C: \ WINDOWS \ system32 \ Ctfmon.exe
ที่ C: \ ไฟล์โปรแกรม \ โปรแกรม Internet Explorer \ IEXPLORE.EXE
ที่ C: \ WINDOWS \ system32 \ Svchost.exe
ที่ C: \ Centenn.ial \ ตรวจสอบ \ CAgent32.exe
ที่ C: \ Centenn.ial \ ตรวจสอบ \ xferwan.exe
ที่ C: \ แฟ้มโปรแกรม \ Cisco VPN ที่ลูกค้า \ cvpnd.exe
ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus \ DefWatch.exe
ที่ C: \ แฟ้มโปรแกรม \ อินเทล \ ไร้สาย \ ถัง \ EvtEng.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ ร่วมของ Microsoft \ VS7DEBUG \ MDM.EXE
ที่ C: \ แฟ้มโปรแกรม \ อินเทล \ ไร้สาย \ ถัง \ RegSrvc.exe
ที่ C: \ แฟ้มโปรแกรม \ ของ Yahoo! \ ร่อซู้ \ ymsgr_tray.exe
ที่ C: \ WINDOWS \ system32 \ calc.exe
ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus \ SavRoam.exe
ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus \ Rtvscan.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Lenovo \ tvt_reg_monitor_svc.exe
ที่ C: \ WINDOWS \ System32 \ TPHDEXLG.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Lenovo \ Scheduler \ tvtsched.exe
ที่ C: \ _integra \ ถัง \ ccmagent.exe
ที่ C: \ ไฟล์โปรแกรม \ lenovo \ ปรับปรุงระบบ \ suservice.exe
ที่ C: \ WINDOWS \ system32 \ wscntfy.exe
ที่ C: \ WINDOWS \ system32 \ wuauclt.exe
ที่ C: \ WINDOWS \ system32 \ wuauclt.exe
ที่ C: \ WINDOWS \ Explorer.exe
ที่ C: \ แฟ้มโปรแกรม \ แนวโน้มไมโคร \ HijackThis \ HijackThis.exe
R1 - HKLM \ ซอฟต์แวร์ \ ของ Microsoft \ โปรแกรม Internet Explorer \ หลัก, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ ซอฟต์แวร์ \ ของ Microsoft \ โปรแกรม Internet Explorer \ หลัก, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ ซอฟต์แวร์ \ ของ Microsoft \ โปรแกรม Internet Explorer \ หลัก, ค้นหาเพจ = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj ชั้น - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - ที่ C: \ แฟ้มโปรแกรม \ โปรแกรม Adobe \ Acrobat 7.0 \ ActiveX ที่ \ AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - (5CA3D70E-1895-11CF-8E15-001234567890) - ที่ C: \ WINDOWS \ system32 \ dla \ tfswshx.dll
O4 - HKLM \ .. \ เรียกใช้: [TrackPointSrv] tp4mon.exe
O4 - HKLM \ .. \ เรียกใช้: [IgfxTray] ที่ C: \ WINDOWS \ system32 \ igfxtray.exe
O4 - HKLM \ .. \ เรียกใช้: [HotKeysCmds] ที่ C: \ WINDOWS \ system32 \ hkcmd.exe
O4 - HKLM \ .. \ เรียกใช้: [ติดตา] ที่ C: \ WINDOWS \ system32 \ igfxpers.exe
O4 - HKLM \ .. \ เรียกใช้: [NWTRAY] NWTRAY.EXE
O4 - HKLM \ .. \ เรียกใช้: [ccApp] "ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccApp.exe"
O4 - HKLM \ .. \ เรียกใช้: [vptray] ที่ C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 - HKLM \ .. \ เรียกใช้: [TPHOTKEY] ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ Hotkey \ TPOSDSVC.exe
O4 - HKLM \ .. \ เรียกใช้: [UpdateManager] "ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ เกี่ยวกับเสียง \ ปรับปรุงผู้จัดการ \ sgtray.exe" / อาร์
O4 - HKLM \ .. \ เรียกใช้: [dla] ที่ C: \ WINDOWS \ system32 \ dla \ tfswctrl.exe
O4 - HKLM \ .. \ เรียกใช้: [EZEJMNAP] ที่ C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe
O4 - HKLM \ .. \ เรียกใช้: [LPManager] ที่ C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
O4 - HKLM \ .. \ เรียกใช้: [TpShocks] TpShocks.exe
O4 - HKLM \ .. \ เรียกใช้: [TVT Scheduler หนังสือมอบฉันทะ] ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Lenovo \ Scheduler \ scheduler_proxy.exe
O4 - HKLM \ .. \ เรียกใช้: [TkBellExe] "ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ จริง \ Update_OB \ realsched.exe"-osboot
O4 - HKCU \ .. \ เรียกใช้: [Ctfmon.exe] ที่ C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKCU \ .. \ เรียกใช้: [ของ Yahoo! เพจเจอร์] "ที่ C: \ แฟ้มโปรแกรม \ ของ Yahoo! \ ร่อซู้ \ YahooMessenger.exe"-เงียบ
O4 - HKUS \ S-1-5-19 \ .. \ เรียกใช้: [Communicator] "ที่ C: \ แฟ้มโปรแกรม \ ของ Microsoft Office Communicator \ Communicator.exe" (ผู้ใช้บริการ 'ท้องถิ่นบริการ')
O4 - HKUS \ S-1-5-20 \ .. \ เรียกใช้: [Communicator] "ที่ C: \ แฟ้มโปรแกรม \ ของ Microsoft Office Communicator \ Communicator.exe" (ผู้ใช้บริการ 'บริการระบบเครือข')
O4 - HKUS \ S-1-5-18 \ .. \ เรียกใช้: [Communicator] "ที่ C: \ แฟ้มโปรแกรม \ ของ Microsoft Office Communicator \ Communicator.exe" (ผู้ใช้บริการ 'ระบบ')
O4 - HKUS \. เริ่มต้น \ .. \ เรียกใช้: [Communicator] "ที่ C: \ แฟ้มโปรแกรม \ ของ Microsoft Office Communicator \ Communicator.exe" (ผู้ใช้บริการ 'ผู้ใช้เริ่มต้น')
O8 - กระจกรายการเมนูบริบท: อี & xport เพื่อโปรแกรม Microsoft Excel - res: / / ที่ C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 - กระจกปุ่ม: วิจัย - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - ที่ C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ REFIEBAR.DLL
O9 - กระจกปุ่ม: @ ที่ C: \ แฟ้มโปรแกรม \ ร่อซู้ \ Msgslang.dll, -61144 - (FB5F1910-F110-11d2-BB9E-00C04F795683) - ที่ C: \ แฟ้มโปรแกรม \ ร่อซู้ \ msmsgs.exe
O9 - กระจก 'เครื่องมือ' menuitem: @ ที่ C: \ แฟ้มโปรแกรม \ ร่อซู้ \ Msgslang.dll, -61144 - (FB5F1910-F110-11d2-BB9E-00C04F795683) - ที่ C: \ แฟ้มโปรแกรม \ ร่อซู้ \ msmsgs.exe
O16 - DPF: (215B8138-A3CF-44C5-803F-8226143CFC0A) (แนวโน้มไมโคร ActiveX ที่สแกนตัวแทน 6.6) -- http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O17 - HKLM \ ระบบ \ CCS \ บริการ \ Tcpip \ .. \ (B8E7B489-2160-4DE7-B592-9FD03D16CC74): โดเมน = keane.com
O17 - HKLM \ ระบบ \ CCS \ บริการ \ Tcpip \ .. \ (D239A412-22C2-4683-95BC-1FFAA687D0DF): NameServer = 172.21.18.101,172.21.18.102
O23 - บริการ: Lavasoft โฆษณา-รอบรู้บริการ (aawservice) - Lavasoft - ที่ C: \ แฟ้มโปรแกรม \ Lavasoft \ โฆษณา-รอบรู้ \ aawservice.exe
O23 - บริการ: สมัครใช้บริการการจัดการ (AppMgSvc) - ไม่รู้จักเจ้าของ - ที่ C: \ Program.exe (ไฟล์หายไป)
O23 - บริการ: Symantec เหตุการณ์ผู้จัดการ (ccEvtMgr) - Symantec คอร์ปอเรชั่น - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccEvtMgr.exe
O23 - บริการ: Symantec การตั้งค่าผู้จัดการ (ccSetMgr) - Symantec คอร์ปอเรชั่น - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccSetMgr.exe
O23 - บริการ: CentennialClientAgent - ครบหนึ่งศตวรรษซอฟท์แวร์จำกัด - ที่ C: \ Centenn.ial \ ตรวจสอบ \ CAgent32.exe
O23 - บริการ: CentennialIPTransferAgent - ครบหนึ่งศตวรรษซอฟท์แวร์จำกัด - ที่ C: \ Centenn.ial \ ตรวจสอบ \ xferwan.exe
O23 - บริการ: ลูกค้าบริการปรับปรุงสำหรับ Novell (cusrvc) - Novell, Inc การ - ที่ C: \ WINDOWS \ system32 \ cusrvc.exe
O23 - บริการ: ระบบ Cisco, Inc การ VPN ที่บริการ (CVPND) - Cisco ระบบ, Inc การ - ที่ C: \ แฟ้มโปรแกรม \ Cisco VPN ที่ลูกค้า \ cvpnd.exe
O23 - บริการ: Symantec AntiVirus นิยามกะลาสี (DefWatch) - Symantec คอร์ปอเรชั่น - ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus \ DefWatch.exe
O23 - บริการ: อินเทล (อาร์) PROSet / ไร้สายบันทึกเหตุการณ์ (EvtEng) - ท Intel Corporation - ที่ C: \ แฟ้มโปรแกรม \ อินเทล \ ไร้สาย \ ถัง \ EvtEng.exe
O23 - บริการ: ThinkPad น. บริการ (IBMPMSVC) - Lenovo - ที่ C: \ WINDOWS \ system32 \ ibmpmsvc.exe
O23 - บริการ: LiveUpdate - Symantec คอร์ปอเรชั่น - ที่ C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 - บริการ: อินเทล (อาร์) PROSet / ไร้สายรีจิสทรีบริการ (RegSrvc) - ท Intel Corporation - ที่ C: \ แฟ้มโปรแกรม \ อินเทล \ ไร้สาย \ ถัง \ RegSrvc.exe
O23 - บริการ: อินเทล (อาร์) PROSet / บริการไร้สาย (S24EventMonitor) - ท Intel Corporation - ที่ C: \ แฟ้มโปรแกรม \ อินเทล \ ไร้สาย \ ถัง \ S24EvMon.exe
O23 - บริการ: SAVRoam (SavRoam) - Symantec - ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus \ SavRoam.exe
O23 - บริการ: Symantec ไดรเวอร์เครือข่ายบริการ (SNDSrvc) - Symantec คอร์ปอเรชั่น - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ SNDSrvc.exe
O23 - บริการ: Symantec SPBBCSvc (SPBBCSvc) - Symantec คอร์ปอเรชั่น - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ SPBBC \ SPBBCSvc.exe
O23 - บริการ: ระบบปรับปรุง (SUService) - Lenovo กลุ่มจำกัด - ที่ C: \ ไฟล์โปรแกรม \ lenovo \ ปรับปรุงระบบ \ suservice.exe
O23 - บริการ: Symantec AntiVirus - Symantec คอร์ปอเรชั่น - ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus \ Rtvscan.exe
O23 - บริการ: ThinkVantage รีจิสทรีจอภาพบริการ - กลุ่ม Lenovo จำกัด - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Lenovo \ tvt_reg_monitor_svc.exe
O23 - บริการ: ThinkPad HDD APS ล็อกบริการ (TPHDEXLGSVC) - Lenovo. - ที่ C: \ WINDOWS \ System32 \ TPHDEXLG.exe
O23 - บริการ: TVT Scheduler - Lenovo กลุ่มจำกัด - ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Lenovo \ Scheduler \ tvtsched.exe
O23 - บริการ: Symantec LiveState ตัวแทนสำหรับ Windows (WControl) - Symantec คอร์ปอเรชั่น - ที่ C: \ _integra \ ถัง \ ccmagent.exe
--
สิ้นสุดไฟล์ - 8581 ไบต์

**evilfantasy** · #8 21 ก.ย. 2008, 21:24

หมายเหตุ: ด้านล่างมีการสร้างคำแนะนำโดยเฉพาะสำหรับผู้ใช้นี้. หากคุณไม่ใช่ผู้ใช้รายนี้, ไม่ ไปตามทิศทางที่พวกเขาอาจเสียหายผลงานของระบบ

ลบไฟล์เหล่านี้ / โฟลเดอร์ดังนี้

1. ไปที่ เริ่ม > วิ่ง > ประเภท Notepad.exe และคลิกที่ ตกลง เพื่อเปิด Notepad.
มัน ต้อง จะ Notepad ไม่ WordPad.
2. คัดลอกข้อความในกล่องด้านล่างรหัสโดยข้อความที่ไฮไลต์ทั้งหมดและกด Ctrl + เซลเซียส

รหัสสินค้า:

KillAll:: ไดรเวอร์:: BHSRV BHsrv ไฟล์:: ที่ C: \ WINDOWS \ system32 \ bynpea.key ที่ C: \ WINDOWS \ system32 \ 004fdb9.imi ที่ C: \ WINDOWS \ system32 \ _Bhsrv.msi ที่ C: \ WINDOWS \ system32 \ rrjack. คีย์ที่ C: \ WINDOWS \ system32 \ 0048444.imi ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ bynpea.sys ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ rrjack.sys ที่ C: \ WINDOWS \ system32 \ calc.exe

3. ไปที่ Notepad หน้าต่างและคลิก แก้ไข > วาง
4. จากนั้นคลิก ไฟล์ > บันทึก
5. ชื่อไฟล์ CFScript.txt - บันทึกไฟล์ลงบนเดสก์ทอป
6. จากนั้นลาก CFScript (ถือเมาส์ปุ่มซ้ายขณะลากไฟล์) และวางมัน (ปล่อยเมาส์ปุ่มซ้าย) เข้า ComboFix.exe ตามที่คุณเห็นในภาพด้านล่าง. ข้อสำคัญ: คำสั่งนี้ทำงานอย่างระมัดระวัง!

ComboFix จะเริ่มรันเพียงปฏิบัติตามข้อความแจ้ง.
หลังจากรีบูต (ในกรณีที่จะถามเพื่อเริ่มต้นใหม่) จะผลิตล็อกสำหรับคุณ.
โพสต์ที่เข้าสู่ระบบ (Combofix.txt) ในครั้งถัดไปของคุณตอบ.

หมายเหตุ: อย่า mouseclick ComboFix ของหน้าต่างขณะที่ทำงาน. ที่อาจทำให้ระบบของคุณเพื่อหยุด

nitingaur · #9 21 ก.ย. 2008, 22:20

ComboFix ล็อกหลังจากที่ทำงาน CFSCript
-------------------------------------------------- --------
ComboFix 08-09-20.05 - 012466 2008-09-21 22:11:45.2 - NTFSx86
ไมโครซอฟท์ที่ใช้ Windows XP Professional 5.1.2600.2.1252.1.1033.18.598 [GMT -7:00]
ทำงานจาก: ที่ C: \ Keanetools \ ComboFix.exe
สวิทช์การใช้คำสั่ง:: ที่ C: \ เอกสารและการตั้งค่า \012466 \ เดสก์ท็อป \ CFScript.txt
* สร้างจุด restore point ใหม่
คำเตือน-เครื่องนี้ไม่ได้ติดตั้งคอนโซลการกู้คืน!
ไฟล์::
ที่ C: \ WINDOWS \ system32 \ _Bhsrv.msi
ที่ C: \ WINDOWS \ system32 \0048444.imi
ที่ C: \ WINDOWS \ system32 \004fdb9.imi
ที่ C: \ WINDOWS \ system32 \ bynpea.key
ที่ C: \ WINDOWS \ system32 \ calc.exe
ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ bynpea.sys
ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ rrjack.sys
ที่ C: \ WINDOWS \ system32 \ rrjack.key
.
((((((((((((((((((((((((((((((((((((((( อื่นๆลบ ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
ที่ C: \ WINDOWS \ system32 \ _Bhsrv.msi
ที่ C: \ WINDOWS \ system32 \0048444.imi
ที่ C: \ WINDOWS \ system32 \004fdb9.imi
ที่ C: \ WINDOWS \ system32 \ bynpea.key
ที่ C: \ WINDOWS \ system32 \ calc.exe
ที่ C: \ WINDOWS \ system32 \ rrjack.key
.
((((((((((((((((((((((((( ไฟล์ที่สร้างขึ้นจาก 2008/08/22 เพื่อ 2008/09/22 ))))))))))) ))))))))))))))))))))
.
2008-09-21 18:09. 2008-09-21 18:10 <DIR> ง -------- ที่ C: \ แฟ้มโปรแกรม \ Malwarebytes' ป้องกันมัลแวร์
2008-09-21 18:09. 2008-09-21 18:09 <DIR> ง -------- ที่ C: \ เอกสารและการตั้งค่า \ ผู้ใช้ทั้งหมด \ สมัครข้อมูล \ Malwarebytes
2008-09-21 18:09. 2008-09-21 18:09 <DIR> ง -------- ที่ C: \ เอกสารและการตั้งค่า \012466 \ สมัครข้อมูล \ Malwarebytes
2008-09-21 18:09. 2008-09-10 00:04 38.528 - ที่ ------ ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ mbamswissarmy.sys
2008-09-21 18:09. 2008-09-10 00:03 17.200 - ที่ ------ ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ mbam.sys
2008-09-21 11:07. 2008-09-21 11:07 <DIR> ง -------- ที่ C: \ แฟ้มโปรแกรม \ Lavasoft
2008-09-21 11:07. 2008-09-21 11:08 <DIR> ง -------- ที่ C: \ เอกสารและการตั้งค่า \ ผู้ใช้ทั้งหมด \ สมัครข้อมูล \ Lavasoft
2008-09-21 11:06. 2008-09-21 11:06 <DIR> ง -------- ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ เฉลียวฉลาดวิซาร์ดการติดตั้ง
2008-09-20 23:40. 2008-09-20 23:40 <DIR> ง -------- ที่ C: \ แฟ้มโปรแกรม \ แนวโน้มไมโคร
2008-09-19 09:03. 2008-09-19 09:08 <DIR> ง -------- ที่ C: \ WINDOWS \ SxsCaPendDel
2008-09-19 00:49. 2008-09-19 00:52 <DIR> ง -------- ที่ C: \ เอกสารและการตั้งค่า \012466 \. Housecall6.6
2008-09-19 00:27. 2008-09-19 09:04 <DIR> da ------ ที่ C: \ เอกสารและการตั้งค่า \ ผู้ใช้ทั้งหมด \ สมัครข้อมูล \ ชั่วคราว
2008-09-18 20:25. 2002-02-04 06:22 1.230.336 - ที่ ------ ที่ C: \ WINDOWS \ system32 \ msxml4.dll
2008-09-18 20:25. 2007-09-14 05:01 922.920 --------- ที่ C: \ WINDOWS \ system32 \ ahlprun.exe
2008-09-18 20:25. 2002-02-04 06:13 82.432 - ที่ ------ ที่ C: \ WINDOWS \ system32 \ msxml4r.dll
2008-09-18 20:25. 2002-02-04 06:13 44.544 - ที่ ------ ที่ C: \ WINDOWS \ system32 \ msxml4a.dll
2008-09-18 20:25. 2002-02-07 18:43 9.679 - ที่ ------ ที่ C: \ WINDOWS \ system32 \ msxml4r.cat
2008-09-18 20:25. 2002-02-07 18:43 9.675 - ที่ ------ ที่ C: \ WINDOWS \ system32 \ msxml4.cat
2008-09-18 20:25. 2002-02-06 20:31 3.489 - ที่ ------ ที่ C: \ WINDOWS \ system32 \ msxml4.Manifest
2008-09-18 20:25. 2002-02-06 20:31 500 - ที่ ------ ที่ C: \ WINDOWS \ system32 \ msxml4r.Manifest
2008-09-18 20:21. 2008-09-18 20:21 <DIR> ง -------- ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Lenovo
2008-09-13 19:27. 2008-09-13 19:27 24 - ที่ ------ ที่ C: \ WINDOWS \ cdplayer.ini
2008-09-13 19:26. 2008-09-13 19:26 <DIR> ง -------- ที่ C: \ แฟ้มโปรแกรม \ จริง
2008-09-13 19:26. 2008-09-13 19:26 <DIR> ง -------- ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ xing ที่ใช้ร่วมกัน
2008-09-13 19:26. 2008-09-13 19:26 <DIR> ง -------- ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ จริง
.
(((((((((((((((((((((((((((((((((((((((( Find3M รายงาน )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-22 05:14 8.416 ---- aw ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ CDProbe.SYS
2008-09-22 05:14 16 - ดวลจุดโทษ - อาร์ที่ C: \ MSCIOTL.SYS
2008-09-22 05:14 --------- ง ----- ก. ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus
2008-09-22 03:07 --------- ง ----- ก. ที่ C: \ แฟ้มโปรแกรม \ Cisco VPN ที่ลูกค้า
2008-09-20 19:26 430.816 - ดวลจุดโทษ - ก. ที่ C: \ แฟ้มโปรแกรม \ _MsInfo.msi
2008-09-19 03:25 --------- ง - ซ - ก. ที่ C: \ แฟ้มโปรแกรม \ InstallShield การติดตั้งข้อมูล
2008-09-19 03:25 --------- ง ----- ก. ที่ C: \ แฟ้มโปรแกรม \ ThinkVantage
2008-09-19 03:21 --------- ง ----- ก. ที่ C: \ แฟ้มโปรแกรม \ Lenovo
.
((((((((((((((((((((((((((((( Snapshot@2008-09-21_19.36.38.64 )))))))))) )))))))))))))))))))))))))))))))
.
- 2008-09-21 18:59:45 71.370 ---- aw ที่ C: \ WINDOWS \ system32 \ perfc009.dat
+ 2008-09-22 02:39:43 71.370 ---- aw ที่ C: \ WINDOWS \ system32 \ perfc009.dat
- 2008-09-21 18:59:45 439.832 ---- aw ที่ C: \ WINDOWS \ system32 \ perfh009.dat
+ 2008-09-22 02:39:43 439.832 ---- aw ที่ C: \ WINDOWS \ system32 \ perfh009.dat
.
Reg ((((((((((((((((((((((((((((((((((((( โหลดคะแนน )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* หมายเหตุ * ว่างรายการ & legit รายการดีฟอลต์จะไม่ปรากฏ
REGEDIT4
[HKEY_CURRENT_USER \ ซอฟต์แวร์ \ ของ Microsoft \ ของ Windows \ Curre ntVersion \ รัน]
"Ctfmon.exe" = "ที่ C: \ WINDOWS \ system32 \ Ctfmon.exe" [2004-08-04 15360]
"ของ Yahoo! เพจเจอร์" = "ที่ C: \ แฟ้มโปรแกรม \ ของ Yahoo! \ ร่อซู้ \ YahooMessenger.exe" [2007-08-30 4670704]
[HKEY_LOCAL_MACHINE \ ซอฟต์แวร์ \ ของ Microsoft \ ของ Windows \ Curr entVersion \ รัน]
"IgfxTray" = "ที่ C: \ WINDOWS \ system32 \ igfxtray.exe" [2007-08-15 141848]
"HotKeysCmds" = "ที่ C: \ WINDOWS \ system32 \ hkcmd.exe" [2007-08-15 162328]
"ติดตา" = "ที่ C: \ WINDOWS \ system32 \ igfxpers.ex จ" [2007-08-15 137752]
"ccApp" = "ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccApp.exe" [2006-03-24 53408]
"vptray" = "ที่ C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2006-06-14 124656]
"TPHOTKEY" = "ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ Hotkey \ TPOSDSVC.exe" [2007-03-09 66176]
"UpdateManager" = "ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ เกี่ยวกับเสียง \ ปรับปรุงผู้จัดการ \ sgtray.exe" [2003-08-18 110592]
"dla" = "ที่ C: \ WINDOWS \ system32 \ dla \ tfswctrl.exe" [2005-05-19 127037]
"EZEJMNAP" = "ที่ C: \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp. Exe" [2007-04-26 243248]
"LPManager" = "ที่ C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe" [2007-03-22 120368]
"TVT Scheduler หนังสือมอบฉันทะ" = "ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Lenovo \ Scheduler \ scheduler_proxy.exe" [2008-03-04 487424]
"TkBellExe" = "ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ จริง \ Update_OB \ realsched.exe" [2008-09-13 185896]
"TrackPointSrv" = "tp4mon.exe" [2004-08-03 ที่ C: \ WINDOWS \ system32 \ tp4mon.exe]
"NWTRAY" = "NWTRAY.EXE" [2002-03-12 ที่ C: \ WINDOWS \ system32 \ nwtray.exe]
"TpShocks" = "TpShocks.exe" [2007-03-29 ที่ C: \ WINDOWS \ system32 \ TpShocks.exe]
[HKEY_USERS \. เริ่มต้น \ ซอฟต์แวร์ \ ของ Microsoft \ ของ Windows \ Cur rentVersion \ รัน]
"Communicator" = "ที่ C: \ แฟ้มโปรแกรม \ ของ Microsoft Office Communicator \ Communicator.exe" [2005-05-12 4167376]
[HKEY_LOCAL_MACHINE \ ซอฟต์แวร์ \ ของ Microsoft \ หน้าต่าง \ curr entversion \ นโยบาย \ ระบบ]
"CompatibleRUPSecurity" = 1 (0x1)
[HKEY_USERS \. ดีฟอลต์ \ ซอฟต์แวร์ \ ของ Microsoft \ หน้าต่าง \ ชาติหมา rentversion \ นโยบาย \ เอ็กซ์พลอเรอร์]
"StartMenuLogOff" = 1 (0x1)
[HKEY_LOCAL_MACHINE \ ซอฟต์แวร์ \ ของ Microsoft \ ของ Windows NT \ CurrentVersion \ Winlogon \ แจ้ง \ tpfnf2]
2006-09-06 13:37 34344 ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ Hotkey \ notifyf2.dll
[HKEY_LOCAL_MACHINE \ ซอฟต์แวร์ \ ของ Microsoft \ ของ Windows NT \ CurrentVersion \ Winlogon \ แจ้ง \ tphotkey]
2006-12-14 08:06 28672 ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ Hotkey \ tphklock.dll
[HKEY_LOCAL_MACHINE \ ระบบ \ CurrentControlSet \ contro l การ \ lsa]
การตรวจสอบแพ็กเกจ REG_MULTI_SZ msv1_0 nwv1_0
[HKEY_LOCAL_MACHINE \ ซอฟต์แวร์ \ ของ Microsoft \ ศูนย์การรักษาความปลอดภัย \ ติดตาม \ SymantecAntiVirus]
"DisableMonitoring" = DWORD: 00000001
[HKLM \ ~ \ บริการ \ sharedaccess \ พารามิเตอร์ \ firewallpo licy \ standardprofile \ AuthorizedApplications \ รายการ]
"% windir% \ \ system32 \ \ sessmgr.exe" =
"ที่ C: \ \ แฟ้มโปรแกรม \ \ ของ Yahoo! \ \ ร่อซู้ \ \ YahooMessenger.exe" =
"ที่ C: \ \ แฟ้มโปรแกรม \ \ ของ Yahoo! \ \ ร่อซู้ \ \ YServer.exe" =
R0 Shockprf; Shockprf; ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ Apsx 86.sys [2007-03-02 100656]
R0 TPDIGIMN; TPDIGIMN; ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ ApsH M86.sys [2007-03-02 19760]
R2 smefs; SMEFileSystem; ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ sm efs.sys [2006-02-08 20508]
R3 CdProbe; CdProbe; ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ cdprob e.sys [2008-09-21 8416]
R3 smedrv; SMEDriver; ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ smedr v.sys [2006-02-08 9516]
S2 AppMgSvc; สมัครจัดการบริการที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ ร่วมของ Microsoft \ MSINFO \ MsInfo.msi [2008-09-20 430816]
S2 yraebbgi; yraebbgi; ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ bynp ea.sys []
S2 yrtxzgwh; yrtxzgwh; ที่ C: \ WINDOWS \ system32 \ ไดรเวอร์ \ rrja ck.sys []
[HKEY_LOCAL_MACHINE \ ซอฟต์แวร์ \ ของ Microsoft \ ของ Windows NT \ CurrentVersion \ Svchost]
wrtxzg REG_MULTI_SZ wrtxzg
nraebb REG_MULTI_SZ nraebb
.
************************************************** ************************
catchme 0.3.1361 W2K/XP/Vista - rootkit / ชิงทรัพย์โดยมัลแวร์ตรวจ Gmer, http://www.gmer.net
Rootkit สแกน 2008-09-21 22:16:04
ของ Windows 5/1/2600 เซอร์วิสแพ็ค 2 เป็น NTFS
สแกนที่ซ่อนกระบวนการ ...
สแกนรายการที่ซ่อน autostart ...
สแกนไฟล์ที่ซ่อน ...

ที่ C: \ WINDOWS \ system32 \ calc.exe
สแกนเสร็จสมบูรณ์
ไฟล์ที่ซ่อน: 1
************************************************** ************************
[HKEY_LOCAL_MACHINE \ ระบบ \ ControlSet001 \ บริการ \ การ ppMgSvc]
"ImagePath" = "ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ ร่วมของ Microsoft \ MSINFO \ MsInfo.msi"
.
--------------------- DLLs โหลดทำงานภายใต้กระบวนการ ---------------------
กระบวนการ: ที่ C: \ WINDOWS \ system32 \ winlogon.exe
-> ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ Hotkey \ tphklock.dll
.
------------------------ กระบวนการทำงานอื่นๆ ----------------------- --
.
ที่ C: \ WINDOWS \ system32 \ ibmpmsvc.exe
ที่ C: \ แฟ้มโปรแกรม \ อินเทล \ ไร้สาย \ ถัง \ S24EvMon.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccSetMgr.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ ccEvtMgr.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Symantec ร่วม \ SPBBC \ SPBBCSvc.exe
ที่ C: \ แฟ้มโปรแกรม \ Lavasoft \ โฆษณา-รอบรู้ \ aawservice.exe
ที่ C: \ แฟ้มโปรแกรม \ โปรแกรม Internet Explorer \ IEXPLORE.EXE
ที่ C: \ CENTENN.IAL \ ตรวจสอบ \ CAgent32.exe
ที่ C: \ CENTENN.IAL \ ตรวจสอบ \ xferwan.exe
ที่ C: \ แฟ้มโปรแกรม \ Cisco VPN ที่ลูกค้า \ cvpnd.exe
ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus \ DefWatch.exe
ที่ C: \ แฟ้มโปรแกรม \ อินเทล \ ไร้สาย \ ถัง \ EvtEng.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ ร่วมของ Microsoft \ VS7DEBUG \ MDM.EXE
ที่ C: \ แฟ้มโปรแกรม \ อินเทล \ ไร้สาย \ ถัง \ RegSrvc.exe
ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus \ SavRoam.exe
ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus \ Rtvscan.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Lenovo \ tvt_reg_monitor_svc.exe
ที่ C: \ WINDOWS \ system32 \ TPHDEXLG.exe
ที่ C: \ แฟ้มโปรแกรม \ สามัญไฟล์ \ Lenovo \ Scheduler \ tvtsched.exe
ที่ C: \ _integra \ ถัง \ ccmagent.exe
ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ ปรับปรุงระบบ \ SUService.exe
ที่ C: \ _integra \ ถัง \ shstart.exe
ที่ C: \ WINDOWS \ system32 \ igfxsrvc.exe
ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ Hotkey \ TPONSCR.exe
ที่ C: \ แฟ้มโปรแกรม \ Lenovo \ ซูม \ TpScrex.exe
ที่ C: \ แฟ้มโปรแกรม \ Symantec AntiVirus \ DoScan.exe
ที่ C: \ แฟ้มโปรแกรม \ ของ Yahoo! \ ร่อซู้ \ Ymsgr_tray.exe
ที่ C: \ ComboFix \ pv.cfexe
.
************************************************** ************************
.
เวลาเสร็จสมบูรณ์: 2008-09-21 22:17:28 - เครื่องถูก rebooted
ComboFix-quarantined-files.txt 2008-09-22 05:17:23
ComboFix2.txt 2008-09-22 02:36:59
พื้นฐาน-รัน: 64.509.464.576 ไบต์ฟรี
โพสต์ที่ Run-: 64.505.421.824 ไบต์ฟรี
181

**evilfantasy** · #10 21 ก.ย. 2008, 22:26

ดาวน์โหลด OTMoveIt2 โดย OldTimerและบันทึกเก็บไวของคุณ เดสก์ทอป.

หมายเหตุ: หากคุณกำลังเรียกใช้ใน Vista ให้คลิกขวาและเลือก OTMoveIt2.exe เรียกใช้ในฐานะผู้ดูแลระบบ.

1. ดับเบิลคลิกที่ OTMoveIt2.exe เพื่อรัน.
2. คัดลอกบรรทัดใน codebox ด้านล่าง.

รหัสสินค้า:

[ฆ่าเอ็กซ์พลอเรอร์] ที่ C: \ WINDOWS \ system32 \ calc.exe HKEY_LOCAL_MACHINE \ ระบบ \ ControlSet001 \ บริการ \ AppMgSvc EmptyTemp [เริ่มเอ็กซ์พลอเรอร์]

3. กลับไปที่ OTMoveIt2 ขวาคลิกใน วางรายการของไฟล์ / โฟลเดอร์เพื่อย้าย หน้าต่าง (ภายใต้แถบสีเหลือง) และเลือก วาง
4. คลิกที่สีแดง Moveit! ปุ่ม.
5. คัดลอกทุกอย่างในหน้าต่างผลลัพธ์ (ใต้แถบสีเขียว) และวางไว้ในครั้งถัดไปของคุณตอบ.
6. ปิด OTMoveIt2

หมายเหตุ: หากแฟ้มหรือโฟลเดอร์ไม่สามารถย้ายทันทีคุณอาจจะถามเพื่อเริ่มต้นใหม่คอมพิวเตอร์ของคุณเพื่อที่จะเสร็จสิ้นการย้ายกระบวนการ. ถ้าถามเพื่อเริ่มต้นใหม่ให้เลือก ใช่. ถ้าไม่รีบูตใหม่.

หัวข้อที่คล้ายกัน
ด้าย	หัวข้อเริ่มต้น	ฟอรั่ม	คำตอบ	โพสต์ครั้งล่าสุด
ลบ iexplore.exe ไวรัส / จี้ล็อก	xalice15x	ไวรัสสปายแวร์และการรักษาความปลอดภัย	16	12. พฤศจิกายน 2008 19:43
Iexplorer.exe ไวรัส - โปรดช่วยฉัน!	แพนด้ายักษ์	ไวรัสสปายแวร์และการรักษาความปลอดภัย	2	6. ตุลาคม 2008 14:55
ฉันได้รับ bone.exe ไวรัสของฉัน iexplorer	damandg	ไวรัสสปายแวร์และการรักษาความปลอดภัย	12	14. กรกฎาคม 2008 14:31
Iexplorer.exe ไวรัส	iuboy2006	ไวรัสสปายแวร์และการรักษาความปลอดภัย	9	26. มีนาคม 2008 08:12
ป๊อปอัป Avssytemcare ไวรัสและเหมือนกัน - (รวมจี้นี้)	ปลิ้นปล้อน	ไวรัสสปายแวร์และการรักษาความปลอดภัย	23	4 ก.ย. 2007 16:15

หัวข้อเครื่องมือ
แสดงเวอร์ชันสำหรับพิมพ์ อีเมล์หน้านี้